旨在规范软件开发过程中物料清单构成及相关要求,提高软件产品的质量和可维护性。
阐明了每个SBOM 基线属性内涵,添加了两个新的基线属性“许可证”和“版权所有者”,并且强调SBOM消费过程中的风险管理。
该指南通过“持久安全框架 (ESF)”提供,为软件开发人员和供应商提供行业最佳实践和原则,包括管理开源软件和软件物料清单等,维护和了解软件安全。
让SBOM数据工作起来才能推动其使用。
已成为企业聚集多种软件依赖风险的重要工具,如何维护、共享、实施和更新SBOM等问题困扰着安全主管。
将SBOM应用到软件质量与安全的评估上,是相当新鲜的操作,并未经过广泛验证。
到2025年,60%的开发或采购关键基础设施软件的组织将强制执行和标准化SBOM。今天,SBOM普及率不到20%。
开源软件在安全方面存在先天性的严重短板:可见性。
该研究报告了组织 SBOM 的准备程度和与网络安全努力相关的采用程度。
美国“太阳风”网络攻击事件曝光后,部分业内人士将目光重新投向SBoM,认为它将有效提升软件供应链透明度,从而减少软件供应链漏洞和风险。
微信公众号
