美国SBOM 指南更新的：软件透明度的新时代？

软件供应链网络攻击的成本是一个日益严重的问题， 2023 年平均数据泄露损失达 445 万美元。自拜登总统 2021 年发布行政命令以来，软件物料清单 (SBOM) 已成为保护供应链的基石。

2023 年 12 月，国家安全局 (NSA) 发布了新指南，帮助组织整合 SBOM 并应对供应链攻击的威胁。

让我们看看自拜登 2021 年命令以来事态的发展以及这些更新对国家安全系统的所有者和运营商意味着什么。

引领新标准：NIST 和 CISA 的贡献

自 2021 年以来，美国国家标准与技术研究院 (NIST)和网络安全与基础设施安全局 (CISA) 在制定 SBOM 标准方面发挥了关键作用。他们的指导方针旨在为公司和运营商提供软件组件的完整概况，包括开源软件。

SBOM 应提供软件成分的透明度，包括：

• 开源库和依赖项

• 商业/专有库和模块

• 服务和工具

• 库和组件的版本

• 组件之间的关系

• 许可信息。

以清晰的格式收集和共享这些信息非常重要。SBOM 共有三种常用标准：

• 软件包数据交换 (SPDX®)： Linux 基金会开发的一种开源机器可读格式。SPDX 是一种灵活的选择，其尺寸和容量是包罗万象的格式。

• CycloneDX (CDX)：来自 OWASP 社区的开源机器可读格式。CDX 是比 SPDX 更灵活、用户友好的选项。

• 软件标识 (SWID)：许多商业软件发行商使用的 ISO/IEC 行业标准。这是迄今为止最容易使用的标准，但其功能仅限于简单的库存和编目。

这种标准化使操作员更容易理解和管理与软件相关的安全风险。不幸的是，管理复杂技术堆栈和网络安全系统的运营商通常需要使用多个标准，这带来了额外的挑战。

SBOM 存在哪些问题？

SBOM 提供有关代码来源的信息，并帮助软件工程团队在早期阶段（通常是在开发和部署期间）检测恶意攻击。然而，遵守美国政府有关 SBOM 的法规并不简单。

以下是一些担忧：

• 复杂的需求：应用程序可能包含来自单独第三方来源的文件、函数或代码。如果开发过程中没有适当的文档，创建包含所有组件的准确 SBOM 是一项挑战。

• 缺乏数据： SBOM 解释了软件的成分，但没有透露这些组件的质量、贡献者或质量控制流程。

• 时间投资：公司必须投入大量时间来正确研究和记录 SBOM。此外，SBOM 不是静态文档，因此每次发布或更新都需要新的 SBOM - 从而持续利用公司资源。

• 预算：随着在 SBOM 上花费更多时间，合规成本将影响公司的薪资。此外，SBOM 关注点可能会分散软件开发人员对更严重的安全风险的注意力。

• 知识产权问题：共享详细的软件组件感觉就像泄露商业秘密。这是最佳安全性和竞争定位之间的走钢丝。

朝着正确方向迈出的不完美的一步

随着NSA 对 SBOM 管理的最新更新，我们预计 SBOM将在 2024 年成为保护和管理软件供应链的关键方面。公司可以使用它们为软件开发人员和客户提供有关其使用的软件的透明度。

但重要的是要记住，SBOM 并不是抵御供应链网络攻击的灵丹妙药。成本和合规性方面的挑战仍然是一个令人担忧的问题，特别是对于小型组织而言。

国家安全和企业运营商必须适应变化，并与软件开发商合作，为企业提供保护其供应链和资产的最佳机会。