作者:乔什·布雷瑟斯
SBOM的已经存在的概念,正在寻求提高软件供应链的能力,因此,它已经为软件存在安全性和组织性(SBOM)。自己的代码生成生成,并将 SBOM 交付给基础链软件用户和客户,他们可能会迅速面临 SBOM 扩展,即大量未管理和无组织的信息。因此,SBOM 管理成为软件供应商管理的有效关键。

SBOM 对软件供应链安全很重要

SBOM 的作用是提供软件应用程序的组件,为漏洞分析和其他安全评估提供基础。漏洞的影响,Log4的 Log 她最近的漏洞,并找出其所在行业的正确位置以便进行修复。同样,他们可以评估开源组件的出处和运营风险,以符合内部政策。
SBOM进一步强调了 SBOM 的美国行政命令。命令并指示联邦机构“发布 SBOM 标准”最低定义相关的“向者提供网络软件材料清单(购买)或发布到美国网站”的标准这些行政总裁的整个连锁企业,因为将向美国公司的其他业务供应商提供的软件供应商需要交付的时间。开始在他们自己的软件采购工作中,联邦要求而传播开来。

从 Ad-Hoc SBOM 生成到全面的 SBOM 管理

SBOM 很快获得了这些认可,行业领导者已经开始创建、管理和使用 SBOM 的方法。实践开发了软件生命周期的关键阶段:

1.在中央存储库中存储和管理SBOM

而只能在开发或开发团队的所有新代码中将SBOM的所有新代码应用到存储库中,但在存储库和开发中维护一个集中的存储库。当漏洞或程序的安全事件发生时,能够安全团队和 CISO 快速查询其所有的 SBOM 并立即评估,而不是疯狂地争先恐后地从每个开发团队获得单独的软件评估,或者需要花费宝贵的时间寻找并从头开始重新开始寻找他们的所有应用程序。另外,满足监管要求或合规标准需要一个用于报告和其他合规活动的集中库。

2. 支持SBOM 标准,但不支持SBOM

有几个标准格式,例如这些数据交换(但已经发展成为SP跨组织共享SBOM以的一种方式。当然,SBOM管理系统必须是标准格式和格式)SBOM。,所有SBOM生成这些都不尽相同。Anchore 流行的开源SBOM生成Sft 和Anchore Enterprise 都支持常用标准,并且还生成了更全面的组件目录和更详细的元数据,包括文件路径、路径和工具和,可以更准确地生成和存储这组丰富的元数据的能力,创建更精细的策略和错误报告。

3.要求所有软件的SBOM

为确保使用所有软件,收集 SB 以分析每个软件或应用程序非常重要的组件。在组织下,能够了解他们的软件应用程序的情况,然后在了解软件供应商的情况下,软件供应商通常需要必要的 SBOM,可以将其库到您的 SBOM 存储中。
在使用组织发布的时候,可以将其发布或发布组件,之前的项目代码(之前发布的项目代码)在库中继续进行。的 SBOM,它允许组织将他们生成的 SBOM 与社区提供的 SBOM 进行比较,作为额外的验证等级。

4. 在过程中的每个步骤和每个开发中生成 SBOM

由大量应用程序代码库以及其他内部代码和其他代码组成。由于各行代码代码和其他代码库组成。在制造过程中,通常会在每个步骤代码以及开发的组织时扫描您的软件应用程序的软件程序,从而可能会带来新的依赖关系。代表的这些事件是 SBOM 调用。到 SBOM 需要标记它们所的特定组件或应用程序。

5. 为您部署或交付的每个软件版本创建一个全面的 SBOM

您是向客户交付软件还是将其部署给客户、或员工一种合作伙伴使用,您应该创建一个完整的 SBOM,标记到特定软件的版本。这提供了跟踪机制,使组织能够快速实现评估他们生产每个应用程序或组件的情况,并评估部署后出现的新漏洞的影响。的可见性和“信仰报告”。

6. 应用自动化策略执行和警报

借助集中的 SBOM 存储库和有效的 SBOM 管理功能,组织可以利用自动化策略引擎来应用特定的然后符合规范的策略要求或合规标准的策略规则。您还可以应用特定于您的自动组织的任何内部要求。,警报可以通知您新的漏洞违反策略的情况,以便团队或关键团队可以快速修复并阻止部署的情况。

使用 Anchore Enterprise 进行 SBOM 管理

Anchore Enterprise的基础是全面的SBOM管理功能,使您能够在应用程序和软件开发周期中收集、存储、管理和使用SBOM。这些与更广泛的集相结合,包括持续的安全性和性合规性、策略执行和信任报告,为企业供应链管理创建一个更好的供应商平台。请求视频以了解相关主链如何保护软件链的更多信息。