11.1 深思熟虑

虽然本章关于消费者指南的内容包括与软件物料清单 （SBOM） 相关的讨论和建议，但我们想强调的是，SBOM 只是软件供应链安全更广泛讨论中的一种新兴工具和资源。然而，鉴于其对行业的高度关注，我们觉得有必要提供一些相关的指导。

正如我们在SolarWinds、Log4j和Kaseya等重要案例中讨论的那样，与软件供应链相关的风险可能与专有软件供应商、开源软件（OSS）组件、托管服务提供商和云服务提供商等有关。

此外，从NIST、CNCF、NSA等来源的现有和新兴指导中可以看出，软件供应链的最佳实践和消费者考虑因素涉及一些关键活动，包括了解他们的供应商、在这些关系中的共享责任、围绕软件消费的组织治理以及伴随工具的内部实践和流程，以确保安全的消费、开发和使用软件，以满足其组织独特的业务和任务需求。

此外，正如在第4章“软件物料清单的兴起”中“SBOM批评和担忧”部分讨论的那样，SBOM工具和操作化仍有许多需要解决的问题，以帮助组织成功地摄取、分析、丰富和存储SBOM，并将其作为软件供应链和更广泛的网络安全供应链风险管理（C-SCRM）活动的一部分。此外，基于各种组织的研究和可用的工具评估，还必须提供一些关于OSS项目等社区的SBOM当前状态和成熟度的见解。

正如我们在本书中提到的，取决于行业和相关监管因素，SBOM的采用率和SBOM数据的深度在生态系统中有所不同，因为供应商不一定有动力在没有业务利益或监管或采购/收购要求的情况下向消费者提供这些工件。由于这些原因，我们要强调的是，虽然SBOM在推动软件透明度和软件供应链安全方面很有用，但不应将其视为万灵药，这几乎是网络安全领域的任何一个方面的情况。这个问题复杂，没有单一的解决方案，因此长期以来一直有“纵深防御”这一说法。IT系统面临的威胁涉及用户、端点、数据、复杂的相互依赖系统等，导致没有单一的解决方案或技术可以解决所有相关的挑战和威胁。