随着现代软件开发越来越依赖于第三方资源,针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计,软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。 Gartner 明确提醒软件开发企业及组织,如果想要在软件市场上保持良好的竞争力,准备好向客户提供 SBOM 是十分必要的。
SBOM 是管理现代软件部署的复杂性和安全性的重要基础。想要成为软件产品行业中的领导者,就必须满足对技术、最佳实践和解决方案不断增长的需求,以支持 SBOM 的交付。毫不夸张的说,SBOM 对于软件供应链安全管理至关重要。Gartner 表示,尽管在2022年采用关键任务软件解决方案的企业要求在其许可或支持协议中披露 SBOM 还不到5%,但这一比例在2025年将会达到60%。
SBOM 的重要性不言而喻,但也需要企业理性看待其性质和用途。SBOM 和那些处理、分析和利用安全相关信息的工具和流程一样重要。例如软件成分分析 (SCA) 和代码签名,这些也是完整软件供应链的必要元素。
领先于对 SBOM 的需求
Gartner 建议软件提供商尽快满足 SBOM 披露的最低要求。与此同时,在准备 SBOM 时,应当针对相应行业的需求和动态进行定制。尽管当下软件供应商还没有收到要求披露 SBOM 的请求,但 Gartner 仍然建议软件提供商领先于对 SBOM 的需求,创建产品内部软件资产的完整清单。
此外 Gartner 还建议软件提供商将其每项资产归类为“商业机密”或“完全披露”。软件供应商可能决定从 SBOM 中排除或披露商业机密,但通过客户许可协议中的保密协议可以来保护这些商业机密。同时还建议软件供应商创建所有外部依赖项的完整清单,受与资产提供商签订的服务水平协议 (SLA) 约束的依赖项应归类为“商业支持”。依赖项的任何 SLA 都应要求完整的 SBOM 披露,而没有合同 SLA 的依赖项应归类为“自支持”。同时,软件供应商应当为这些依赖项创建一个自我支持的 SLA。该 SLA 应包括对完整 SBOM 的发现和跟踪。
充分发挥 SBOM 的安全价值
Gartner 建议软件资产提供商应当确保他们有能力为其自主开发的资产创建完整的 SBOM 。在满足客户对SBOM的最低需求的同时,供应商应当超越满足最基本的需求。SBOM 的目的是为软件用户提供对构成软件解决方案的资产的洞察力,以便他们努力纠正和消除通过 SBOM 披露发现的安全问题,从而避免网络恶意攻击者利用这些安全问题及漏洞用于自己的攻击向量策略。
同时可以尝试制定和使用让 SBOM 能够创造更多安全价值的策略。比如将SBOM 交付与更加广泛的安全机会,更深入地集成到 DevSecOps 实践中,以及以将其与长期产品路线图联系起来的方式扩展和发展 SBOM 技术。
现代软件开发环境
Gartner 预估在未来的软件项目中,将有40% 到 80% 的代码来自第三方,大部分外部代码来自无数个开源项目,而其余的专有代码来自供应商,对其安全状态和状况的可见性十分低。与此同时,许多开源软件 (OSS) 依赖项的管理不善让情况变得更加复杂。在过度依赖开源软件的技术生态系统中,许多组件可能完全缺乏足够的商业支持来源。因此,软件的安全状况及实践会因供应商而异。
在理想情况下,软件供应链上的每个贡献者都将为其组件的质量和安全性提供保障,而这些保障将从供应链中的一个环节传送到下一个环节中。任何组件的更新将会立即发布,而对应的依赖关系会自动在整个软件供应链中变化和传播。然而,在现实软件行业的运用环境中,许多软件供应链上的提供商常常未能够充分做好安全保障,或者由于缺乏执行此操作的工具而无法做好这一点。
SBOM 将必不可少
在未来的软件发展中,SBOM 对软件开发企业来说将变得至关重要。为软件解决方案提供完整、准确和最新的 SBOM 这一要求,将成为未来三年内大多数客户参与的强制性要素。由于无法准确地发现和跟踪内部和外部依赖项,许多技术和服务提供商将难以满足必要的 SBOM 要求,这些提供商将和会一些无法或不愿提供 SBOM 披露的软件供应商一样,在未来被逐渐排除在许多竞争机会之外。
Seal 软件供应链防火墙针对单个项目或全局为您提供依赖组件的详细洞察。在新版本中,Seal 软件供应链防火墙支持导出 SBOM,并针对 SBOM 进行了增强。同时支持查看和检索单个项目或全局的依赖组件,支持查看依赖树和各组件的依赖路径,提供依赖组件的发行信息、许可证、漏洞情况、安全评分等信息。
申请试用:https://seal.io/trial