AICon日程100%就绪,9折倒计时最后一周 了解详情
写点什么

仅仅发布 SBOM 是不够的,质量和可用性因项目而异

  • 2023-02-06
    北京
  • 本文字数:1237 字

    阅读完需:约 4 分钟

仅仅发布SBOM是不够的,质量和可用性因项目而异

软件物料清单(SBOM)正成为确保软件供应链健康的重要组成部分。最近对开源存储库中 SBOM 的质量和可用性进行的一项评估发现,SBOM 的可用性和实现存在很大的差异。OpenSSF开源软件安全动员计划有一个专门的流来改进 SBOM 的可用性、生成和消费。

 

正如开源软件安全动员计划的作者所指出的那样,“仅仅发布 SBOM 是不够的,还需要积极地使用它们”。然而,Chainguard 的安全数据科学家John Speed Meyers怀疑,我们是否也需要专注于确保高质量的生成工具的存在。Meyers 指出:

 

尽管存在许多 SBOM 生成工具(以及许多 SBOM 的隐含存在),但 SBOM 消费工具仍难以解析格式不正确和不完整的 SBOM,并且实现软件透明度的目标仍然遥不可及。

 

为了“在自然状态下”验证 SBOM 的可用性和质量,Chainguard 创建了一个包含 50 多个公开可用的 SBOM 的数据集(bom-shelter)。然后,该团队针对数据集应用了两个 SBOM 质量评估工具。第一个工具SBOM Scorecard是 eBay 的一个开源项目。第二个工具是来自 SPDX 社区的美国国家电信和信息管理局(NTIA)一致性检查器

 

Meyers 报告称,许多开源项目 SBOM 的质量很低。例如,SBOM Scorecard 工具检查是否存在软件包许可证信息。在被评估的 SBOM 中,只有大约 20%的有此信息。

 

NTIA 一致性检查器根据NTIA“最小元素”框架评估 SBOM。它们将这些最小元素描述为“支持基本 SBOM 功能的基本要素,并将其作为不断演进软件透明度方法的基础”。“最小元素”包括供应商名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM 作者和时间戳。所有评估的 SBOM 没有一个全部包含所有这些信息。

 

开源软件安全动员计划提出了十个行动流,重点是提高开源软件的安全性。第九个流侧重于改进 SBOM 工具和培训,以帮助推动整个生态系统采用 SBOM。为了实现这一目标,他们强调了三种方法:

 

  1. 推动就跨各种 SBOM 规范实施的共同要求达成一致

  2. 确保有易于使用的开源工具可以根据这些要求生成 SBOM

  3. 提供无障碍教育、意识和实施指导

 

该团队指出,已经有多种 SBOM 规范可用,其中包括SPDXCycloneDX。工作组的重点不是将所有可用格式整合成一种格式,而是在可用格式之间实现“无缝互操作性”。

 

Amélie KoranWendy NatherStewart ScottSara Ann Brackett最近发表的一篇文章旨在明确定义消费SBOM的用例。他们指出,缺乏明确定义的用例会带来两个主要风险:

 

首先,它有使命偏离的风险,政策制定者可能会在没有明确界定 SBOM 旨在解决的问题的情况下,开始将 SBOM 视为解决所有供应链问题的灵丹妙药。

 

他们强调的第二个风险是由于 SBOM 的价值被低估而导致的采用率低下。作者确定了四个主要用例:采购、漏洞管理和威胁情报、事件响应、以及生态系统映射。

 

Meyers 同意提高 SBOM 可用性及其质量的双重目标,他指出“如果要通过 SBOM 实现软件透明度,SBOM 质量将成为一个关键问题。”有关 SBOM 分析结果的更多详细信息,请访问Chainguard的博客

 

原文链接:

https://www.infoq.com/news/2023/01/sbom-quality-availability/


相关阅读:

Linux 基金会《软件材料清单(SBOM) 与网络安全准备度》报告深度解读 


2023-02-06 09:243250

评论

发布
暂无评论
发现更多内容

【敏捷转型,效能提升】敏捷转型实践系列分享

京东科技开发者

敏捷 敏捷团队 效能度量 效能提升 #DevOps

GaiaX开源解读 | 给Stretch(Rust编写的Flexbox布局引擎)新增特性,我掉了好多头发

阿里巴巴文娱技术

开源 rust 后端 rust语言 GaiaX

别再秃头背锅了!这个小技巧统计第三方接口耗时很安逸

Java永远的神

Java 程序员 后端 架构师 springboot

RocketMQ Connect 构建流式数据处理平台

Apache RocketMQ

RocketMQ Connect

XTransfer技术专家亮相Flink Forward Asia 2022

XTransfer技术

五大亮点来袭!神州云科冬季发布会报名通道开启,千份精美礼品等你来拿!

通明湖

搜电充电:创新“服务卡片”,让即时充电更便捷

HarmonyOS开发者

HarmonyOS

【12.9-12.16】写作社区优秀技术博文一览

InfoQ写作社区官方

热门活动

中移链合约常用开发介绍 (一)开发基本流程

BSN研习社

中移链

重写Nacos服务发现:多个服务器如何跨命名空间,访问公共服务?

LigaAI

Java 测试 nacos 测试环境 12 月 PK 榜

社招前端常考手写面试题总结

helloworld1024fd

JavaScript

破记录!国产数据库KunDB 单节点TPC-C事务性能超180万tpmC

星环科技

深度剖析 | 【JVM深层系列】[HotSpotVM研究系列] JVM调优的"标准参数"的各种陷阱和坑点分析(攻克盲点及混淆点)「 1 」

洛神灬殇

JVM 12 月 PK 榜 调优参数 调优技术

星环数据云平台 TDC 3.1 发布,新增滚动重启、存储回收站等八大核心功能

星环科技

聊聊电商系统架构, 常见的9个大坑

Java全栈架构师

程序员 后端 架构师 电商 系统秒杀

必会vue面试题总结

bb_xiaxia1998

Vue

实现Promise的原型方法--前端面试能力提升

helloworld1024fd

JavaScript

几个常见的js手写题,你能写出来几道

helloworld1024fd

JavaScript

Github上获赞59.8K的面试神技—1658页《Java面试突击核心讲》

架构师之道

编程 程序员 java面试

将渲染计算搬到云端,开启低成本、强交互、沉浸式体验

阿里云视频云

云计算 阿里云 云渲染 串流

手把手教你成为荣耀开发者:应用管理指南

荣耀开发者服务平台

前端 快应用 荣耀 honor 应用集成

腾讯前端常考react面试题(持续更新中)

beifeng1996

React

能不能手写Vue响应式?前端面试进阶

bb_xiaxia1998

Vue

百度前端一面必会vue面试题合集

bb_xiaxia1998

Vue

全球首家!星环科技通过3TB TPCx-AI测试,实现大数据与AI的完美融合

星环科技

前端二面高频手写面试题

helloworld1024fd

JavaScript

公交车LED电子路牌宣传效果更好吗

Dylan

LED显示屏 户外LED显示屏 led显示屏厂家

民航二所马勇:数据安全防护体系的探索与思考

极盾科技

数据安全

从TiDB搭建到监控闭环

TiDB 社区干货传送门

监控 管理与运维

每日一题之请描述Vue组件渲染流程

bb_xiaxia1998

Vue

性能最大提升60%,阿里云发布基于第四代英特尔至强的第八代ECS实例

云布道师

阿里云

仅仅发布SBOM是不够的,质量和可用性因项目而异_语言 & 开发_Matt Campbell_InfoQ精选文章