在此前的多篇文章中，我們已經(jīng)詳細(xì)地介紹了軟件物料清單（SBOM）對于保障軟件供應(yīng)鏈安全的重要性以及一些注意事項(xiàng)。在本文中，我們將會更深入地介紹SBOM，包括最低要求元素、格式、使用場景以及如何對其進(jìn)行管理等。

SBOM所包含的元素

2021年年中，NTIA發(fā)布了軟件物料清單（SBOM）的最少必需元素。這些元素包含以下三類：

• 數(shù)據(jù)字段：每個(gè)軟件組件的基本信息
• 自動(dòng)化支持：能夠自動(dòng)生成機(jī)器可讀格式的SBOM
• 實(shí)踐和流程：SBOM 應(yīng)該如何及何時(shí)生成和分發(fā)

所需元素的目的是為 SBOM 使用者提供他們所需的信息，以管理漏洞、清點(diǎn)軟件組件，并監(jiān)管許可證合規(guī)性。

數(shù)據(jù)字段

根據(jù)NTIA的說法，這一字段是為了“充分識別這些組件以在整個(gè)軟件供應(yīng)鏈中跟蹤它們，并將它們映射到其他相關(guān)的數(shù)據(jù)來源，如漏洞數(shù)據(jù)庫或許可證數(shù)據(jù)庫”。

7個(gè)必要的數(shù)據(jù)字段如下：

• 供應(yīng)商名稱： 開發(fā)該軟件組件的個(gè)人或組織
• 組件名稱： 給一組軟件命名，通常由供應(yīng)商決定
• 組件版本： 一個(gè)標(biāo)識符，指定軟件與以前版本的變化。同樣，這是由供應(yīng)商決定的
• 其他獨(dú)特標(biāo)識符： 像Software Identification （SWID）標(biāo)簽、Package Uniform Resource Locators （PURL）、Common Platform Enumeration（CPE）或類似的標(biāo)識符，可以幫助SBOM 消費(fèi)者在關(guān)鍵數(shù)據(jù)庫中找到組件
• 依賴項(xiàng)關(guān)系： 表示軟件組件是如何結(jié)合在一起的，如，某個(gè)上游組件包含在某個(gè)軟件中
• SBOM數(shù)據(jù)的作者： 生成SBOM元數(shù)據(jù)的實(shí)體，可能是軟件供應(yīng)商或其他個(gè)人、團(tuán)體
• 時(shí)間戳： SBOM 生成的日期和時(shí)間

自動(dòng)化支持

下一組最低要求元素是指 SBOM 數(shù)據(jù)在整個(gè)軟件生態(tài)系統(tǒng)內(nèi)部以及跨組織通信的方式。這一要求的目標(biāo)是為了確保 SBOM 數(shù)據(jù)真正可用——不僅僅是機(jī)器可讀，還能夠讓人直接閱讀，而且它的傳輸格式是可互操作的。

要達(dá)到這一目標(biāo)，NTIA 認(rèn)證了3個(gè)交付格式來生成和消費(fèi) SBOM。至關(guān)重要的是，向聯(lián)邦政府銷售軟件的組織必須以這三種格式之一傳送 SBOM，以符合網(wǎng)絡(luò)安全行政命令的要求。

這3個(gè)格式是：

• Software Package Data Exchange (SPDX)
• Software Identification (SWID) Tags
• CycloneDX

