第四章 软件物料清单的兴起
本章讨论了 SBOM 概念的起源,包括早期的失败和成功,以及为其成熟做出贡献的美国联邦和行业组织。我们还将深入探讨 SBOM 格式、特定字段以及漏洞利用交换 (VEX) 出现的一些细节
4.1 法规中的SBOM:失败和成功
尽管行业内可能存在一系列与软件物料清单 (SBOM) 相关的动态,但达到当前这一点是经过了多年的努力,涉及了各种政府和行业组织的参与。最值得注意的是,最近的 SBOM 动态发生在国家电信和信息管...
4.2 行业努力:国家实验室
为应对特定行业的需求,几个概念验证(PoC)小组作为NTIA SBOM研讨会的一部分被建立。医疗PoC至少经历了三次迭代,此外还成立了汽车PoC和其他几个小组。这些小组中有些对公众开放,有些仅限...
4.3 SBOM格式
为使 SBOM 的采用标准化和成熟化,各方努力围绕几种主要的 SBOM 格式开展工作。迄今为止,三种主要的 SBOM 格式是软件识别 (SWID) 标签、CycloneDX 和软件包数据交换 (...
4.4 行动建议
正如我们所讨论的,SBOM 计划从 NTIA 转移到网络安全基础设施安全局 (CISA),与此同时 SBOM 的倡导者和领导者 Allan Friedman 也转移到了 CISA。自此之后,CI...
4.5 将 SBOM 与其他证明结合使用
SBOM 只是一种证明;它是一份包含其内部声明证据的文件。它通过附加到这些声明上的加密验证的质量和真实性得以强化。因此,通过数字签名将 SBOM 连接在一起的概念变得可行,这使得即使是不完整的 ...
4.6 总结
在本章中,我们讲述了 SBOM 的兴起,以及其从 NTIA 等机构开始的早期努力,现阶段则转移至美国联邦的 CISA。我么讨论了不同的 SBOM 格式,还提到了 VEX 概念的出现,这有助于减少...