第五章 软件透明度的挑战
在美国国家电信和信息管理局 (NTIA) 软件物料清单 (SBOM) 计划的早期讨论中,设备的 SBOM 主题作为一个复杂的因素出现。目前,人们的共识是,SBOM对许多组织来说是一个新概念,因此使讨论复杂化是不可取的。毕竟,设备软件和固件不就是软件吗?
5.1 固件和嵌入式软件
我们将这一类别分为几个讨论领域:作为操作系统的固件、嵌入式设备的固件,以及 SBOM 在某些特定设备场景(如医疗设备)中的应用。 Linux 固件 作为操作系统的固件,特别是 Linux 固...
5.2 开源软件和专有代码
在软件领域,代码主要分为两类——开源软件(OSS)和专有软件——这使得讨论软件供应链中的透明性变得复杂。OSS 与任何人都可以查看、使用和贡献 OSS 代码有明显不同。尽管存在一些所谓的“源代码...
5.3 用户软件
用户软件与设备固件或用于管理网络和安全的企业级产品相比,往往带来截然不同的视角。通常情况下,这些软件被认为不是关键性的,因此常常未能引起足够的关注。然而,用户软件和常见工具却经常成为攻击的目标。...
5.4 遗留软件
如果我们看看开源生态系统中为解决供应链问题而推出的所有优秀项目,包括现代应用开发框架和工具,这无疑展现了一个特别乐观的前景。但是,这对于遗留软件意味着什么呢? 特别是在关键基础设施或国防领域——...
5.5 安全传输
在供应链风险管理的核心是信任的概念,或信任的验证。这包括对软件来源或出处的信任,相信它不包含超出我们风险容忍度的组件或库,相信在到达我们之前没有发生变化,相信我们即将安装的是我们所预期的产品。 ...
5.6 总结
总结起来,尽管推动软件透明度背后有着巨大的动力,但仍然有几个问题需要解决,而这些问题的解决可能具有挑战性。在本章中,我们讨论了一些问题,如嵌入式和遗留软件、开源软件及其各种许可类型,以及数据传输...