网易首页 > 网易号 > 正文 申请入驻

开源治理·聚光灯 | 你对SBOM的理解还停留在软件配料表?

0
分享至

开源 · 三句半

oss-roast

许可收紧频变换

开源治理又变难

谁能帮忙过难关

软件物料清单!

“开源软件可能正面临中年危机”,产生这种说法的原因是许多开源项目在商业化上未达到目标,使得项目维护者缺乏基本运营资金,导致那些正运行于全球各地重要系统中的开源软件难以维持,一些维护者只能重新定位许可证来保障运营工作。因此,很多流行的开源软件突然进行一系列限制性许可更改,其中包括Terraform、Redis、Elasticsearch等等,且变更许可证的项目数量逐渐上升。

此趋势下,开源软件的安全隐患和管理难度逐渐上升,加之近年来,开源软件漏洞引发的安全事件也爆发增长,使得软件物料清单(SBOM)与开源软件治理显得尤为重要。本文帮助软件开发人员深入理解SBOM,通过SBOM进行开源软件治理方法,有效提升软件项目安全性和质量。

SBOM不只是“配料表”

SBOM,即软件物料清单,是一个详细记录软件组件、版本、许可证及依赖关系等信息文档,类似软件的“配料表”,让用户和开发者能够清晰地了解软件的构成。

美国政府于2021年发布的旨在加强国家网络安全态势的第14028号行政命令的一部分要求软件生产商向其联邦客户提供SBOM。我国也陆续发布了一系列相关政策和指导文件,包括《关键信息基础设施保护条例》在内,都强调了增强软件供应链安全保障能力,推动软件物料清单等关键技术的应用。近期,关于SBOM的国家标准《网络安全技术 软件物料清单数据格式》也到了公开征求意见稿阶段,标准将有力规范我国软件物料清单的格式与内容,进一步提升软件供应链的透明度和安全性。

SBOM本质上是提供对构成软件的所有组件成分的可见性记录,它提供了详细可机读的清单,列出了所有开源和第三方库、依赖项以及用于构建软件的组件。SBOM是修复组件问题或0day漏洞不可或缺的工具,当其存储在可搜索的存储库中时,可提供特定依赖项存在的地图,使安全团队能够快速追踪漏洞回到受影响的组件。当前,主流的SBOM标准包括SPDX和CycloneDX等,为SBOM的生成和管理提供了统一的规范,使得不同工具和平台之间能够实现互操作,关于SBOM的生成可以详看《如何生成一份软件物料清单SBOM?》。

SBOM在开源软件治理中的应用

当下,开源软件的威胁严重程度不容忽视。据新思科技2024年OSSRA报告,在分析的1,067个代码库中,96%包含开源代码;在所有被评估的源代码和文件中,77%来自开源代码,且代码库中74%包含高风险漏洞。此外,评估检测的软件应用中开源组件的平均数量为526个。在这种风险规模下,采用SBOM进行开源治理具有建立透明化管理体系、增强安全管控能力的关键作用。

首先,SBOM可以通过相应的管理工具生成,可自动化地识别开源软件中的已知漏洞和过期版本,再结合安全扫描工具,可进行更全面的风险评估,及时发现并修复潜在的安全问题。若进一步对软件成分进行分析,可应用开源网安SBOM管理平台实现对软件内部组成成分的精细化拆解与风险关联,发现与开源软件之间的多层依赖关系,深度识别开源风险。

其次,通过对SBOM的分析,可完成对开源软件的许可证兼容性审查,避免因许可证冲突而引发的风险,应用SBOM管理平台为软件资产管理提供详细的许可合规性信息,可清楚地展示项目中所使用的开源软件在法律上的合规性。

此外,在SBOM的基础上拓展,能帮助企业和开发者构建清晰的软件供应链关系视图,追踪组件的来源和动向,引入签名验证机制,我们可以确保组件的完整性和真实性,从而有效防范供应链攻击。

SBOM在开源软件供应链管理中的应用


开源网安SourceCheck团队认为,SBOM是确保开源软件供应链安全、可靠、合规的关键工具,对于保障供应链安全和管理起到重要作用:

●来源追踪:SBOM可以提供软件组件的来源信息,帮助企业追踪软件的构建过程。这有助于确保软件的完整性和可信度,并防止恶意软件或篡改的组件进入软件供应链。

●风险评估:通过分析SBOM中的组件信息,企业可以评估软件供应链中的潜在风险。例如,发现使用了来自不可信来源的组件或存在已知安全漏洞的组件,可以及时采取措施降低风险。

●合规性管理:SBOM可以帮助企业确保软件供应链符合相关的法规和标准。例如,某些行业可能要求软件产品使用特定的开源组件或遵循特定的许可证要求。通过SBOM,企业可以轻松地验证软件的合规性。

●合作伙伴管理:在与供应商和合作伙伴合作时,SBOM可以作为一种沟通和协作的工具。双方可以共享SBOM,确保对软件组件的理解一致,并共同管理供应链中的风险。

●事件响应:在发生安全事件或供应链中断时,SBOM可以帮助企业快速了解受影响的软件产品和组件。这有助于制定应急响应计划,并采取措施恢复软件的正常运行。

随着技术的发展和软件安全的关注度越来越高,SBOM及其管理工具的标准化、自动化和智能化势必成为未来的重要发展方向。不过,在此之前,行业规范和政策导向是关键,国际和国内关于软件透明度、开源治理的法规政策将逐渐健全,从政策层面推动 SBOM和开源治理的广泛应用与发展,为软件行业的健康稳定发展提供坚实后盾。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
罕见!以色列紧急指令:禁止美军加油机在最大机场降落

罕见!以色列紧急指令:禁止美军加油机在最大机场降落

每日经济新闻
2026-07-14 22:13:03
纪检委应该查查300%缴纳社保的单位,其中大多不是机关事业单位!

