2022年6月17日,在中国信通院主办的首届3SCON“软件供应链安全论坛”上,建信金科基础技术中心总裁李晓敦和中国信通院云大所所长何宝宏共同发布了《软件物料清单(SBOM)安全应用白皮书》(以下简称白皮书)。建信金科基础技术中心信息安全专家王晖对白皮书进行了深度解读。
《软件物料清单(SBOM)安全应用白皮书》发布
《软件物料清单(SBOM)安全应用白皮书》大纲
这是国内首本SBOM安全应用白皮书,由建信金科与中国信通院联合编撰,梳理了SBOM的国际进展和相关标准,并对SBOM的发展趋势进行了展望。同时,白皮书还阐述SBOM在建信金科DevSecOps、安全运营平台上的实施路径,为行业提供可落地的参考。
《软件物料清单(SBOM)安全应用白皮书》解读
►SBOM是保障软件供应链安全有力抓手
数字化时代下,软件已成为维持社会正常运转的基础。但在软件功能、性能、场景等快速发展的同时,软件供应链也逐渐趋于复杂化和多样化,具体构成关系、供应链上下游的依赖关系也随之模糊,软件供应链整体透明度进一步降低。
SBOM由实体物品的物料清单概念扩展发展而来,具体是指描述构成软件程序或应用程序的成分组成的技术文件,自诞生之初便有明确目标,即提高软件组件及供应链透明度。其出现能够为保护软件供应链奠定重要基础,成为软件供应链安全保障的有力抓手。
►国内外加快SBOM实践与研究
国内外对SBOM越发重视,SPDX、CycloneDX、SWID等国际标准的发展有利推动了SBOM的发展,各重点国家与区域组织均加快了实践推进步伐,取得了多项研究成果。
目前我国对SBOM的研究逐步有序推进,行业对SBOM已形成了多项共识,如为合理实施SBOM并获得预期的效果,企业应具备对DevSecOps的认知和流程基础,在基于DevOps的流程上持续迭代集成安全特性,并在迭代过程中逐步实施SBOM标准。
SBOM也正在成为资产数字化建设的重要抓手,通过不断研发,建信金科自主建设的安全运营平台已可为企业级安全运营提供工作提供威胁监测分析、事件管理、漏洞管理、情报管理、溯源取证、自动化编排和运营能力有效性验证七个方面的技术能力支撑。
从SBOM当前实践来看,SBOM在企业信息安全体系中正扮演越来越重要的角色。推进SBOM标准化、相关服务产业化、相关软件功能集成化、相关产品生态化,对建设软件供应链安全生态有着重要意义,将取得进一步的发展。
SBOM的发展离不开各方的共同努力,中国信通院将联合各方开展有关SBOM标准化的会议,共同讨论最小要素构成、生成格式等内容,与业界共同推进SBOM标准工作,为形成SBOM良好生态环境打下坚实基础。
《软件物料清单(SBOM)安全应用白皮书》
扫码下载
联系人:
吴江伟
18810541612(微信同号)
wujiangwei@caict.ac.cn
| 文章来源:中国IDC圈
• END •
重要通知
为进一步增强与读者的联系、沟通,我们创建了“IDC圈茶话会”读者社群,欢迎大家扫描二维码添加“小融”入群,一起聊聊共同关心的话题。