首页 > 其他分享 >软件物料清单:打开软件资产黑匣子的关键钥匙

软件物料清单:打开软件资产黑匣子的关键钥匙

时间:2023-05-19 19:33:15浏览次数:46  
标签:物料 黑匣子 安全 资产 组件 清单 软件

大家有没有遇到过,手机被免费召回维修的情况?


有些人可能遇到这样的问题,手机购买一段时间后,突然收到手机品牌官方发布的通知:听筒模块上的某个组件可能会发生故障,会出现拨打或接听电话时听筒发不出声音的问题。


类似的产品召回,在其他行业也出现过。即使是第三方供应商提供的零件,也在召回维修的范围内。因为第三方供应的零部件也是属于产品的一部分,一旦发生问题,同样会给品牌带来难以挽回的名誉和业务损失。


而类似的安全隐患之所以能及时被发现、产品之所以能快速被召回,都是因为产品制造商对于每个产品都有明晰的物料清单(BOM),当某个“零配件”存在安全隐患时,产品制造商通过这个物料清单,就能快速确认该“零配件”被应用到哪个批次、版本的产品上,及时通知到对应的客户,降低因为产品安全问题带来的损失。


而在软件安全领域,同样存在类似的技术服务去帮助企业高效、安全管理软件资产,被称之为“软件物料清单”(SBOM)。近期,开源网安软件物料清单管理平台已正式上线,可抢先体验,实现软件物料资产安全化管控。





什么是软件物料清单(SBOM)?



软件物料清单指软件产品中所包含的所有组件、相关许可协议的清单,以及所有组件之间依赖关系的描述。 


SBOM在国际上有三大规范标准格式,分别是SPDX、CycloneDX和SWID。


下表为基线组件信息对应现有的格式:

软件物料清单:打开软件资产黑匣子的关键钥匙_软件系统





为什么要做软件物料清单管理?



01

 提升软件系统安全性


通过对软件内部组成成分 的精细化拆解与风险关联,打开软件这个“黑匣子”,让潜在安全脆弱点浮出水面,帮助企业降低软件安全风险,提高软件系统的安全性。


02

促进软件安全合规


为漏洞管理与资产管理 提供详细的组件/许可合规性信息,便于企业进行资产盘点,提升软件合规性,降低合规风险,减轻企业履行合规义务的负担。


03

增强企业业务竞争优势


通过提供清晰的SBOM(软件物料清单),帮助企业向客户、监管机构和其他利益相关者展示软件的质量和可靠性。增强客户信任度,形成业务竞争优势。


04

降低企业安全成本


对已用许可/组件等安全性、合规性的呈现,将大大提高开发人员组件选型的效率;同时,提高软件成分及安全的透明度,减少开发人员与安全人员的风险排查时间成本,加速开发进程。





如何做好软件物料(资产)管理?



开源网安软件物料清单管理平台,以软件/组件来源、版本等基本信息与软件内部组成成分信息为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力,让组件安全问题无所遁形。


01

精细化软件物料(资产)管理


“颗粒度”不同,对问题的“洞见力”就不同。传统的软件资产管理,更多地停留在软件版本、类型、名称、供应商等维度,对软件内部成分信息模糊,软件资产成为一个“黑匣子”,看不清摸不透,安全不可控。


因此,在软件资产管理上,亟需细化对软件内部成分信息(包括但不限于:内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等)的梳理与可视化展示。降低软件资产的“模糊性”,帮助企业快速摸清家底。


02

系统化软件安全风险管理


随着软件定义一切的时代来临,软件安全威胁的传播性、隐匿性越来越强,亟需以全局性、关联性视角考虑软件安全风险管理。


开源网安软件物料清单管理平台,具备强大的数据分析与可视化能力,还原软件内部成分信息之间层次、依赖关系,及其存在的安全风险,绘制可视化关系图表。协助客户进行安全风险传导路径分析,快速溯源,圈定影响范围。


03

可视化、动态化管控软件资产


通过采集软件安全分析所需的各类静态和动态数据,形成统一的软件资产风险视图。将抽象、不具体的软件资产安全态势可视化、数字化呈现。


同时,开源网安软件物料清单管理平台通过对软件组成成分实时采集与分析,业务无感知,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。