在后面一節(jié)，我們將會對這3個(gè)格式進(jìn)行詳細(xì)介紹。

實(shí)踐和流程

最后一組SBOM最低要求元素涉及生成和申請SBOM的具體操作。具體而言，實(shí)踐和流程部分包括以下6個(gè)方面的要求：

• 頻率（Frequency）： NTIA規(guī)定，“如果軟件組件隨著新的構(gòu)建或發(fā)布而更新”，企業(yè)應(yīng)該生成新的SBOM。此外，供應(yīng)商在以下情況下也需要生成新的SBOM：
  1）需要糾正原始版本中的錯(cuò)誤
  2）了解有關(guān)軟件組件的新細(xì)節(jié)
• 深度（Depth）： 合規(guī)的SBOM需要包含：
  1）所有頂層組件
  2）所有間接依賴關(guān)系。如果SBOM作者不能包含所有間接依賴關(guān)系，則需要囊括足夠的信息，使消費(fèi)者可以遞歸地找到他們。
• 已知的未知因素（Known Unknowns）： 在SBOM作者沒有提供完整的依賴關(guān)系圖的情況下，他們需要說明這是因?yàn)椋?br />1）該組件沒有進(jìn)一步的依賴關(guān)系，或者
  2）不知道是否存在其他的依賴關(guān)系。
• 分發(fā)和交付： 這一部分分為幾個(gè)環(huán)節(jié)，都是關(guān)于確保SBOM以可消化的格式快速交付。首先，SBOM被要求以“及時(shí)”的方式提供（盡管沒有設(shè)定天數(shù)或周數(shù)）。其次，他們必須有“適當(dāng)?shù)摹苯巧驮L問權(quán)限。最后，SBOM可以與產(chǎn)品的每個(gè)實(shí)例一起分發(fā)或者以其他可訪問的方式提供，如公開的網(wǎng)站。
• 訪問控制： 如果供應(yīng)商想將SBOM數(shù)據(jù)的訪問限制在某些客戶或用戶，他們需要提供這種訪問控制的條款。此外，供應(yīng)商需要提供 “具體的允許和便利”，以便SBOM消費(fèi)者能夠?qū)?shù)據(jù)納入其安全工具。
• 容錯(cuò)程度： 網(wǎng)絡(luò)安全行政命令和指導(dǎo)SBOM創(chuàng)建的法規(guī)目前尚不成熟，因此，各組織被指示要對（無意的）錯(cuò)誤或遺漏給予理解。

SBOM交付格式及規(guī)范

企業(yè)可以通過各種不同的格式創(chuàng)建和發(fā)布軟件物料清單（SBOM）。對于一個(gè)想要在其網(wǎng)站發(fā)布 SBOM 的企業(yè)來說，HTML 是一個(gè)合理的選擇。如果 SBOM 中包含了文檔或者源代碼，那么純文本也許是更佳選項(xiàng)。此外，還有 Markdown、PDF、CSV等格式可供使用。

除了這些常見的格式外，還有幾種專門為交付SBOM而設(shè)計(jì)的格式，如 SPDX（軟件包數(shù)據(jù)交換），SWID Tags（軟件識別）以及Cyclone DX。

SPDX

SPDX是由 Linux 基金會運(yùn)營的項(xiàng)目，旨在標(biāo)準(zhǔn)化企業(yè)共享和使用SBOM中信息的方式。SPDX 捕捉與provenance、許可證和安全相關(guān)的數(shù)據(jù)，下圖展示了 SPDX 文檔中所包含的數(shù)據(jù)：

該格式支持以下文件類型：

• YAML
• JSON（你可以在 GitHub 上找到SPDX的JSON schema：https://github.com/spdx/spdx-spec/tree/development/v2.2.1/schemas）
• RDF/XML
• tag:value flat text file
• .xls 電子表格

Seal 軟件供應(yīng)鏈防火墻可以直接生成SPDX格式的SBOM文件，歡迎訪問下方鏈接申請產(chǎn)品試用：seal.io/trail

SWID Tags

SWID 是一個(gè)標(biāo)準(zhǔn)化的 XML 格式，可以識別軟件產(chǎn)品的組成部分并將其與上下文結(jié)合。4種類型的 SWID Tags 在軟件開發(fā)生命周期中：

• Corpus Tags： 識別和描述在安裝前階段的軟件成分。根據(jù) NIST 給出的定義，corpus tags 是指“軟件安裝工具和流程的輸入”
• Primary Tags： 在軟件產(chǎn)品安裝后對其進(jìn)行識別和關(guān)聯(lián)
• Patch Tags： 顧名思義，patch tags 可以識別和描述補(bǔ)?。ǘ皇?span id="pxzghov05" class="candidate-entity-word" data-gid="15027706">核心產(chǎn)品本身）。此外，patch tags 包含了補(bǔ)丁和其他產(chǎn)品或補(bǔ)丁之間的上下文關(guān)系信息。
• Supplemental Tags： SWID 格式僅允許 tag 創(chuàng)建者修改 corpus、primary和patch tags。但是 Supplemental Tags 可以讓軟件用戶及軟件管理工具在本地添加有益的上下文信息，如許可證密鑰以及相關(guān)方的聯(lián)系信息。

在決定將哪些標(biāo)簽和具體的數(shù)據(jù)元素納入其產(chǎn)品時(shí)，各企業(yè)有一定程度的靈活性。在SWID規(guī)范中，除了幾個(gè)必須的字段外，其他的元素和屬性都是可選的。

最終，一個(gè)最低限度的有效和符合要求的標(biāo)簽只需要描述軟件產(chǎn)品（如名稱和標(biāo)簽ID）和創(chuàng)建它的實(shí)體的少數(shù)元素。關(guān)于SWID標(biāo)簽數(shù)據(jù)元素的最全面和最新的信息，建議查看ISO/IEC 19770-2:2015標(biāo)準(zhǔn)全文：
https://www.iso.org/standard/65666.html

