10.3 分享还是不分享，多少才算太多？

在推动软件透明度的过程中，软件供应商可能会发现自己会问的一件事是，他们到底需要共享什么，或者他们是否应该共享这些数据。虽然每个组织的决策过程和分析看起来都不同，但有一点是明确的，由于软件供应链攻击的日益普遍，以及消费者和更广泛的行业对未知和潜在不安全软件消费风险的担忧，消费者、客户、政府机构和监管机构对软件透明度的推动正在继续增长。

决定供应商可能被要求或被迫分享什么的因素将受到无数因素的驱动，例如合同语言、消费者要求和适用的监管要求。一些消费者或行业尝试可能会要求或要求供应商提供第一方软件清单组件，而其他组件可能要求或请求在可行的范围内详尽地列出软件和产品中涉及的传递依赖关系。以 NTIA SBOM 最小元素报告为例，在深度方面，该报告指出，“SBOM 应包含所有主要（顶级）组件，并列出其所有传递依赖关系。至少，必须以足够详细的方式列出所有顶级依赖项，以便以递归方式查找传递依赖项。

显然，此要求仅适用于美国联邦生态系统中符合 NTIA 最低要素要求的实体，但它也可以作为有用的指南。需要注意的一点是，寻找传递依赖关系所涉及的工作量可能很大，因此供应商没有向消费者提供这种深度，就会给消费者留下负担，这当然是所有消费者的指数级增长，而不是由供应商直接完成，然后传达给他们的消费者群。除了在识别传递性依赖性时将工作留给消费者之外，仅向消费者提供顶级依赖关系会使他们对与传递依赖关系相关的漏洞和风险视而不见。正如 Endor Labs 的“依赖关系管理状态”报告中所讨论的，我们在其他章节中已经讨论过，该报告发现 95% 的易受攻击依赖关系是传递依赖关系。这意味着，如果 SBOM 未能包含传递依赖项，则大多数漏洞将无法传达或对消费者可见，而无需他们自己进行跑腿工作来识别它们。这不包括对依赖关系（无论是直接的还是传递的）是否可访问和利用的细致分析和细节，但它至少提供了与应用程序或产品相关的所有依赖关系及其漏洞的进一步上下文，而不仅仅是顶级细节。

提供 SBOM 的软件供应商的另一个关键考虑因素是他们提供的 SBOM 是否有用，是否包含足够丰富的元数据，使其对下游消费者有价值。帮助开展这项活动的一个早期新兴工具是 eBay （https:// github.com/eBay/sbom-scorecard）提供的 SBOM 记分卡项目。另一个新兴选项是 OWASP SCVS 项目中的一个项目，我们在第 6 章“云和容器化”中进行了讨论。虽然该项目仍在进行中，但它致力于帮助组织评估 BOM 是否符合组织策略、格式和分类。随着行业尝试继续采用 SBOM，此类工具以及 SBOM 记分卡将是必要的。正如我们所讨论的，SBOM 的深度、完整性和准确性目前各不相同，组织希望根据其组织或法规确保与其特定要求保持一致，以确保他们分发或使用的 SBOM 满足他们的需求（https://scvs.owasp.org/bom-maturity-model）。

此工具可用于确定一些关键条件，例如 SBOM 规范是否合规、是否提供有关其生成方式的信息以及与包关联的信息，例如具有 ID、许可信息和版本控制。

我们在第 4 章“软件物料清单的兴起”中讨论了 NTIA 定义的 SBOM 最小元素。这些最低要素对联邦软件供应商和消费者来说将是重要的，因为它很可能被要求与联邦证券法规中的最低要素要求保持一致。ntia-conformance-checker 是一个有用的工具，它可以验证 SBOM 文档是否具有 NTIA 定义的最小元素（https://github.com/spdx/ntia-conformance-checker）。

基于这两个工具，Chainguard 等组织通过其 Chainguard Labs 的努力，在 2022 年底研究了一组公开可用的 OSS SBOM，以确定它们的质量和内容，使用我们讨论过的工具（www.chainguard.dev/unchained/ are-sboms-any-good-preliminary-measurement-of-the-quality-of-open-source-project-sboms）。

虽然他们的研究发现，一些开放源码软件SBOM确实包含高质量的数据，但许多没有。没有一个符合 NTIA 的最低元素要求，其中很大一部分缺少软件包许可和版本信息。虽然这不是个好消息，但它也应该与SBOM的采用（包括发电、要求和质量）在整个行业中处于起步阶段的现实形成鲜明对比。然而，为供应商提供这些早期研究工作和工具是件好事，以了解现有的差距以及如何确保他们提供给下游消费者的 SBOM 是高质量和有用的。对软件组件清单、透明度和 SBOM 等努力的推动都围绕着数据展开。如果没有高质量的数据，供应商和消费者都将不知所措，因为没有足够的洞察力来做出风险知情的决策，并推动有助于加强软件供应链状态的组织成果。

1.1 攻击者激励因素

1.2 威胁模型

1.3 里程碑案例一：SolarWinds

1.4 里程碑案例二：Log4j

1.5 标志性案例三：Kaseya

1.6 案例的启示

1.7 小结

2.1评估

2.2 软件开发生命周期评估

2.3应用程序安全成熟度模型

2.4 应用程序安全保证

2.5哈希和代码签名

2.6总结

3.1公共漏洞与暴露

3.2国家漏洞数据库

3.3软件标识格式

3.4 Sonatype OSS索引

3.5 开源漏洞数据库

3.6 全球安全数据库

3.7 公共漏洞评分系统

3.8 漏洞预测评分系统

3.9 EPSS模型

3.10 EPSS的批评意见

3.11 CISA的观点

3.12 行动意见

3.13 小结

4.1 法规中的SBOM:失败和成功

4.2 行业努力：国家实验室

4.3 SBOM格式

4.4 行动建议

4.5 将 SBOM 与其他证明结合使用

4.6 总结

5.1 固件和嵌入式软件

5.2 开源软件和专有代码

5.3 用户软件

5.4 遗留软件

5.5 安全传输

5.6 总结

6.1 共担责任模型

6.2 云原生安全的4C

6.3 容器

6.4 Kubernetes

6.5 无服务器模型

6.6 SaaSBOM及API复杂度

6.7 在DevOps和DevSecOps中的应用

6.8 小结

7.1 软件制品的供应链等级

7.2 用Google Graph理解制品组合

7.3 CIS软件供应链安全指南

7.4 CNCF的软件供应链最佳实践

7.5 CNCF的安全软件工厂参考架构

7.6 微软的安全供应链消费框架

7.7 S2C2F 实践

7.8 S2C2F 实施指南

7.9 OWASP 软件组件验证标准

7.10 开放源码安全基金会评分卡

7.11未来之路

7.12 总结

8.1 系统和组织的网络安全供应链风险管理实践

8.2 软件验证

8.3 NIST 的安全软件开发框架

9.1软件的动力学效应

9.2遗留软件风险

9.3控制系统中的梯形逻辑和设定点

9.4 ICS攻击面

9.5 智能电网

9.6 总结

10.1 漏洞披露和响应 PSIRT

10.2 产品安全事件响应团队 PSIRT

10.3 分享还是不分享，多少才算太多？

10.4 版权所有，许可问题和“原样”代码

10.5 开源项目办公室

10.6 产品团队之间的一致性

10.7 手动工作量与自动化和准确性

10.8 小结

11.1 深思熟虑

11.2 我真的需要一个SBOM吗？

11.3 我该怎么处理它

11.4 接收和管理大规模SBOM

11.5 减少噪声