软件物料清单 (SBOM) 正成为一项至关重要的安全要求,它可以在软件在整个供应链中移植时实现可见性。组织必须立即采取行动,建立一项重要的新能力:SBOM 管理。
目前,行业领导者采用的最佳实践是为应用程序的每个交付或部署版本生成软件材料清单SBOM,生成并管理软件的物料清单 (SBOM), 并能快速访问其信息对于解决软件供应链漏洞和攻击至关重要。事实上,最近美国关于国家网络安全的行政命令将要求软件供应商为其销售或交付的软件向联邦机构提供 SBOM。
生成 SBOM 只是第一步。正如 Log4Shell 向我们展示的那样,我们需要能够在出现新的零日漏洞时轻松利用和搜索 SBOM。生成 SBOM 很容易,但管理和跟踪成百上千个 SBOM 是一项艰巨的任务,也是应对不断变化的威胁形势的硬要求。
虽然如今在交付应用程序之前扫描漏洞很常见,但这还不够。扫描应用程序以识别组件和相关漏洞应该是一个持续的过程,不是只运行一次,而是定期运行。每次扫描应用程序时,都必须记录和分析结果。为了从临时系统转变为连续系统,工具和自动化很重要。
应用程序通常包括大量开源代码以及内部开发的代码和第三方商业库。SBOM 生成工具可以检查您编写的代码以及开源代码,但可能无法扫描商业库,在这种情况下,您应该向您的商业供应商索取 SBOM。一旦您拥有所有组件的 SBOM,您将需要将它们组合起来并生成一个涵盖整个应用程序的聚合 SBOM。
SBOM 管理所需的关键功能
使用 SBOM 作为保护软件供应链的基础,随着时间的推移,随着越来越多的 SBOM 被生成和吸收,SBOM 会蔓延开来。解决SBOM 管理问题需要工具和自动化。寻找的能力包括:
- 一个集中存储库,用于跨产品团队和应用程序存储 SBOM。
- 搜索功能可快速查找具有问题组件的应用程序。
- 生成 SBOM 或导入软件供应商和开源项目提供的 SBOM 的能力。
- 组件级 SBOM 的聚合,为整个应用程序创建一个全面的 SBOM。
- 支持丰富的 SBOM 格式以及轻量级 SBOM 标准,例如 SPDX。
- 能够为应用程序的多个版本、多个构建或开发过程中的不同阶段存储多个 SBOM。
- SBOM 检测漂移和策略的比较,以警告可能的篡改。
SBOM 加速事件响应
一旦您为某个应用程序发布了一组明确且准确的 SBOM,您就需要将这些 SBOM 存储在一个集中的存储库中,以便快速扫描和搜索 SBOM 的内容。集中式方法意味着安全团队不必浪费时间尝试确定在其应用程序中部署了哪些组件。当下一个重大漏洞出现时,SBOM 管理工具应立即返回结果。应用策略引擎和策略规则将允许向所有受影响的应用程序团队生成通知和警报。了解受影响的内容以及如何补救应该以分钟为单位,而不是数周。
Log4j漏洞是一个非常昂贵的教训,它提醒我们为什么我们不仅需要 SBOM,还需要能够将它们作为完整软件供应链管理策略的一部分进行管理。现在是积极关注软件供应链安全的时候了。实施 SBOM 管理是一项关键要求,它将在下一个零日出现时带来回报。