Cyclone DX

Cyclone DX 是一個(gè)輕量級軟件物料清單標(biāo)準(zhǔn)，旨在用于應(yīng)用安全上下文和供應(yīng)鏈組件分析。換言之，它旨在實(shí)現(xiàn)與SPDX、SWID以及其他所有SBOM交付格式類似的目標(biāo)——提供構(gòu)成一個(gè)應(yīng)用程序的軟件組件的關(guān)鍵信息。

Cyclone DX 支持以下4種類型的數(shù)據(jù)：

• 物料清單元數(shù)據(jù)： 關(guān)于應(yīng)用/產(chǎn)品本身的信息——供應(yīng)商、制造商、SBOM所面熟的組件以及用于匯編SBOM的任意工具
• 組件： 完整的專利清單及開源組件清單，包含許可信息
• 服務(wù)信息： 軟件可能調(diào)用的外部API、終端URI、身份認(rèn)證要求和信任名單
• 依賴項(xiàng)： 包含直接依賴項(xiàng)和間接依賴項(xiàng)

誰是SBOM的目標(biāo)受眾？

歷史上，SBOM主要由合規(guī)團(tuán)隊(duì)用來審計(jì)、監(jiān)控許可證以及遵守行業(yè)特定規(guī)范，但隨著軟件供應(yīng)鏈攻擊的上升，包括 SolarWinds 黑客事件和去年年末的 Log4Shell 漏洞，SBOM 的使用擴(kuò)展到了安全和開發(fā)團(tuán)隊(duì)。

安全團(tuán)隊(duì)

對于安全團(tuán)隊(duì)來說，SBOM扮演著十分重要的角色，特別是需要進(jìn)行漏洞掃描的時(shí)候。因?yàn)閽呙鑃BOM庫比從頭開始掃描整個(gè)基礎(chǔ)設(shè)施更簡單也更快，在發(fā)生零日事件時(shí)，每一分鐘都很重要。此外，安全團(tuán)隊(duì)也會利用 SBOM 所提供的信息（如風(fēng)險(xiǎn)所在位置）來確定問題修復(fù)的優(yōu)先級，并針對特定組件創(chuàng)建策略，如供應(yīng)商的選型、可引入的版本或者軟件包類型等。

開發(fā)團(tuán)隊(duì)

開發(fā)團(tuán)隊(duì)可以使用 SBOM 來跟蹤他們所開發(fā)、管理和運(yùn)維的各個(gè)軟件中的組件，包括開源組件、商業(yè)組件和自研組件。并且 SBOM 還能協(xié)助開發(fā)團(tuán)隊(duì)管理依賴項(xiàng)、識別安全問題以減少其重復(fù)的工作，還能確保開發(fā)人員使用的都是經(jīng)過審批的代碼和可信任的源。

SBOM 的應(yīng)用場景

顯然，有許多令人信服的理由推動(dòng)企業(yè)創(chuàng)建SBOM，并且企業(yè)可以為所有產(chǎn)品創(chuàng)建SBOM，每個(gè)新版本都可以更新一版SBOM。此外，在一些特定場景中SBOM會最大限度地發(fā)揮其作用。

• 融資、并購和IPO： 軟件物料清單是收購、IPO或融資過程中技術(shù)盡調(diào)的重要一環(huán)。相關(guān)利益方會要求獲取文檔以更好地了解產(chǎn)品中的軟件成分以及許可證合規(guī)性、安全性或代碼質(zhì)量風(fēng)險(xiǎn)。
• 客戶要求： 由于全球范圍內(nèi)的企業(yè)都將防止軟件供應(yīng)鏈風(fēng)險(xiǎn)的優(yōu)先級提高了，因此未來會有越來越多的企業(yè)要求采購環(huán)節(jié)中需要提供SBOM。
• 向下兼容： 維護(hù)大量舊軟件的公司經(jīng)常需要進(jìn)行OSS包的更新和升級。當(dāng)然，如果對這些舊產(chǎn)品中的開放源碼軟件有一個(gè)完整的清單，做起來就容易多了。

全面管理 SBOM 的最佳實(shí)踐

隨著SBOM被迅速接受，行業(yè)領(lǐng)導(dǎo)者已經(jīng)開始開發(fā)創(chuàng)建、管理和使用SBOM 的方法。這些實(shí)踐跨越了軟件生命周期的各個(gè)關(guān)鍵階段：

