写点什么

仅仅发布 SBOM 是不够的,质量和可用性因项目而异

  • 2023-02-06
    北京
  • 本文字数:1237 字

    阅读完需:约 4 分钟

仅仅发布SBOM是不够的,质量和可用性因项目而异

软件物料清单(SBOM)正成为确保软件供应链健康的重要组成部分。最近对开源存储库中 SBOM 的质量和可用性进行的一项评估发现,SBOM 的可用性和实现存在很大的差异。OpenSSF开源软件安全动员计划有一个专门的流来改进 SBOM 的可用性、生成和消费。

 

正如开源软件安全动员计划的作者所指出的那样,“仅仅发布 SBOM 是不够的,还需要积极地使用它们”。然而,Chainguard 的安全数据科学家John Speed Meyers怀疑,我们是否也需要专注于确保高质量的生成工具的存在。Meyers 指出:

 

尽管存在许多 SBOM 生成工具(以及许多 SBOM 的隐含存在),但 SBOM 消费工具仍难以解析格式不正确和不完整的 SBOM,并且实现软件透明度的目标仍然遥不可及。

 

为了“在自然状态下”验证 SBOM 的可用性和质量,Chainguard 创建了一个包含 50 多个公开可用的 SBOM 的数据集(bom-shelter)。然后,该团队针对数据集应用了两个 SBOM 质量评估工具。第一个工具SBOM Scorecard是 eBay 的一个开源项目。第二个工具是来自 SPDX 社区的美国国家电信和信息管理局(NTIA)一致性检查器

 

Meyers 报告称,许多开源项目 SBOM 的质量很低。例如,SBOM Scorecard 工具检查是否存在软件包许可证信息。在被评估的 SBOM 中,只有大约 20%的有此信息。

 

NTIA 一致性检查器根据NTIA“最小元素”框架评估 SBOM。它们将这些最小元素描述为“支持基本 SBOM 功能的基本要素,并将其作为不断演进软件透明度方法的基础”。“最小元素”包括供应商名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM 作者和时间戳。所有评估的 SBOM 没有一个全部包含所有这些信息。

 

开源软件安全动员计划提出了十个行动流,重点是提高开源软件的安全性。第九个流侧重于改进 SBOM 工具和培训,以帮助推动整个生态系统采用 SBOM。为了实现这一目标,他们强调了三种方法:

 

  1. 推动就跨各种 SBOM 规范实施的共同要求达成一致

  2. 确保有易于使用的开源工具可以根据这些要求生成 SBOM

  3. 提供无障碍教育、意识和实施指导

 

该团队指出,已经有多种 SBOM 规范可用,其中包括SPDXCycloneDX。工作组的重点不是将所有可用格式整合成一种格式,而是在可用格式之间实现“无缝互操作性”。

 

Amélie KoranWendy NatherStewart ScottSara Ann Brackett最近发表的一篇文章旨在明确定义消费SBOM的用例。他们指出,缺乏明确定义的用例会带来两个主要风险:

 

首先,它有使命偏离的风险,政策制定者可能会在没有明确界定 SBOM 旨在解决的问题的情况下,开始将 SBOM 视为解决所有供应链问题的灵丹妙药。

 

他们强调的第二个风险是由于 SBOM 的价值被低估而导致的采用率低下。作者确定了四个主要用例:采购、漏洞管理和威胁情报、事件响应、以及生态系统映射。

 

Meyers 同意提高 SBOM 可用性及其质量的双重目标,他指出“如果要通过 SBOM 实现软件透明度,SBOM 质量将成为一个关键问题。”有关 SBOM 分析结果的更多详细信息,请访问Chainguard的博客

 

原文链接:

https://www.infoq.com/news/2023/01/sbom-quality-availability/


相关阅读:

Linux 基金会《软件材料清单(SBOM) 与网络安全准备度》报告深度解读 


2023-02-06 09:243395

评论

发布
暂无评论
发现更多内容

Redis单线程为什么能做到高性能和io多路复用它是个什么鬼

Java架构师迁哥

架构师0期Week13作业

Nan Jiang

LeetCode题解:225. 用队列实现栈,一个队列, 压入 - O(n), 弹出 - O(1),JavaScript,详细注释

Lee Chen

大前端 LeetCode

oeasy 教您玩转linux 之010208 满屏乱码 bb

o

如何在企业微信上搭建一款活动报名 App

Ceelog

企业微信 Go 语言

超级TV盒子,超清秒播,解锁全网VIP资源!

程序员生活志

资源

干货来袭!20例JavaWeb项目开发精粹;(内含源码)

Java架构师迁哥

你应该了解的MySQL锁分类

X先生

MySQL 数据库 sql 数据库优化

字节小组长无意中得知整个部门的薪资,自己28K,手下却有35K,怎么办?

程序员生活志

字节跳动 职场 薪资

解Bug之路-Nginx 502 Bad Gateway

无毁的湖光

nginx Linux TCP

全票通过!易观开源项目DolphinScheduler进入Apache孵化器

易观大数据

克隆虚拟机

yuanhang

Fettley全球共识共享智能合约资产计划 掀起行业追捧热潮

InfoQ_967a83c6d0d7

对PageRank的理解

2流程序员

PageRank 算法

周冬辉

anyRTC小程序SDK 4.0上线

anyRTC开发者

小程序 WebRTC 语音 直播 RTC

大数据

yuanhang

Centos 7 虚拟机

架构师训练营第十三周作业

Hanson

防止APP窃取用户隐私问题,OPPO安全在行动

OPPO安全

App 安全 隐私保护 数据隐私 sdk

​程序员离职后收到原公司 2400 元,被告违反竞业协议赔 18 万

程序员生活志

程序员 职场

35岁以上的程序员们,后来都干什么去了?

华为云开发者联盟

程序员 职业规划 架构师

为什么一个还没毕业的大学生能够把 IO 讲的这么好?

苹果看辽宁体育

Java 后端 io

开源流数据公司 StreamNative 正式加入 CNCF,积极推动云原生策略发展

Apache Pulsar

云原生 pulsar Apache Pulsar 消息系统 消息中间件

限量版Netty纯手打笔记,年薪80W架构师耗时1个月整理出

Java架构师迁哥

从零开始搭建完整的电影全栈系统(一)——数据库设计及爬虫编写

刘强西

爬虫 Scrapy

大专生拿到阿里offer,却担心背调不过,网友:985在你面前黯淡无光

程序员生活志

面试 职场 阿里

如何在一台电脑上管理多Github账号

Matrix Chan

git GitHub 版本管理工具 开发日志

架构师训练营第十三周总结

Hanson

anyRTC - 模仿微信音视频通话功能

anyRTC开发者

WebRTC 语音 直播 RTC 安卓

超详细:完整的推荐系统架构设计

博文视点Broadview

架构 算法 推荐系统

抗疫代码入国家博物馆, 程序员的巅峰时刻!

程序员生活志

程序员

仅仅发布SBOM是不够的,质量和可用性因项目而异_语言 & 开发_Matt Campbell_InfoQ精选文章