SBOM,再次現身白宮開源軟件網絡安全峰會
2022年1月(yuè)13日,美(měi)國聯邦機構聯合谷歌(gē)、亞馬遜等一衆科技公司,基于Log4j漏洞開展了(le)一場(chǎng)關于開源軟件安全問題的(de)重要討(tǎo)論。不得(de)不提到的(de)是 ,這(zhè)次會議(yì)明(míng)确指出了(le)改進軟件安全和(hé)提升軟件供應鏈的(de)透明(míng)度是解決這(zhè)類風險的(de)關鍵要素。
的(de)确,近年來(lái)軟件安全事件愈演愈烈,安全事件的(de)頻(pín)頻(pín)爆發,引發行業對(duì)軟件供應鏈安全愈來(lái)愈高(gāo)的(de)關注。安全風險之所以難以防範,歸其原因,一是業界還(hái)沒有一套完善的(de)風險防範機制, 二是安全風險本身傳播性強且隐蔽性高(gāo) 。我們往往是在問題發生之後才著(zhe)力去解決,且解決的(de)過程長(cháng)且複雜(zá)。
想要減少軟件供應鏈安全風險,一方面,企業需要構建軟件資産透明(míng)化(huà)的(de)意識,在漏洞披露時(shí)及時(shí)地進行響應排查以及快(kuài)速的(de)安全修複。另一方面,離不開專業的(de)風險識别工具來(lái)支撐,這(zhè)可(kě)以針對(duì)全周期的(de)安全問題進行排查。
SBOM物(wù)料清單的(de)底層邏輯和(hé)頂層設計
SBOM即Software Bill Of Materials,是BOM概念在軟件領域的(de)應用(yòng)展現,即構成軟件程序和(hé)應用(yòng)程序的(de)成分(fēn)列表。
SBOM的(de)出現有其必要性。
一方面離不開軟件供應鏈安全這(zhè)一底層邏輯。
從行業現狀來(lái)看,各行各業代碼庫中的(de)開源代碼數量占比率居高(gāo)不下(xià),這(zhè)些問題一旦發生治理(lǐ)難度較大(dà),因此需要借助SBOM工具的(de)支撐讓應用(yòng)程序組件透明(míng)化(huà)。
從軟件成分(fēn)角度來(lái)看,一款現代應用(yòng)程序的(de)60%-90%均來(lái)自開源軟件或開源組件。 這(zhè)都需要使用(yòng)SBOM來(lái)提前識别軟件組件問題和(hé)風險。從軟件和(hé)組件的(de)關系來(lái)看,借助SBOM建立完整的(de)軟件與組件鏈路關系,可(kě)以實現鏈路的(de)上下(xià)遊可(kě)達分(fēn)析,實現高(gāo)效的(de)問題定位及影(yǐng)響分(fēn)析。
加強軟件SBOM建設,對(duì)于整個(gè)産業在知識産權、風險控制、軟件風險持續跟蹤、軟件管理(lǐ)等方面均有重大(dà)意義。
另一方面,也(yě)離不開一系列國家戰略層面的(de)頂層設計。
供應鏈安全的(de)重要性,引起了(le)全球許多(duō)國家政府的(de)廣泛關注。例如:美(měi)國白宮在當地時(shí)間2022年1月(yuè)13日開展了(le)一次重要的(de)科技安全峰會,這(zhè)次峰會延續了(le)去年5月(yuè)的(de)網絡安全行政令。更明(míng)确地指出,隻有使用(yòng)安全軟件開發生命周期實踐并符合特定聯邦安全指南(nán)的(de)公司才能向聯邦政府出售産品。會議(yì)還(hái)特意提到,聯邦供應商可(kě)以使用(yòng)SBOM,列舉特定軟件組件的(de)綜合列表,以優化(huà)破壞性漏洞披露後的(de)手動識别過程。
我國高(gāo)度重視軟件供應鏈安全問題,不斷建立健全法律法規、标準制度。爲應對(duì)國内外軟件供應鏈安全威脅,近年來(lái)我國先後頒布的(de)《中華人(rén)民共和(hé)國網絡安全法》《網絡安全審查辦法》《中華人(rén)民共和(hé)國 國民經濟和(hé)社會發展第十四個(gè)五年規劃和(hé) 2035 年遠(yuǎn)景目标綱要》《關鍵信息基礎設施安全保護條例》等政策法規強調加強軟件供應鏈的(de)安全保障。
多(duō)年技術沉澱,開源網安SBOM平台上線
2021年12月(yuè)22日,開源網安SBOM平台正式上線!這(zhè)是開源網安在軟件安全領域的(de)又一重磅展現。
開源網安SBOM平台是提供軟件成分(fēn)分(fēn)析和(hé)生成軟件物(wù)料清單的(de)服務平台,該平台集成千萬級的(de)開源組件庫信息和(hé)數十萬級漏洞庫信息,支持15種以上常用(yòng)語言包的(de)檢測。通(tōng)過平台生成SBOM清單,可(kě)以幫助使用(yòng)者提高(gāo)軟件的(de)透明(míng)度,提前識别開源組件安全風險,并根據風險提供相應的(de)影(yǐng)響分(fēn)析和(hé)采取相應的(de)預警措施,助力使用(yòng)者做(zuò)好軟件供應鏈安全。
