Log4Shell风波后,软件物料清单(SBOM)为何如此重要生成SBOM并快速获取其信息已成为解决供应链漏洞和攻击的关键。与许多零日漏洞一样,相关组织正在努力确定修复Log4j中的Log4Shell漏洞的影响。这个漏洞非常危险,因为它存在于一个非常常用的库中,并且很容易被利用。目前的关键因素是,在漏洞的具体细节公开之前,它已经被广泛利用,因此尽快修复它是当务之急。经过24小时的修复工作,安全和应用团队松了一口气,接下来他们将进行回溯和复查工作,为下一步的零日漏洞定位做准备。在这种新环境中,软件物料清单(SBOM)正成为一项关键的安全要求,使软件在整个供应链中可见。因此,我们必须立即采取行动,构建一项关键的新功能:SBOM管理。创建全面的SBOM行业领导者当前采用的最佳实践是为应用程序的每个交付或部署版本生成软件物料清单(SBOM)。事实上,美国最近一项关于国家网络安全的行政命令将要求软件供应商向联邦机构提供他们销售或交付的软件的SBOM。如果我们从广义上看,生成SBOM只是第一步。正如Log4Shell向我们展示的那样,我们需要能够在出现新的零日漏洞时轻松利用和搜索SBOM。生成SBOM很容易,但管理和跟踪成百上千个SBOM是一项艰巨的任务,而且应对不断变化的威胁形势也是一项艰巨的任务。虽然如今在交付应用程序之前扫描漏洞很常见,但这还不够。扫描应用程序以识别组件和相关漏洞应该是一个持续的过程,不仅应该运行一次,而且应该定期运行。每次扫描应用程序时,都必须记录和分析结果。为了从点对点系统转变为连续系统,工具和自动化非常重要。一个组织或机构在开发应用程序时,通常包括大量的开源代码以及内部开发的代码和第三方商业库。SBOM生成工具可以检查编写的代码,包括其中使用的开源代码,但对于商业库,根据它们的打包方式,可能不会被扫描。针对这种情况,要求商库供应商提供商库对应的SBOM。拥有所有组件的SBOM后,您需要将它们组合起来以生成涵盖整个应用程序的聚合SBOM。SBOM管理所需的关键功能使用SBOM作为保护软件供应链的基础,但随着时间的推移,将生成并包含越来越多的SBOM。因此需要工具和自动化来管理复杂的SBOM。Find的功能包括:跨产品团队和应用程序的SBOM集中存储库。应用程序搜索功能可快速找到有问题的组件。能够生成或导入由软件供应商或开源项目组提供的SB??OM。所有组件级SBOM都可以组合起来,为应用程序创建一个全面的SBOM。支持复杂的SBOM标准以及SPDX等轻型SBOM标准。对于应用程序的多个发布版本、多个构建版本或不同的开发阶段,可以分别存储相应的SBOM能力。能够进行SBOM比较,以在检测到异常时警告可能的篡改。SBOM事件响应速度一旦您为已发布的应用程序版本拥有一组定义明确且准确的SBOM,您需要将这些SBOM存储在一个集中的存储库中,以便可以快速扫描和搜索SBOM的内容。集中式方法意味着安全团队不必浪费时间弄清楚在他们的应用程序中部署了哪些组件。当下一次重大违规发生时,SBOM管理工具应立即返回结果。应用策略引擎和策略规则将为所有受影响的应用程序团队生成通知和警报。这应该知道哪些应用程序受到影响以及如何在几分钟内修复它们,而不是花费数周时间来定位问题。SBOM的状态在短暂的Log4Shell修复之后,我们需要为软件供应链漏洞和攻击的新现实做好准备。如果您的组织尚未生成SBOM,现在是时候开始了。但生成SBOM只是第一步。您还必须设置存储和管理SBOM的流程。然后创建工作流,使您能够在下次发生零日漏洞时快速访问和搜索数据。Log4j是一个非常昂贵的教训,它提醒我们为什么我们不仅需要SBOM,还需要将它们作为完整软件供应链管理策略的一部分进行管理的能力。现在是时候主动关注软件供应链安全了。实现SBOM管理是一项关键任务,它将在下一个零日漏洞到来时为我们带来好处。译者介绍赵庆尧,51CTO社区编辑,从事驱动开发多年。他的研究兴趣包括安全操作系统和网络安全。曾获陕西赛区数学建模奖,发表网络相关专利。原文链接:https://www.infoworld.com/article/3645452/why-sbom-management-is-no-longer-optional.html【51CTO翻译,转载请注明原文译者且出处为51CTO.com】
