网安云知识 | 什么是SBOM(软件物料清单)?

发布时间:2024年01月23日

?更多网络安全干货内容:点此获取

———————

软件物料清单(SBOM),企业软件资产管理的关键。

SBOM,全称是Software Bill of Materials,,中文翻译为软件物料清单。其实很好理解,就跟我们买加工后的食物,包装袋上展示的成分表一样,软件物料清单也可以理解为是软件的成分表。

里面主要包含这几项:


● 供应商名称:也就是开发该软件组件的个人或组织;
● 组件名称,通常由供应商决定;
● 组件版本: 一个标识符,指定当前使用组件的版本,同样,这是由供应商决定的;
● 其他独特标识符: 像SWID标签、PURL、CPE或类似的标识符,可以帮助SBOM 消费者在关键数据库中找到组件。

● 依赖项关系: 表示软件组件是如何结合在一起的,如,某个上游组件包含在某个软件
● SBOM数据的作者: 生成SBOM元数据的实体,可能是软件供应商或其他个人、团体
● 时间戳: SBOM 生成的日期和时间


基本上可以把软件内部组成成分的情况,比如来自于哪个供应商、版本、组件之间的相互依赖关系、层级关系等帮用户梳理清楚。


一般来说,那些软件体量比较大的企业,如果没有软件物料清单管理的话,软件安全管理就会比较困难。软件就跟盲盒一样,一旦出现安全问题,都没办法快速定位到安全问题所在。


SBOM现在在国外已经是很受重视了,美国电信管理局(NTIA)2021年就 发布了一项规定,要求是政府采购的软件必须要包含SBOM,也就是说,如果你想把你的软件卖给政府,必须附带这个软件物料清单

文章来源:https://blog.csdn.net/suriwa/article/details/135766733
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。