在承載方式上,SBOM的(de)承載載體一是以表格方式Excel來(lái)承載,建立一個(gè)完整的(de)呈現;二是用(yòng)結構化(huà)方式則由JSON或者XML承載,清晰地表達出軟件物(wù)料清單的(de)邏輯、安全内容,組成成分(fēn)。
在常用(yòng)标準和(hé)規範上,SBOM支持三種标準規範:OWASP CycloneDX、 SPDX、SWID,這(zhè)三個(gè)标準的(de)本質都是通(tōng)過結構化(huà)的(de)信息輸出,讓計算(suàn)機可(kě)讀,能夠做(zuò)存量。
在内容上,SBOM可(kě)以擁有更多(duō)信息,包括依賴信息。以目前最常見的(de)一個(gè)輕量級物(wù)料清單标準OWASP CycloneDX 爲例,圖中顯示了(le)SBOM所包含的(de)大(dà)量信息,全面且深入。
除了(le)這(zhè)些,該平台還(hái)支持通(tōng)過線上和(hé)線下(xià)兩種方式生成軟件物(wù)料清單,并支持随時(shí)下(xià)載,爲企業賦能更便捷的(de)産品服務。
截止到目前,開源網安SBOM憑借豐富的(de)産品功能和(hé)優質的(de)産品體驗,已經成功吸引了(le)400+企業用(yòng)戶的(de)入駐,掃描項目數達1600+,SBOM生成數1900+。 未來(lái),開源網安SBOM清單會成爲更多(duō)企業軟件供應鏈安全的(de)管理(lǐ)助力。
安全管控的(de)關鍵
具體到實際工作中SBOM技術是如何落地的(de)呢(ne)?
針對(duì)這(zhè)一問題,業界普遍認同的(de)是做(zuò)軟件全生命周期的(de)SBOM管控,通(tōng)過一些特定的(de)工具和(hé)流程來(lái)自動化(huà)完成,輸出SBOM清單,規避相應風險。
除了(le)整體流程的(de)把控,其落地的(de)方式也(yě)同樣重要。開源網安認爲SBOM工具落地的(de)具體流程主要分(fēn)成這(zhè)四個(gè)階段。
引入:通(tōng)過SBOM了(le)解采購(gòu)的(de)商用(yòng)軟件的(de)安全及合規性,建立引入流程和(hé)規範,避免不符合安全合規性的(de)組件進入;
使用(yòng):通(tōng)過SBOM可(kě)以實時(shí)有效地監控應用(yòng)中的(de)組件,當發現安全問題時(shí)或組件信息變更時(shí),可(kě)以進行預警;
更新:當發現有新的(de)漏洞預警時(shí),可(kě)以進行更新升級,并把更新後的(de)組件信息同步到SBOM中,用(yòng)于後續的(de)持續跟蹤;
退出:當發現不符合安全合規性的(de)組件,需要做(zuò)退出,退出後的(de)組件生成新的(de)SBOM清單。
基于這(zhè)樣全面的(de)安全流程把控,企業的(de)軟件安全風險就可(kě)以大(dà)大(dà)降低,再加上一系列持續運營的(de)動作,比如:在企業管理(lǐ)層面,建立完善的(de)相關制度和(hé)培訓體系,推動SBOM常态化(huà)、自動化(huà)運轉;在員(yuán)工層面,要培養安全意識,加強觀念輸入。基于這(zhè)些,才可(kě)以将SBOM對(duì)企業的(de)助力有效發揮并真正落地。
SBOM造就了(le)雙赢,時(shí)代造就了(le)SBOM
SBOM作爲軟件供應鏈戰略管理(lǐ)的(de)一部分(fēn),對(duì)軟件安全的(de)提升有著(zhe)不可(kě)或缺的(de)重要作用(yòng)。從長(cháng)遠(yuǎn)來(lái)看,SBOM的(de)應用(yòng)和(hé)落地不僅僅對(duì)軟件供應商有幫助,對(duì)企業客戶也(yě)有好處。
對(duì)軟件供應商來(lái)說,不僅可(kě)以讓軟件資産透明(míng)化(huà),提升問題追溯和(hé)處理(lǐ)的(de)效率,提高(gāo)企業的(de)風險應急能力。同時(shí),對(duì)企業客戶來(lái)說,安全、透明(míng)的(de)交付物(wù),可(kě)以讓他(tā)們在第一時(shí)間就感知到産品的(de)質量和(hé)安全。
SBOM從某種角度上來(lái)說是一種企業軟件風險管控的(de)思路,但是其本質上是軟件行業精細化(huà)發展、有序化(huà)運營過程必然會産生的(de)關鍵産物(wù)。
這(zhè)是時(shí)代的(de)選擇,也(yě)是軟件安全行業的(de)重大(dà)進步。