腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

综合排序丨最热优先丨最新优先

安全：SBOM的价值

综上所述，我们相信关于 Flux 及其安全性考虑和特性的博客系列是合适的，我们将从讨论 SBOM 开始。 SBOM 是什么？对于 Flux 项目，我们在每个版本中都会发布一个软件材料清单（SBOM）。SBOM 通过Syft[6]软件生成SPDX[7]格式。大型组织，公司或政府，已经在采用 SBOM，并根据 SBOM 提供的信息做出决策。一些人开始要求使用中的软件采用 SBOM。一个很好的例子是美国政府要求软件供应商提供 SBOM[8]。 SBOM 用例以下是一些更具体的例子，说明了 Flux 的 SBOM：依赖项的安全警报将是最明显的用例。如果检测到 CVE，你可以检查 SBOM，并查看你正在使用的组件是否受到任何方式的影响。如果你已经读到这里，并且你正在组织中使用 SBOM，也请让我们知道你从 SBOM 中得到了什么！

2022-03-28

1.4K0

标签:

浅谈SBOM（软件物料清单）

SBOM是什么 SBOM全称是Software Bill of Materials, 中文是软件物料清单。 SBOM的作用和好处根据NTIA的介绍，SBOM主要有以下9个作用减少计划外的工作（Reduce unplanned, unscheduled work）例如，当发现某一个组件有漏洞的时候，在SBOM 便于向客户提供SBOM报告（Provide an SBOM to a customer ）客户出于安全或者法规的要求需要SBOM报告，在我们有SBOM报告的情况下，就比较容易做了。虽然上面说的那样也能算是一个SBOM系统，但是在实际应用中，肯定不会那么简单。以后会单独把SBOM的实施拎出来写。 SBOM的范围前面提到过，SBOM就是软件所应用的第三方组件的清单，严格来说这是不准确的。

2025-11-10

1.3K0

标签:

软件成分析和SBOM的联合防御

采用 SCA 和 SBOM 管理体现了在网络威胁日益增多的情况下，安全高效开发的最佳实践方法。 SBOM 管理的作用：增强透明度 SBOM 管理提供了应用程序中每个软件组件的详细清单，包括开源和专有元素，并列出了所有软件包、库和依赖项，从而提供前所未有的透明度了解软件的构成。除了组件透明度之外，SBOM 管理还提供以下好处：应用程序漏洞管理： SBOM 管理有助于快速检测和修复任何列出的组件中的漏洞，从而增强应用程序的安全态势，无论它们是在内部开发还是获取的。软件供应链透明度： SBOM 管理有助于以符合行业标准的格式向客户、用户和监管机构有效地展示安全的开发实践。 SBOM 管理不仅增强了软件系统的透明度和安全性，还确保了组织能够维持高标准的合规性。 SCA 和 SBOM 管理：互补方法 SCA 和 SBOM 管理是互补的方法，共同形成一个健壮的软件安全和合规框架。

2024-06-08

4880

标签:

开源预测：Rust将爆发，SBOM将成为哑弹

Rust、jj 和 uv 凸显了社区持续的创新，而 SBOM、公平源代码和服务器端 Wasm 则提醒我们，并非所有趋势都能成功。 SBOM、公平源和 Wasm：不会发生虽然我对开源的许多方面都持乐观态度，但我认为明年有一些趋势不会获得发展。软件物料清单 (SBOM) 将继续处于监管困境。 SBOM 持续成为网络安全政策中的热门话题，但其实际影响仍然有限。尽管监管措施不断推进，SBOM 往往感觉像是走过场的合规练习，对实际漏洞管理几乎没有增值作用。除非美国政府和其他利益相关者将重点转向更有影响力的举措，否则 SBOM 在 2025 年不太可能获得任何显著的采用。公平源（Fair source）许可模式将无法在开源社区获得成功。 Rust、jj 和 uv 的兴起突显了社区持续的创新，而对 SBOM、公平源和服务器端 Wasm 的预期有所降低，这提醒我们并非所有趋势都能成功。

2024-12-31

3490

标签:

SCA技术进阶系列（一）：SBOM应用实践初探

SBOM使用场景 1）从广义的分类上看，SBOM有三种不同的使用场景：〇软件生产商使用SBOM来协助构建和维护他们提供的软件；〇软件采购商使用SBOM来进行采购前参考、协商折扣和制定采购策略； SBOM进行编辑；〇以可读的格式查看、比较、导入和验证SBOM；〇可合并多个SBOM的内容，并可将其从一种格式或文件类型转换为另一种格式或文件类型；〇支持通过API和库让其他工具使用SBOM 在SDLC中完成SBOM 当SBOM被重新定义后，SBOM具有更高的透明度、具体来源和传播效率，企业机构在一定条件下通过SBOM即可识别和修复漏洞风险。 SBOM与风险情报关联 SBOM记录了软件的组件组成信息，供应商或开发者可以通过提供SBOM清单至组件漏洞信息分析平台，获取最新漏洞风险情报从而进行修复和更新SBOM。图片围绕SBOM建立管理流程在确定了SBOM的格式与对应的工具后，可围绕SBOM统一安全评估标准建立软件生命周期威胁卡口。

