在拜登政府最近的任务之后,企业可以从软件供应商中寻找更多透明度,该公司试图与联邦政府开展业务的公司提供软件材料。
软件账单经常缩写为SBOM,不是一个新的概念。这一想法来自制造业,往往对买家充分了解用于制作特定设备的组件和材料是至关重要的。
例如,火车发动机可能包含某些振动应力级别的零件,使其不适合在特定类型的轨道上使用。SBOM的目标是类似的,列出所有专有的,开源和许可组件在特定的软件中使用,以便买方可以查看它并检查这些组件是否过时或不安全。
“像SBOM这样的好处的好处是,它不仅给你”你现在拥有的东西“,而且'你将来有什么”,“IDC研究总监Jim Mercer说。“So if you’re using [software composition analysis], it gives you that visibility, what you have, but it’ll also help you avoid risk--it’ll tell you when you’re using open source software that’s out of date."
标准SBOM格式将在扇区中具有特定的upsides,其中许多堆栈严重依赖现有的智力,包括网络。近年来的一些最臭名昭着的安全泄露是在常用软件组件中的安全缺陷中预测的,包括Ripple20.和Heldbled.。
451研究的InfoSecurity Research Director表示,Scott Crawford表示,SBOM型信息的一些标准数据格式已经存在,包括SPDX,CyclOnedx和SwidTags。但这些所有工作都不同,并且设计用于略微不同的目的。例如,SPDX是由Linux Foundation工作组管理的一般使用SBOM格式,而CyclOnedX由开源Web应用程序安全项目发布,因此主要针对应用程序安全问题。
据Crawford称,这种可变性是政府希望地址的一部分。
“他们暗示的一件事是,SBOM承认”已知未知“作为深度明确的观点,”他说。“理想情况下,您可以跟踪组装软件的完整图形,但某些依赖项可能不清楚,可能有一个二进制文件,您无法完全可见。”
也就是说,一些在安全世界中将SPDX视为现成的标准;根本没有创建新格式。不用说,Linux基金会已经抛弃了这一观点的支持,Gartner高级研究总监Dale Gardner表示,他们并不孤单。尽管由国家标准与技术研究所努力,以鼓励在同一地区的SBOMS。
“我们会看到如果某些东西出现了NIST,但是当我与客户交谈时出现的事情是SPDX,在它背后有一些尾风,”他说。
政府采取标准化SBOM的举动很可能迅速促进行业范围的依从性最终解决了任何标准。它可能不是行业的无忧转换,因为有审计和记录软件的成本,以系统的方式涉及。但加德纳认为,更多广泛的SBOM使用是过去的。
“建议的很多事情都是无论如何应该做的事情,”他说。“这要求清洁物品,并以安全的方式开始运作。”
正是对于供应商的非正式采用的非正式采用究竟如何取决于供应商的特殊情况。据Forrester首席分析师Sandy Carielli说,一些人已经自己生产了类似SBOM的东西。
“For those with mature processes, that might be a not-very-heavy lift,” she said, “[but] if you’re not building in that tooling into your development cycle, the point at which you can reliably, automatically produce an SBOM is a little bit harder to ascertain.”
当然,SBOM单独不会自行解决所有安全问题。但是,这个想法是建立对潜在的安全威胁的认识,并在积极方向上改变供应商的期望。
“我认为它对云提供商施加压力,以确保他们的产品是安全的,”Mercer说。“更多使用SBOM的人,更好。”