第十一章 消费者实务指南

软件供应商的另一面是软件消费者。这些消费者正试图理解正在出现的一系列指导、最佳实践和要求,这些指导、最佳实践和要求不可避免地涉及供应商和消费者之间关系的推拉动态。每个都有不同的观点、激励措施和目标,并且可能有不同的监管要求。

11.1 深思熟虑

虽然本章关于消费者指南的内容包括与软件物料清单 (SBOM) 相关的讨论和建议,但我们想强调的是,SBOM 只是软件供应链安全更广泛讨论中的一种新兴工具和资源。然而,鉴于其对行业的高度关注,我们...

11.2 我真的需要一个SBOM吗?

随着围绕 SBOM 的所有炒作和混乱,一些软件消费者可能会问自己是否需要 SBOM。当然,虽然软件行业几十年来一直没有使用 SBOM,但这并不意味着没有挑战,而且随着 OSS 和第三方组件的使用...

11.3 我该怎么处理它

你已经从软件供应商那里收到了SBOM,或者基于内部开发工作开始创建SBOM。现在,如何让这些SBOM变得有价值且可操作? 正如我们之前讨论的,SBOM在多种应用场景中具有价值,例如漏洞管理、依赖...

11.4 接收和管理大规模SBOM

虽然单独来看,SBOM的概念及其用于揭示产品所涉及的软件组件和被消耗的软件组件的用途显得合乎逻辑,但在大型企业环境中跨越数百或数千个开发团队和众多第三方软件供应商的大规模实施,这个想法很快就会变...

11.5 减少噪声

拥有SBOM是一个很好的开始,但如果没有关于漏洞实际可利用性的上下文信息,它很大程度上会成为额外的噪声,增加消费者及其各种利益相关者的负担。因此,获取关于软件组件的详细信息(例如可利用性)是关键...

11.6 分歧的工作流程——我不能只是应用一个补丁?

正如我们在前面的部分中讨论的那样,现实情况是,尽管供应商的软件和产品中存在漏洞,但消费者通常无法简单地获取可用的修复补丁。 这可能是由于供应商面临的资源限制、修补和纠正时间表、竞争性功能积压,或...

11.7 小结

在本章中,我们为软件消费者提供了实用的指导,包括广泛而深入地思考其软件消费的范围以及相关的各种来源和潜在攻击向量。我们还讨论了软件物料清单(SBOM)的出现及其对软件消费者的意义,同时强调了一些...
Back to top