| 审稿:袁睿斌
| 设计:王福政
微软响应开源软件安全 召推出SBOM工具 开源安全任重道远
7月12日,微软 One Engineering System(1ES)产品主管 Danesh Kumar Badlani 与 1ES 首席项目主管 Adrian Diglio 在博客中宣布 Salus (软件物料清单生成工具,SBOM tool)已经走向开源。
SBOM (Software Bill of Materials,软件物料清单) ,被称为开源安全危机的“特效药”,尤其在开源软件的伦理道德和安全受到挑战和威胁的时候发挥出重要作用。2021年5月美国总统拜登签署一项行政命令,规定所有负责向联邦机构提供软件的供应商都必须提供SBOM。近日,美国政府和37家科技巨头企业以及开源 群召开开源软件安全峰会,协力解决开源安全问题,其中就包含软件物料清单SBOM问题。
SBOM这个概念广泛存在于传统制造业,被用于记录和跟踪各个部件的流向,以便于快速清晰管理部件。同理在开源领域,在数字化的推动下,开源软件的占比率越来越高,但是其中存在很高的风险。据开源 安Source Check工具对热门开源项目的扫描结果看,53.8%的项目存在超危风险。SBOM就是将给定产品的中所有软件组件(专有和开源代码)、开源许可证和依赖项列了清单,这对开源软件进行有效管理和风险规避。
微软推出的Salus开发工具,适用于包括 Windows、Linux 和 Mac 在内的平台,并且采用了标准的软件包数据交换(SPDX)格式。
Salus 创建的文档包含四个主要部分,包括文档创建信息(其中包含软件名称、SPDX 许可证、SPDX 版本、文档创建者和创建时间)、组成软件的文件列表、构建软件时使用的软件包列表,以及 SBOM 不同元素之间的关系列表。
微软还表示:开放 Salus 的源代码是促进我们 区内合作和创新的重要一步,我们相信这将使更多的组织能够生成 SBOM,并为其发展作出贡献。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!