软件物料清单(SBOM)是构成软件应用程序或系统的组件及其依赖关系的结构化列表。SBOM包含所有组件的名称和版本、组件间的关联关系,以及组件的许可信息和漏洞信息等内容。
软件物料清单(SBOM)的发展可追溯至软件应用日益复杂以及对软件供应链安全日益增长的担忧。例如,随着软件应用变得越来越复杂且依赖第三方组件,开发人员和安全团队在追踪和管理组件间依赖关系方面面临更大挑战。
多起备受瞩目的安全事件(如SolarWinds黑客攻击)凸显了软件供应链中提升可视性与问责制的必要性。这促使业界日益关注并采用软件物料清单(SBOM)作为增强软件安全性的手段。事实上,美国政府正大力推动SBOM应用,其有望在不久的将来成为第三方风险管理监测与报告的核心要素。
本文探讨了软件物料清单(SBOM)在第三方风险管理中的应用,回顾了近期标准化工作进展,并提供了入门实践的最佳建议。
软件材料清单如何应用于第三方风险管理
软件材料清单在第三方管理中具有多种应用,包括:
- 风险管理:软件物料清单(SBOM)可用于识别和评估软件应用程序中第三方组件相关的风险。通过分析SBOM,安全团队能够发现漏洞,并判断组件是否处于最新状态且配置正确。
- 合规性:医疗保健和金融服务等众多行业都设有严格的合规要求,其中包含第三方软件组件。软件物料清单(SBOM)可用于确保所有组件均符合这些要求并获得适当许可。
- 供应链管理:软件物料清单(SBOM)可用于管理软件供应链,通过识别每个组件的来源和所有权来实现。这有助于组织确保仅使用可信来源的组件,并追踪组件的任何变更或更新。
随着软件应用程序的复杂性持续增长,组织必须清晰了解其软件组件及其相关风险。软件物料清单(SBOM)提供了一种结构化的方法来实现这种可视性和可追溯性。
具有SBOM要求的举措
软件物料清单(SBOM)虽已存在多年,但随着网络安全威胁与法规要求促使企业采取更主动的第三方风险管理策略,其应用正日益普及。随着越来越多的组织认识到管理软件供应链风险的重要性,SBOM在第三方风险管理领域的未来前景广阔。事实上,已有针对特定软件类型的SBOM强制要求计划正在推进,以下是两个典型案例:
- 美国国家电信和信息管理局(NTIA): 美国国家电信和信息管理局(NTIA)一直引领着标准化软件物料清单(SBOM)格式的开发工作,该格式已在行业领导者和监管机构中获得广泛关注。此外,网络安全与基础设施安全局(CISA)近期发布的指导意见建议组织将SBOM纳入其软件供应链风险管理实践,并援引了NTIA的相关建议。
- 关于加强国家网络安全的行政命令:美国 总统拜登已发布行政命令并公布更新版网络安全战略简报,要求所有向政府销售的软件必须提供软件物料清单(SBOM)。
软件材料清单格式与标准
采用SBOM面临的一个挑战是缺乏标准化。目前针对SBOM存在若干不同的行业标准。
- CycloneDX SBOM:最广泛使用和认可的标准之一是CycloneDX SBOM格式,该格式由CycloneDX项目开发,属于开放标准。CycloneDX格式设计上注重易用性和可实施性,支持各类软件组件及包管理器。
- SPDX:另一种广泛使用的软件物料清单格式是SPDX(软件包数据交换),该标准由Linux基金会旗下的SPDX工作组维护。SPDX是描述软件包及其关联元数据的开放标准,涵盖许可信息和版权声明等内容。
- SWID标签: SWID标签(软件标识标签)是识别软件组件及其关联元数据的标准化方式。
- BOMXML:BOMXML是一种基于XML的格式,用于描述软件组件及其关系。
总体而言,SBOM格式的选择可能取决于使用该格式的组织或行业的具体需求与要求,以及生成和使用SBOM数据所采用的工具与系统。这增加了第三方风险团队和相关技术的复杂性,因为他们可能需要处理、解读和分析多种格式。
如何将软件物料清单纳入第三方风险管理计划
无论涉及何种复杂性,软件物料清单的使用预计将日益普及。随着其应用范围的扩大,软件物料清单很可能成为第三方风险管理实践的标准组成部分。 企业将能借助SBOM识别第三方软件中的漏洞,并采取主动措施降低相关风险。此外,监管机构可能要求企业在合规要求中提供SBOM。以下是将SBOM纳入第三方尽职调查的建议:
- 要求供应商提供软件物料清单:作为尽职调查流程的一部分,要求供应商为其软件产品提供最新的软件物料清单。这将有助于您识别可能影响组织安全与合规性的潜在漏洞或许可问题。
- 评估第三方风险:利用软件物料清单(SBOM)评估第三方软件相关的风险,将有助于您确定哪些组件可能需要额外审查或采取缓解措施。
- 评估许可合规性:可利用软件物料清单(SBOM)评估第三方软件组件是否符合许可要求,从而避免许可侵权行为。
- 监控漏洞:使用软件物料清单(SBOM)监控第三方软件组件中的漏洞,识别潜在安全风险,并采取主动措施进行风险缓解。
- 制定缓解方案:软件物料清单(SBOM)可协助您制定风险缓解方案,并在潜在安全或合规问题演变为实际问题之前予以解决。
- 保持软件物料清单(SBOM)的及时更新:确保在新增软件组件或更新现有组件时及时更新SBOM。这将帮助您准确全面地掌握组织软件依赖关系。
通过将这些建议纳入第三方尽职调查流程,您可确保组织能够有效管理与第三方软件组件相关的风险。
在Prevalent,我们支持将SBOM文件作为尽职调查流程中的证据。若需了解如何将SBOM整合至您的TPRM计划策略,请立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