2023-02-13

1.9K0

标签:

详解SBOM：定义、关系、区别、最佳实践和生成工具

什么是 SBOM SBOM 是软件材料清单（Software Bill of Materials）的缩写。它是一份详细记录软件构建过程中使用的所有组件、库和依赖项的清单。 SBOM 的最佳实践自动化生成：使用自动化工具生成 SBOM，避免手动创建和维护，确保准确性和一致性。供应商合作：与供应商和合作伙伴共享和获取 SBOM 信息，确保他们也提供准确的 SBOM，并持续关注他们的漏洞管理和合规性措施。 Microsoft sbom-tool：是一种高度可扩展、适用于企业的工具，可为各种工件创建 SPDX 2.2 兼容的 SBOM。除了以上这些还有一些其他工具也提供了 SBOM 生成、管理和分析的功能，你可以根据具体需求选择适合的工具来实施 SBOM 的最佳实践。

2023-09-01

12K0

标签:

您有一个SBOM — 接下来的步骤是什么？

但一个关键问题仍然存在：一旦您拥有 SBOM，接下来的步骤是什么？验证您的 SBOM SBOM 不仅仅是组件列表。它是帮助维护软件透明性和完整性的一份重要文档。考虑以下 SBOM 验证步骤：验证组件准确性：使用自动化工具交叉检查 SBOM 与您的实际软件依赖项，并更新 SBOM 以更正差异。管理和监控 SBOM 以查找漏洞有效的 SBOM 管理不仅限于开发阶段。在生产中，需要持续监控 SBOM 以确保持续的安全性和合规性，尤其是在出现新漏洞时。要有效监控 SBOM，请考虑以下最佳实践：维护 SBOM 存档：为与生产中或交付给客户的软件相关的所有 SBOM 创建一个最新的存储库。利用 SBOM 实现长期安全性随着 SBOM 采用的增加，组织必须加强其管理实践以确保稳健的软件安全性，尤其是开源。

2024-11-11

5020

标签:

GitHub增加SBOM导出功能，使其更易于符合安全性需求

GitHub 声称，这项新特性能够让我们轻松导出符合 NTIA 标准的 SBOM。用户可以通过一些不同的方式导出 SBOM，可以手动进行，也可以使用自动化的进程。要手动生成 SBOM，可以访问仓库的依赖关系图，然后点击新的 Export SBOM 按钮。这样会按照 SPDX 格式创建一个机器可读的 SBOM。然后，通过 gh sbom -l 命令可以按照 SPDX 格式输出 SBOM，而 gh sbom -l -c 命令则会使用 CycloneDX 格式。 GitHub 提供了自己的 GitHub Action，以便于从依赖关系图中导出 SBOM。如果愿意的话，还可以使用微软的 sbom-tool，或者基于 Syft 的 Anchore SBOM Action。该公司说，未来还可以通过特定的 REST API 导出 SBOM。

深度学习与Python

2023-04-14

7160

标签:

KCD技术分享：以SBOM为基础的云原生应用安全治理

SBOM最佳实践。 SBOM概述 SBOM是代码中所有开放源代码和第三方组件的清单。从广义的分类上看，SBOM有三种不同的使用场景：软件生产商使用SBOM来协助构建和维护他们提供的软件；软件采购商使用SBOM来进行采购前参考、协商折扣和制定采购策略；软件运营商使用SBOM为漏洞管理和资产管理提供信息 SBOM实践要点 SBOM与风险情报关联 SBOM记录了软件的组件组成信息。供应商或开发者可以通过提供SBOM清单至组件漏洞信息分析平台，获取最新漏洞风险情报，安排修复并及时更新SBOM。围绕SBOM建立管理流程在确定了SBOM的格式与对应的工具后，可以围绕SBOM统一安全评估标准、建立软件生命周期威胁卡点。

2023-06-13

1.3K0

标签:

如何使用bomber扫描软件物料清单（SBOM）以查找安全漏洞

关于bomber bomber是一款针对软件物料清单（SBOM）的安全漏洞扫描工具，广大研究人员可以通过该工具扫描和检测软件物料清单（SBOM）。而bomber正好可以帮助我们，该工具可以读取任何基于JSON或XML的CycloneDX格式，或JSON SPDX或Syft格式的SBOM，然后立刻告诉广大研究人员目标SBOM中是否存在任何安全漏洞。支持的SBOM格式 bomber支持下列SBOM格式： SPDX CycloneDX Syft 工具安装 macOS 我们可以直接使用Homebrew来安装bomber： brew tap 的目录，或单个SBOM。扫描单个SBOM bomber scan spdx.sbom.jsonbomber scan --provider=xxx --username=xxx --token=xxx spdx-sbom.json

2023-03-29

1.7K0

标签: