让SBOM成为 “实用派” 的3个思路

评估软件物料清单（SBOM）是否实用，主要考量：是否符合标准规范、是否能全面精准识别软件成分信息，以及是否具备“互操作性”。

01/互操作性

SBOM 是静态文档。所以，如果企业使用SBOM只是为了检查软件，除此之外什么也不做，那么从软件SBOM中获得的价值就非常有限。

SBOM的使用，重点在于发挥它的“互操作性”，让其加入到软件供应链的风险管理中去。

接下来，将为大家详细展开：“可操作性”的SBOM，在软件供应链安全风险管理中的三大应用方向：集中管理、风险定位、安全告警。

1.集中管理

随着社会分工的细化，以及技术的复杂化，企业为满足高效高质完成产品迭代的需求，将大部分软件的研发和方案编写、实施交给了相关的专业厂商。

尤其是大型企业，软件供应商数量众多，不同供应商软件内部组成成分、来源、安全状态都存在较大的差异。这时，则需要供应商们提供标准统一的SBOM文件，并通过系统对SBOM进行集中管理。

2. 风险定位

当被广泛开发者应用的组件存在新的0day漏洞时，企业可以通过查询旗下所有软件系统的SBOM，进而从大量软件中定位到引用了该组件的所有软件系统。

但是，当软件数量达到上百数千个的时候，手动的检查操作显然不现实。因此，倘若通过一个界面，便可快速从成千上万个软件的SBOM中，定位到引用了目标组件的软件，企业的软件供应链风险管理能力将得到显著提升。

3. 安全告警

企业还可将SBOM与威胁情报、漏洞管理系统进行集成，以便在新的零日漏洞浮出水面时，可以快速、自动化定位到存在安全风险的软件应用，进行及时安全告警，推送给软件供应链安全管理员。

02/标准化

要使 SBOM 能被广泛应用，且能被自动读取，其交换格式则必须符合标准规范。

业界常用的两个标准是SPDX和CycloneDX。这些标准旨在建立SBOM输出的统一性，避免不同工具输出同一软件的SBOM结果不一致的情况。

这些格式可以定制为：包含、排除或链接到某些信息，例如许可证、版权和漏洞，具体取决于用例和垂直行业。

需要注意的是，SPDX和CycloneDX只是描述SBOM文件结构的标准，但不代表展示的信息是完全准确或全面的。

如果在SBOM生成过程，工具输入了错误信息，就算最终输出的SBOM文件格式是标准的，但输出的信息也是有误的。

03/全面性

许多软件应用程序最大的攻击面都是由开源组件组成。开源组件安全影响范围之广，我们从Log4j 这个史诗级漏洞事件中，就可清晰了解到。

所以，对于大多数组织来说，保护软件供应链和信息基础架构，优先级最高的措施就是：快速识别和修复开源软件漏洞。

很多人都认为， SBOM 只是一个开源软件（OSS）库存。所以，大多数软件组件分析（SCA）供应商在生成的SBOM中，只列出了OSS组件，以及不同级别的传递依赖关系。

但仅仅考虑OSS是不够的，因为其他非开源软件组件也可能成为软件供应链安全隐患。系统漏洞可能源于所有类型的代码，而不仅仅是开源。

所以，拥有一个能详细展示软件内部所有成分（包括自定义代码、开源组件和第三方非 OSS 组件等）的SBOM，至关重要。

04/SBOM不是灵丹妙药

一个完整的SBOM，尽管非常重要，但也只是软件供应链风险管理中的一小部分。

就像我们吃东西一样，我们同样也会考虑食品加工制作的全流程，是否存在危害健康的隐患。例如：我们除了考虑食品制作原料是否存在未知成分之外，还会关注其违反了卫生管理规定等等其他各种各样的问题。

软件供应链安全治理，同样的也是一件复杂的事情。

确保软件产品可以安全使用，需要做好软件供应链全流程的管控，而不仅仅是拥有 SBOM。

原文链接：Building a Better SBOM

原作者：Anita D’Amico（VP of Cross-Portfolio Solutions and Strategy, Synopsys Software Integrity Group）

（*本文为翻译文，为了提升中文场景下读者阅读体验，做了语句、段落表达优化与调整，如若侵权请联系本号处理。）

-网安云·软件物料清单管理平台–

网安云基于开源网安成熟的SCA（软件成分分析）技术能力，深度研发具备全面性、标准化、“互操作性”，且高自动化高可视化的SBOM管理工具——软件物料清单管理平台。

（点击免费试用）

01 全面性SBOM梳理

本平台除了对软件版本、类型、名称、供应商等基本信息进行管理之外，增加对软件内部成分信息（包括但不限于：内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等）的梳理与可视化展示。大大降低软件资产的“模糊性”，帮助企业快速摸清家底。

02 安全风险快速溯源

开源网安SBOM管理平台，运用强大的数据分析与图标可视化能力，还原软件内部成分信息之间层次、依赖关系，以及软件基本信息与安全信息之间的关联关系，绘制可视化关系图表。协助客户进行安全风险传导路径分析，快速溯源，圈定影响范围。

03 软件资产动态化管控

实现数据实时采集与分析，秒级的延时粒度，帮助企业及时获取最新的软件安全态势信息，根据内外部安全环境的变化快速调整安全策略，提高安全风险应急能力。

04 软件物料清单标准化

平台严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准，通过“识别组件-获取数据-构造SBOM”三大步骤，输出标准化的SBOM文件，确保文件格式有效、属性合规。

现平台可免费试用，欢迎咨询。