04

标准化软件物料清单


通过“识别组件-获取数据-构造SBOM”三大步骤,输出标准化的SBOM文件,确保文件格式有效、属性合规。


开源网安软件物料清单管理平台,严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准。


标签:物料,黑匣子,安全,资产,组件,清单,软件
From: https://blog.51cto.com/u_15891519/6314680

相关文章

  • 软件工程日报——第二次冲刺2
    昨天我对换班操作进行了分析,确定了换班的逻辑思路今天我继续进行了换班的操作,我目前完成了两个员工之间的换班操作,利用sql语句来进行交换遇到的问题:没有调试好sql语句来交换两行的数据,会出现员工交换不了的情况......
  • 淘宝数据监控开源软件
    Tsar是淘宝开发的一个非常好用的系统监控工具,在淘宝内部大量使用,它不仅可以监控CPU、IO、内存、TCP等系统状态,也可以监控Apache,Nginx/Tengine,Squid等服务器状态。值得一提的是,Tsar支持将数据存储到MySQL中,也可以将数据发送到Nagios报警服务器。㈠部署①tsar由于定时采集数据......
  • 软件工程快速入门
    什么是SDLC?软件开发生命周期(SDLCSoftwareDevelopmentLifecycle)是构建软件的系统过程,可确保构建软件的质量和正确性。SDLC流程旨在生产满足客户期望的高质量软件。软件开发应在预定义的时间范围和成本内完成。SDLC包含详细的计划,解释如何规划,构建和维护特定的软件。SDLC生......
  • macOS系统2023最佳清理软件CleanMyMac X 4.13功能介绍及如何激活解锁许可证
    CleanMyMacX4.13在软件功能列表中为MAC用户提供了常见的清理(系统垃圾、邮件附件、废纸篓)功能,还有保护(移除恶意软件、隐私)、速度(优化、维护)、应用程序(卸载器、更新程序、扩展)、文件(空间透镜、大型和旧文件、碎纸机)等功能。操作界面极其易用,例如仅需要点击几下就可以完成MAC系统的......
  • Ps2023Mac软件安装包下载Photoshop 2023软件安装教程Mac
    [名称]:Photoshop2023[大小]:2.17GB  [语言]:简体中文 [安装环境]:MacOS11.0 及以上[是否支持M系列芯片]:支持[简介]:Photoshop是一款专业级的图像处理软件,ps有很多功能,在图像、图形、文字、视频、出版等各方面都有涉及,广泛应用于平面设计、图标制作、婚纱照片设计、影像创意、绘画......
  • After Effects 2022 Mac软件安装包下载Ae2022Mac安装教程
    安装步骤1,双击打开下载好的安装包。2,选择install双击打开启动安装程序。3,输入电脑密码。4,点击继续。5,软件安装中...6,安装结束点击关闭。7,返回打开的镜像选择激活补丁双击打开。8,点击继续。9,点击安装。10,输入电脑密码。11,安装中...12,安装结束点击关闭。13,打开安装好的软件。14,软件......
  • 人件集 人性化的软件开发阅读笔记02
    《人件集人性化的软件开发》第二部分男牛仔与女牛仔第五章:男牛仔和女牛仔的婚姻作者将男牛仔和女牛仔比作婚姻中的男女双方,提出男牛仔和女牛仔之间的沟通和协作非常关键,就像婚姻中的双方需要相互理解和沟通一样。在软件开发中,男牛仔和女牛仔的差异会导致很多沟通和协作的问题,......
  • ubuntu更新软件源命令有哪些
    ubuntu更新软件源命令有:1、apt-getupdate,更新系统软件源;2、apt-getupgrade,更新升级所有软件;3、apt-getupgrade软件名,更新某个软件。具体ubuntu更新软件源命令有以下几种:1.更新系统软件源的命令。apt-getupdate2.更新升级所有软件的命令。apt-getupgrade3.更新某个软......
  • 软件测试03:软件工程和软件生命周期(未完全)
    软件测试03:软件工程和软件生命周期软件危机软件危机是指落后的软件生产方式无法满足迅速增长的计算机软件需求,从而导致软件开发与维护过程中出现一系列严重问题的现象。软件工程基本软件危机对于计算机发展的阻碍,1968年,在联邦德国召开的国际会议,北大西洋公约组织的计算机科......
  • 软件测试系列:移动端安卓APP测试必备之ADB命令 (二)
    adb常见命令1、查看日志adblogcat-vtime表示打印时间adblogcat-vcolor表示使用不同的颜色来显示每个优先级adblogcat-f<filename>表示将日志输出到文件(文件存在手机上),例如,adblogcat-f/sdcard/log.logadblogcat>log.log表示保存日志到PC上adblogca......