1、在統(tǒng)一的存儲庫中存儲和管理 SBOM
雖然單個(gè)開發(fā)或應(yīng)用團(tuán)隊(duì)可以將SBOM與他們的代碼構(gòu)件一起存儲在存儲庫中，但安全團(tuán)隊(duì)必須在所有應(yīng)用和開發(fā)團(tuán)隊(duì)中維護(hù)一個(gè)統(tǒng)一的SBOM存儲庫。當(dāng)新的漏洞或安全事件出現(xiàn)時(shí)，安全團(tuán)隊(duì)和CISO需要快速查詢所有軟件的SBOM并即時(shí)評估影響，而不是分別從每個(gè)團(tuán)隊(duì)中獲得單獨(dú)的評估報(bào)告，或者不得不浪費(fèi)事件從頭開始查找和重新掃描他們所有的應(yīng)用程序。此外，滿足監(jiān)管要求或合規(guī)標(biāo)準(zhǔn)也需要一個(gè)集中的存儲庫，用于生成報(bào)告和其他的合規(guī)活動(dòng)。

2、要求所有進(jìn)入供應(yīng)鏈的軟件提供SBOM
企業(yè)如果需要對所使用的軟件保有可見性，那么收集 SBOM 信息以分析軟件成分或應(yīng)用是十分重要的。如果是第三方商業(yè)軟件，那么軟件供應(yīng)商應(yīng)該提供必要的 SBOM，并將其納入你的 SBOM 資源庫。

當(dāng)使用的是開源組件來構(gòu)建自定義軟件時(shí)，在將其引入開發(fā)流程前企業(yè)應(yīng)該直接掃描開源構(gòu)件（如容器鏡像）或者開源代碼倉庫。在某些情況下，開源項(xiàng)目可能會提供一個(gè)簽名的 SBOM，這可以讓企業(yè)將他們生成的 SBOM 與社區(qū)提供的 SBOM 進(jìn)行比較來進(jìn)行驗(yàn)證。

3、為每個(gè)開發(fā)環(huán)節(jié)和構(gòu)建生成SBOM
各行各業(yè)的企業(yè)正在定制軟件以迎合其獨(dú)特的市場需求。大部分軟件都由大量的開源代碼組成（根據(jù)不同的應(yīng)用程序，開源代碼的占比在50—90%之間）以及內(nèi)部開發(fā)的代碼和第三方庫。由于在構(gòu)建階段開源代碼常常會引入額外的依賴項(xiàng)，因此在開發(fā)流程中的每一步及每一次構(gòu)建軟件時(shí)都掃描您的軟件是至關(guān)重要的。這可以讓您檢測出意料之外的SBOM變更，這些變更可能由新依賴項(xiàng)或代碼修改導(dǎo)致的。這些 SBOM 需要標(biāo)記為特殊組件或他們所代表的應(yīng)用程序。

4、為你所部署或交付的每個(gè)軟件版本創(chuàng)建綜合的SBOM
無論您是將軟件交付給客戶，還是幫助客戶、員工、合作伙伴進(jìn)行部署，您應(yīng)該創(chuàng)建一個(gè)綜合的SBOM，并標(biāo)記為該版本軟件的變更。這提供了一個(gè)追蹤機(jī)制，可以讓企業(yè)快速評他們生產(chǎn)的應(yīng)用或組件的安全狀況，同時(shí)評估新漏洞對此前開發(fā)的影響。對于將軟件售賣或提供給外部用戶的企業(yè)，您也可以提供必要的可見性和“信任報(bào)告”給軟件的下游用戶。

5、 將自動(dòng)化應(yīng)用于策略執(zhí)行和告警

借助中心化的SBOM倉庫和有效的SBOM管理能力，企業(yè)可以利用一個(gè)自動(dòng)的策略引擎來應(yīng)用策略規(guī)則，如同步特殊的監(jiān)管要求或合規(guī)標(biāo)準(zhǔn)。同時(shí)，還可以應(yīng)用任意內(nèi)部要求。自動(dòng)告警可以提醒您新漏洞或違反策略的行為，如此，受影響的團(tuán)隊(duì)可以快速修正重要問題并阻止受影響的鏡像被部署。

借助工具生成SBOM

可以肯定的是，軟件物料清單將在業(yè)務(wù)開展方式中發(fā)揮越來越重要的作用。但是，考慮到制作SBOM所需的數(shù)據(jù)量，僅通過人工將這些碎片組合在一起是相當(dāng)具有挑戰(zhàn)性的。Seal 軟件供應(yīng)鏈防火墻可以生成SBOM數(shù)據(jù)，并可以跟蹤SBOM的變化以進(jìn)行漏洞匹配，及時(shí)發(fā)現(xiàn)軟件供應(yīng)鏈中的安全風(fēng)險(xiǎn)。