代码漏洞的数量和影响都在不断增长。随着越来越多的软件成分来自不同的供应商即软件供应链,快速找到并修复其中的漏洞也变得越发艰难。最近,某软件团队发现了一个 IP 漏洞且不得不通过 LinkedIn 找到能够修复该漏洞的财富100强公司,使它们意识到这个问题的存在。
其中的一个解决之道是使用软件物料清单 (SBOM)。美国商务部国家电信和信息管理局 (NTIA) 的 络安全计划主管 Allan Friedman 分享了通过 SBOM 使代码内部运作机制透明化的重要性。
SBOM 是什么/p>
SBOM 是描述软件包依赖树的一系列元数据,包括多种关键信息如提供商、版本 和组件名称。这些基本详情在分析软件漏洞时发挥着关键作用。这些漏洞根植于多种组件中,如下流程图所示。
这份分类围绕的是 SBOM:
-
耗尽:良好的工具集使得团队能够读取内容并且对比不同的 SBOM 从而检测出其中的不同之处。
NTIA 还鼓励工具间的互操作性,以便所有人一起提高意识并提升工具的用处。
政府认可
就像医疗设备所达到的那样(生死问题),SBOM 应该也能未其它行业和应用程序做到这一点。当前的管理层意识到了 络安全的重要性并发布行政令,说明了 SBOM 及其价值。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!