写点什么

仅仅发布 SBOM 是不够的,质量和可用性因项目而异

  • 2023-02-06
    北京
  • 本文字数:1237 字

    阅读完需:约 4 分钟

仅仅发布SBOM是不够的,质量和可用性因项目而异

软件物料清单(SBOM)正成为确保软件供应链健康的重要组成部分。最近对开源存储库中 SBOM 的质量和可用性进行的一项评估发现,SBOM 的可用性和实现存在很大的差异。OpenSSF开源软件安全动员计划有一个专门的流来改进 SBOM 的可用性、生成和消费。

 

正如开源软件安全动员计划的作者所指出的那样,“仅仅发布 SBOM 是不够的,还需要积极地使用它们”。然而,Chainguard 的安全数据科学家John Speed Meyers怀疑,我们是否也需要专注于确保高质量的生成工具的存在。Meyers 指出:

 

尽管存在许多 SBOM 生成工具(以及许多 SBOM 的隐含存在),但 SBOM 消费工具仍难以解析格式不正确和不完整的 SBOM,并且实现软件透明度的目标仍然遥不可及。

 

为了“在自然状态下”验证 SBOM 的可用性和质量,Chainguard 创建了一个包含 50 多个公开可用的 SBOM 的数据集(bom-shelter)。然后,该团队针对数据集应用了两个 SBOM 质量评估工具。第一个工具SBOM Scorecard是 eBay 的一个开源项目。第二个工具是来自 SPDX 社区的美国国家电信和信息管理局(NTIA)一致性检查器

 

Meyers 报告称,许多开源项目 SBOM 的质量很低。例如,SBOM Scorecard 工具检查是否存在软件包许可证信息。在被评估的 SBOM 中,只有大约 20%的有此信息。

 

NTIA 一致性检查器根据NTIA“最小元素”框架评估 SBOM。它们将这些最小元素描述为“支持基本 SBOM 功能的基本要素,并将其作为不断演进软件透明度方法的基础”。“最小元素”包括供应商名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM 作者和时间戳。所有评估的 SBOM 没有一个全部包含所有这些信息。

 

开源软件安全动员计划提出了十个行动流,重点是提高开源软件的安全性。第九个流侧重于改进 SBOM 工具和培训,以帮助推动整个生态系统采用 SBOM。为了实现这一目标,他们强调了三种方法:

 

  1. 推动就跨各种 SBOM 规范实施的共同要求达成一致

  2. 确保有易于使用的开源工具可以根据这些要求生成 SBOM

  3. 提供无障碍教育、意识和实施指导

 

该团队指出,已经有多种 SBOM 规范可用,其中包括SPDXCycloneDX。工作组的重点不是将所有可用格式整合成一种格式,而是在可用格式之间实现“无缝互操作性”。

 

Amélie KoranWendy NatherStewart ScottSara Ann Brackett最近发表的一篇文章旨在明确定义消费SBOM的用例。他们指出,缺乏明确定义的用例会带来两个主要风险:

 

首先,它有使命偏离的风险,政策制定者可能会在没有明确界定 SBOM 旨在解决的问题的情况下,开始将 SBOM 视为解决所有供应链问题的灵丹妙药。

 

他们强调的第二个风险是由于 SBOM 的价值被低估而导致的采用率低下。作者确定了四个主要用例:采购、漏洞管理和威胁情报、事件响应、以及生态系统映射。

 

Meyers 同意提高 SBOM 可用性及其质量的双重目标,他指出“如果要通过 SBOM 实现软件透明度,SBOM 质量将成为一个关键问题。”有关 SBOM 分析结果的更多详细信息,请访问Chainguard的博客

 

原文链接:

https://www.infoq.com/news/2023/01/sbom-quality-availability/


相关阅读:

Linux 基金会《软件材料清单(SBOM) 与网络安全准备度》报告深度解读 


2023-02-06 09:243390

评论

发布
暂无评论
发现更多内容

WebGL入门之基于WebGL的Sovit3D可视化平台

2D3D前端可视化开发

数据可视化 WebGL 三维可视化 web3d 3d绘图引擎

京东云正式加入openGauss社区,共筑数据库科技服务供应链

助推专精特新企业数字化的低代码

力软低代码开发平台

openGauss企业级开源数据库荣获2022年度中国计算机学会(CCF)科技进步奖特等奖

为啥PMO困惑的起因和其他职能部门不一样?

PMO实践

项目管理 PMO

Wallys/IPQ8072/IPQ8074/2x(4×4 or 8×8) 11AX/IPQ6010 (IPQ6018 FAMILY)/industrial wifi6 moudle

wallysSK

IPQ6010 ipq6018 IPQ8072 IPQ8074

面试官:介绍一下 Redis 三种集群模式

Jeremy Lai

redis集群

金奖方案 | 一专多能、傲视寰宇,南大通用GBase8c数据库牛在哪里?

华为云会议助力云上办公更加容易

爱尚科技

事务

ssun

事务 JAV A 11月月更

元年智答|数据洞察功能介绍

元年技术洞察

人工智能 数字化转型 智能

openGauss —— 智能优化器之基数估计

AI/ML如何在山林防火中大显身手?

澳鹏Appen

人工智能 工业4.0 工业 数据标注 防火

openGauss的SQL引擎在3.1.0版本中做了哪些优化?

(Java开发岗)了解大厂面试基本套路及每一轮的重点

程序知音

Java 后端 java面试 java架构 互联网大厂面试

华为云桌面Workspace云上办公,方便得很!

科技说

海量数据 x 宝兰德 x openGauss Meetup成功举办,广州用户组正式成立!

欢迎航天宏图加入社区

公司真的需要PMO吗?

PMO实践

项目管理 PMO

重磅来袭!爆肝一周整理的多线程&高并发笔记(含面试题+导图+笔记)

小小怪下士

Java 面试 多线程 高并发

openGauss-graph 0.1.0版本正式发布

openGauss内核荣获中国首个国际CC EAL4+级别认证

如何拆掉跨部门的墙?

PMO实践

项目管理 企业管理 跨部门沟通

RocketMQ 客户端负载均衡机制详解及最佳实践

阿里巴巴云原生

阿里云 RocketMQ 云原生

华为云大数据轻量级解决方案,让数据“慧”说话

科技说

智慧医疗时代,如何更精准、更智能、更高品质?

澳鹏Appen

人工智能 医疗 数据标注 智慧医疗 AI医疗

腾讯生态大会倒计时1天!

ToB行业头条

多场景下 3-11 倍性能提升,Apache Doris 1.2 新版本性能揭秘!

SelectDB

数据库 数据分析 Clickhouse Doris 数仓

openGauss的高效数据压缩算法

华为云会议让企业会议想开就开

爱尚科技

使用 Rainbond 搭建本地开发环境

北京好雨科技有限公司

Kubernetes rainbond

仅仅发布SBOM是不够的,质量和可用性因项目而异_语言 & 开发_Matt Campbell_InfoQ精选文章