- 综合排序
- 最热优先
- 最新优先
- 来自专栏CNCF
安全:SBOM的价值
综上所述,我们相信关于 Flux 及其安全性考虑和特性的博客系列是合适的,我们将从讨论 SBOM 开始。 SBOM 是什么? 对于 Flux 项目,我们在每个版本中都会发布一个软件材料清单(SBOM)。SBOM 通过Syft[6]软件生成SPDX[7]格式。 大型组织,公司或政府,已经在采用 SBOM,并根据 SBOM 提供的信息做出决策。一些人开始要求使用中的软件采用 SBOM。一个很好的例子是美国政府要求软件供应商提供 SBOM[8]。 SBOM 用例 以下是一些更具体的例子,说明了 Flux 的 SBOM: 依赖项的安全警报将是最明显的用例。如果检测到 CVE,你可以检查 SBOM,并查看你正在使用的组件是否受到任何方式的影响。 如果你已经读到这里,并且你正在组织中使用 SBOM,也请让我们知道你从 SBOM 中得到了什么!
1.4K20编辑于 2022-03-28 - 来自专栏panzhixiang
浅谈SBOM(软件物料清单)
SBOM是什么 SBOM全称是Software Bill of Materials, 中文是软件物料清单。 SBOM的作用和好处 根据NTIA的介绍,SBOM主要有以下9个作用 减少计划外的工作(Reduce unplanned, unscheduled work) 例如,当发现某一个组件有漏洞的时候,在SBOM 便于向客户提供SBOM报告(Provide an SBOM to a customer ) 客户出于安全或者法规的要求需要SBOM报告,在我们有SBOM报告的情况下,就比较容易做了。 虽然上面说的那样也能算是一个SBOM系统,但是在实际应用中,肯定不会那么简单。以后会单独把SBOM的实施拎出来写。 SBOM的范围 前面提到过,SBOM就是软件所应用的第三方组件的清单,严格来说这是不准确的。
1.3K10编辑于 2024-10-30 - 来自专栏云云众生s
软件成分析和SBOM的联合防御
采用 SCA 和 SBOM 管理体现了在网络威胁日益增多的情况下,安全高效开发的最佳实践方法。 SBOM 管理的作用:增强透明度 SBOM 管理提供了应用程序中每个软件组件的详细清单,包括开源和专有元素,并列出了所有软件包、库和 依赖项,从而提供前所未有的透明度了解软件的构成。 除了组件透明度之外,SBOM 管理还提供以下好处: 应用程序漏洞管理: SBOM 管理有助于快速检测和修复任何列出的组件中的漏洞,从而增强应用程序的安全态势,无论它们是在内部开发还是获取的。 软件供应链透明度: SBOM 管理有助于以符合行业标准的格式向客户、用户和监管机构有效地展示安全的开发实践。 SBOM 管理不仅增强了软件系统的透明度和安全性,还确保了组织能够维持高标准的合规性。 SCA 和 SBOM 管理:互补方法 SCA 和 SBOM 管理是互补的方法,共同形成一个健壮的软件安全和合规框架。
47110编辑于 2024-06-08 - 来自专栏OpenSCA
SCA技术进阶系列(一):SBOM应用实践初探
SBOM使用场景 1)从广义的分类上看,SBOM有三种不同的使用场景: 〇 软件生产商使用SBOM来协助构建和维护他们提供的软件; 〇 软件采购商使用SBOM来进行采购前参考、协商折扣和制定采购策略; SBOM进行编辑; 〇 以可读的格式查看、比较、导入和验证SBOM; 〇 可合并多个SBOM的内容,并可将其从一种格式或文件类型转换为另一种格式或文件类型; 〇 支持通过API和库让其他工具使用SBOM 在SDLC中完成SBOM 当SBOM被重新定义后,SBOM具有更高的透明度、具体来源和传播效率,企业机构在一定条件下通过SBOM即可识别和修复漏洞风险。 SBOM与风险情报关联 SBOM记录了软件的组件组成信息,供应商或开发者可以通过提供SBOM清单至组件漏洞信息分析平台,获取最新漏洞风险情报从而进行修复和更新SBOM。 图片 围绕SBOM建立管理流程 在确定了SBOM的格式与对应的工具后,可围绕SBOM统一安全评估标准建立软件生命周期威胁卡口。
1.9K10编辑于 2023-02-13 - 来自专栏云云众生s
