0


软件供应链安全基础知识(SBOM)--开发安全

1、BOM是啥?

    物料清单(Bill of Material,Bom),采用计算机辅助企业生产管理,首先要使计算机能够读出企业所制造的产品构成和所有要涉及的物料,为了便于计算机识别,必须把用图示表达的产品结构转化成某种数据格式,这种以数据格式来描述产品结构的文件就是物料清单,即是Bom。它是定义产品结构的技术文件,因此,它又称为产品结构表或产品结构树。在某些工业领域,可能称为“配方”、“要素表”或其它名称。(这个百度上已有很多解释了)

    按照用途又可以分为:EBOM、PBOM、MBOM三大类,并细分出了工程BOM、工艺、设计、制造、客户、维修 BOM六种。了解工艺的人会更加清楚

2、SBOM是啥?

    软件物料清单。当前不仅制造业意识到物料清单的必要性,软件行业为保障软件安全性也逐步开始采用 SBOM,以提高软件供应链的透明度,识别软件组件。

    从国外来看美国欧盟等国家已经在有相关的供应链政策发布,并且美国已经率先将供应链安全上升至国家战略层面,从2008年以颁布多个供应链风险管控体系,控制国家安全。

    从目前软件研发行业来看,开源也是大势所趋,在各行各业的代码库中开源代码数量占比居高不下,不容忽视企业,对开源软件的治理是不可避免的,并且需要重点关注数据安全风险,合规和知识产权风险运维和管理风险三大类。从软件系统的组成成分来看,国内现代的程序大部分是来源于开源软件组合,而SBOM可以表示出应用程序中所包含的软件组件,包括开源的专有的或第三方,并且能详细说明其来源许可以及安全属性。从软件的关联关系来看,一个软件系统的组成,各个组件之间都是具有相互依存关系。所以建立完整的软件和组件的链路关系,关联关系可借助软件,物料清单已实现,列入上下游关系,信息链路可达,分析包括出现问题之后的应急响应,实现在整体运维处置过程当中的快速问题定位以及问题处置。

3,Sbom的常用标准

    目前常用标准主要是有三个,分别是owasp,spdx,swid三种类型。

4,Sbom的价值

    从甲方视角来看,可总结为几个关键词:透明,管理,时间。风险,应急和决策。

    软件透明化,方便了企业与个人对自身物料的基础管理。

    提升了企业和个人问题追踪回溯效率和处置效率,对风险的评估和相关决策提供依据。

    提升了应急响应能力,在漏洞披露是及时的进行相应排查,以快速安全修复最小化软件供应的安全风险。

    有效的避免了企业和个人因为使用不合格的许可而受到不当使用相关的法律或知识产权的风险。

    为追溯问题定位节省大量时间。

    为企业采购及外协提供了依据,增强企业自身的风险预判能力。

    从乙方视角来看,则归为安全,口碑,专业三个关键点。

    安全,透明交付物,让客户在第一时间就感到产品的质量和安全,透明化管理。

    口碑,赢得客户口碑,实现双赢。

    专业交付产品,除了产品本身体现的专业性外,往往在交付材料上也能体现一个企业的正规化和专业性。此点深有感触。

=======================

    以下我结合我作为产品经理期间对SBOM的理解和认识。

    首先我先讲讲一个案例,公司之间的合作作为产品经理参与方案整合是一个很正常的事情,但是做一个正在快速发展中的公司和一个已经上市的公司产品经理对接,是否可以想象下不是位置不对等导致交流不通畅(解释下不通畅不是不好交流的意思),而是在产品管理经验以及材料补位的工作上欠缺,比如一个标准的产品材料list,相对照拿出来对比,完全不同,这是大于号小于号的问题。中间就提到关于SBOM清单的问题,我当然不是很理解,也在被动的接受需求快速响应这些我认为是研发要给的东东,作为产品借口人自然开始对接了。到这里大家应该能想到问题点了,那下面我简单谈谈我的这个案例中的一些感悟和想法。

    SBOM,管理做到位对外好

    咱们先向外看吧,对于一个产品SBOM清晰,且能有效,是有效管理起来,定期进行维护,试想上面的情况还会出现吗?“平等”对话,你是不是感觉更爽、大厂对于我快速发展的公司是不是更加信赖、安全指数直线上升 。如在对接过程中发现组建不匹配就可以快速响应并做出判断,更利好的是在你给出SBOM后对方会根据需求以及当前方案整合的难易度给你推荐方案选择,是不是又在沟通中节省了很多的时间。

    特别一些伙伴对安全管理比较严格,会严格控制你的接口通讯方式等一些方案结合点,所以提前准备好相关材料是一个利他利己的事情。当然这个事情我理解研发测产品经理需要掌握,对于市场测的产品经理也有同等义务作为了解掌握,只有这样才能灵活应对外部变化。

    SBOM,管理做到位对内好

    对内我认为让团队更加清晰、专业、有序;更加明确迭代、升级、安全管控。

【以上是作者浅见,部分内容通过材料整合而来,欢迎大家关注、评论】


本文转载自: https://blog.csdn.net/jasonzhang345/article/details/127625340
版权归原作者 Ba0锅 所有, 如有侵权,请联系我们删除。

“软件供应链安全基础知识(SBOM)--开发安全”的评论:

还没有评论