本月软件供应链安全行业大事件
华盛顿时间9月14日,白宫发布了题为《通过安全的软件开发实践增强软件供应链的安全性》的备忘录,概述了第14028号行政命令的SBOM实施指南。该文件要求:在软件产品投入使用前,应当由软件开发人员提供证明其符合安全软件开发框架的文档以自证安全,而不是依赖第三方评估。
欧盟周四(15日)公布了最新的网络安全基本要求提案《网络弹性法案》,要求数字产品必须遵守安全基线,以最大限度减少网络攻击带来的损失。即所有出口欧洲的数字产品都必须提供安全保障、软件物料清单、漏洞报告机制和为期五年的补丁更新;
该提案称,企业需要公布软件物料清单(SBOM),详细列出每款产品中使用的组件,以帮助制造商监控供应链并跟踪安全漏洞。
随着开源技术的不断创新升级,软件供应链也越来越趋于复杂化和多样化。Log4j漏洞事件后,软件供应链安全风险不断加剧,国内外政府和企业都格外重视开源软件安全问题。
综上两项政策法规都强调了软件需在其整个生命周期内引入强制性的网络安全要求,继而提高政府和行业部门应对重大漏洞的能力。如今,合规及自动化的网络安全模式建设已经成为了各行业重点关注的话题,企业也需要一套成熟便捷的解决方案来保障供应链安全在软件开发流程中最佳实践,建立健全网络安全保障机制,持续构建动态的安全防护体系。
软件供应链的安全挑战
- 如何快速梳理开源组件的资产并构建准确的SBOM?
- 如何利用SBOM进行资产管理,提升开源软件和软件供应链安全?
- 如何实现漏洞的全面检测与管理?
- 如何确保开源许可证合规可控?
- 如何在软件开发生命周期中持续监测和维护安全?
……
软件供应链安全的治理:SBOM
软件物料清单(SBOM)通过提高软件全生命周期对利益相关方的可见性来提高漏洞和许可管理能力。
Gartner预测,到2025年,60%负责开发关键基础设施软件的组织将在其软件工程实践中强制实施和标准化SBOM,比2022年(不到20%)大幅上升。
目前SBOM在行业中主要有三种广泛使用格式,分别是软件包数据交换(SPDX®)、CycloneDX (CDX)、软件标识(SWID)。尽管这三种格式包含重叠的信息,但它们历来在软件生命周期的不同阶段被使用,并被不同类型的用户所使用。
这里有一份来自Scantist的软件供应链安全防护指南,请查收!
Scantist致力于打造面向软件全生命周期的组件成分分析与风险评估的解决方案,提高软件供应链安全的防护能力,包括管理流程、构建集成、基线管理、安全管理及防范机制等。
Scantist SCA支持识别开源详细组件建立开源基线和组件依赖关系图表,提供多维度组件清单及归类,可为应用和容器构建准确、完整的软件物料清单(SBOM)。
具体而言,Scantist 软件成分分析(SCA)工具通过提供对开源软件供应链的更高可视性,以主动预防的方式帮助企业管理开源安全和法律法规风险。从传统应用到现代技术栈,从源代码到二进制文件,从APK应用安全到代码审计,从部署约束到自定义集成,为您提供完整的闭环服务。
Scantist OSSPERT是一个开源软件画像的数字平台,包括质量、安全、OSS、可维护性及开发活跃度、商业风险等6个维度的功能模块。