纪检委应该查查300%缴纳社保的单位,其中大多不是机关事业单位!

智慧生活笔记
2026-07-14 12:09:38
开拓者夏联主帅:只要瀚森拿球,队友围绕他跑动,就能展现他的天赋

开拓者夏联主帅:只要瀚森拿球,队友围绕他跑动,就能展现他的天赋

懂球帝
2026-07-14 15:32:10
“10万剁你一只手”,女子讨薪惨遭老板群殴,强行扒光衣服羞辱

“10万剁你一只手”,女子讨薪惨遭老板群殴,强行扒光衣服羞辱

易玄
2026-07-15 03:42:14
因凡蒂诺一锤定音,下届世界杯确定 “3+6” 模式,史上最大规模

因凡蒂诺一锤定音,下届世界杯确定 “3+6” 模式,史上最大规模

体坛狗哥
2026-07-14 13:22:45
克莱也要换队了!!这报价很意外啊!

克莱也要换队了!!这报价很意外啊!

柚子说球
2026-07-14 14:45:25
蒋方舟跌落神坛:被“破格”惯坏了的天才,撞上了规则的铁板丨中听

蒋方舟跌落神坛:被“破格”惯坏了的天才,撞上了规则的铁板丨中听

大象新闻
2026-07-14 11:35:36
贾静雯孙志浩为女毕业典礼破冰,离婚夫妻真能友好?

贾静雯孙志浩为女毕业典礼破冰,离婚夫妻真能友好?

小椰的奶奶
2026-07-14 14:34:11
周星驰《功夫女足》与冯小刚《抓特务》上映巨大反差引争议,网友:星爷就算拍的是垃圾,我都认

周星驰《功夫女足》与冯小刚《抓特务》上映巨大反差引争议,网友:星爷就算拍的是垃圾,我都认

火山詩话
2026-07-14 11:27:13
IBM股价大跌25% 创1987年以来最大单日跌幅

IBM股价大跌25% 创1987年以来最大单日跌幅

每日经济新闻
2026-07-14 21:42:04
法西半决赛主裁巴顿:曾创造历史性红牌

法西半决赛主裁巴顿:曾创造历史性红牌

星河漫山野
2026-07-15 00:51:06
后续!彭处长被停职,男友雷某正脸曝光,身份被扒,他才是导火索

后续!彭处长被停职,男友雷某正脸曝光,身份被扒,他才是导火索

谭谈社会
2026-07-13 13:53:05
比亚迪回应唐车型后电机总成脱落

比亚迪回应唐车型后电机总成脱落

新浪财经
2026-07-14 23:57:26
耗资12亿的世界最高佛,如今水拜皆无力承担

耗资12亿的世界最高佛,如今水拜皆无力承担

孤城落叶
2026-07-14 21:55:43
阿塞拜疆总统最新涉华表态

阿塞拜疆总统最新涉华表态

政知新媒体
2026-07-15 01:06:24
基因强大!撒贝宁与混血儿子街头出游,父子眉眼如出一辙

基因强大!撒贝宁与混血儿子街头出游,父子眉眼如出一辙

娱你同欢
2026-07-14 20:30:52
偶遇宋丹丹儿子一家,俩孙子太招人稀罕,巴图本人不胖还有点小帅

偶遇宋丹丹儿子一家,俩孙子太招人稀罕,巴图本人不胖还有点小帅

柒佰娱
2026-07-13 19:59:40
法国队逃红牌!奥利塞飞铲,罗德里脚踝变形,分析机构:应被罚下

法国队逃红牌!奥利塞飞铲,罗德里脚踝变形,分析机构:应被罚下

风过乡
2026-07-15 04:27:18
赛程难产!圣诞大战都没法安排了!!就因为他!

赛程难产!圣诞大战都没法安排了!!就因为他!

柚子说球
2026-07-15 01:08:22
中国不玩虚的!朝鲜总理访华刚结束,中国高层马上就要去朝鲜!

中国不玩虚的!朝鲜总理访华刚结束,中国高层马上就要去朝鲜!

阿龙聊军事
2026-07-14 13:24:35
2026-07-15 04:59:00
SecZone开源网安
SecZone开源网安
开源网安是中国软件安全行业的创领者,为用户提供研发安全、软件供应链安全及安全教育等一站式服务。
358文章数 14关注度
往期回顾 全部

科技要闻

AI失业风险正在逼近 "我们连未来都看不清"

头条要闻

168万拍"乾隆梅瓶"仅值250元 受害人:一共卖了我5个亿

头条要闻

168万拍"乾隆梅瓶"仅值250元 受害人:一共卖了我5个亿

体育要闻

“爱哭鬼”教练,凝聚了一盘散沙的阿根廷

娱乐要闻

施南生离世,成龙、甄子丹等发文悼念

财经要闻

为什么说智谱是中国版Anthropic是伪命题

汽车要闻

激光雷达+智舱 看吉利星瑞L PLUS如何让燃油车也更智能

态度原创

艺术
教育
本地
健康
军事航空

艺术要闻

阳光的囚徒:芭芭拉·贾斯基维奇,那个用画笔拒绝悲伤的波兰女人

教育要闻

高考地理中的厄尔尼诺

本地新闻

打的直达拉萨,一条视频拿下五十万奖金

高血压为何会导致中风高发?

军事要闻

美军宣布将于14日恢复对伊朗的海上封锁

无障碍浏览 进入关怀版