2021年12月22日,开源网安宣布SBOM计划正式上线。
现代软件主要是使用第三方和开源组件组装而成的,它们以复杂而独特的方式融合在一起,并与原始代码集成以实现所需的功能。为了准确摸清软件所含组件的情况,SBOM(即:Software Bill Of Materials)应运而生,其包括多种关键信息,如:组件名称、版本号、供应商等,这些关键信息在分析软件安全时发挥着关键作用。通过这些信息,可以追溯软件的原始供应链,极大提高开发者对其所用软件安全风险的理解,帮助企业在网络安全风险分析、漏洞管理和应急响应过程中提高效率。
开源网安SBOM计划依托开源网安在软件安全领域的技术和经验,旨在通过开放软件物料清单分析服务,助力中国百万企业快速摸清软件家底,构建软件供应链安全生态。
如何通过软件供应链透明性来确保软件供应链安全
保障软件供应链安全的一个重要手段就是保证“软件自身组成”的透明性,这也就是 SBOM 产生的原因。SBOM 指软件物料清单,就像我们在超市购买食品时在食品包装上看到的食品配料清单,标注了所用的所有材料。对软件开发企业而言,SBOM可有效控制开源组件风险,帮助企业更早识别并消除开源组件安全缺陷和许可风险;对软件采购企业而言,SBOM可帮助采购决策者轻松了解开发方软件是否存在开源组件风险;对软件开发人员而言,SBOM可帮助开发人员全面准确掌握其所研发软件的开源组件情况。
开放软件物料清单分析服务,助力软件供应链安全生态建设
开源网安SBOM平台是提供软件成分分析和生成软件物料清单的服务平台,该平台集成千万级的开源组件库信息和数十万级漏洞库信息,支持15种以上常用语言包的检测。通过平台生成SBOM清单,可以帮助使用者提高软件的透明度,提前识别开源组件安全风险,并根据风险提供相应的影响分析和预警措施,助力使用者做好软件供应链安全。
评论