开源预测:Rust将爆发,SBOM将成为哑弹
Rust、jj 和 uv 凸显了社区持续的创新,而 SBOM、公平源代码和服务器端 Wasm 则提醒我们,并非所有趋势都能成功。 SBOM、公平源和 Wasm:不会发生 虽然我对开源的许多方面都持乐观态度,但我认为明年有一些趋势不会获得发展。 软件物料清单 (SBOM) 将继续处于监管困境。 SBOM 持续成为网络安全政策中的热门话题,但其实际影响仍然有限。尽管监管措施不断推进,SBOM 往往感觉像是走过场的合规练习,对实际漏洞管理几乎没有增值作用。 除非美国政府和其他利益相关者将重点转向更有影响力的举措,否则 SBOM 在 2025 年不太可能获得任何显著的采用。 公平源(Fair source)许可模式将无法在开源社区获得成功。 Rust、jj 和 uv 的兴起突显了社区持续的创新,而对 SBOM、公平源和服务器端 Wasm 的预期有所降低,这提醒我们并非所有趋势都能成功。
34710编辑于 2024-12-31 - 来自专栏持续集成
详解SBOM:定义、关系、区别、最佳实践和生成工具
什么是 SBOM SBOM 是软件材料清单(Software Bill of Materials)的缩写。它是一份详细记录软件构建过程中使用的所有组件、库和依赖项的清单。 SBOM 的最佳实践 自动化生成:使用自动化工具生成 SBOM,避免手动创建和维护,确保准确性和一致性。 供应商合作:与供应商和合作伙伴共享和获取 SBOM 信息,确保他们也提供准确的 SBOM,并持续关注他们的漏洞管理和合规性措施。 Microsoft sbom-tool:是一种高度可扩展、适用于企业的工具,可为各种工件创建 SPDX 2.2 兼容的 SBOM。 除了以上这些还有一些其他工具也提供了 SBOM 生成、管理和分析的功能,你可以根据具体需求选择适合的工具来实施 SBOM 的最佳实践。
12K20编辑于 2023-09-01 - 来自专栏深度学习与python
GitHub增加SBOM导出功能,使其更易于符合安全性需求
GitHub 声称,这项新特性能够让我们轻松导出符合 NTIA 标准的 SBOM。 用户可以通过一些不同的方式导出 SBOM,可以手动进行,也可以使用自动化的进程。 要手动生成 SBOM,可以访问仓库的依赖关系图,然后点击新的 Export SBOM 按钮。这样会按照 SPDX 格式创建一个机器可读的 SBOM。 然后,通过 gh sbom -l 命令可以按照 SPDX 格式输出 SBOM,而 gh sbom -l -c 命令则会使用 CycloneDX 格式。 GitHub 提供了自己的 GitHub Action,以便于从依赖关系图中导出 SBOM。 如果愿意的话,还可以使用微软的 sbom-tool,或者基于 Syft 的 Anchore SBOM Action。 该公司说,未来还可以通过特定的 REST API 导出 SBOM。
70110编辑于 2023-04-14 - 来自专栏云云众生s
您有一个SBOM — 接下来的步骤是什么?
但一个关键问题仍然存在:一旦您拥有 SBOM,接下来的步骤是什么? 验证您的 SBOM SBOM 不仅仅是组件列表。它是帮助维护软件透明性和完整性的一份重要文档。 考虑以下 SBOM 验证步骤: 验证组件准确性:使用自动化工具交叉检查 SBOM 与您的实际软件依赖项,并更新 SBOM 以更正差异。 管理和监控 SBOM 以查找漏洞 有效的 SBOM 管理不仅限于开发阶段。在生产中,需要持续监控 SBOM 以确保持续的安全性和合规性,尤其是在出现新漏洞时。 要有效监控 SBOM,请考虑以下最佳实践: 维护 SBOM 存档:为与生产中或交付给客户的软件相关的所有 SBOM 创建一个最新的存储库。 利用 SBOM 实现长期安全性 随着 SBOM 采用的增加,组织必须加强其管理实践以确保稳健的软件安全性,尤其是开源。
49210编辑于 2024-11-11 - 来自专栏OpenSCA
KCD技术分享:以SBOM为基础的云原生应用安全治理
SBOM最佳实践。 SBOM概述 SBOM是代码中所有开放源代码和第三方组件的清单。 从广义的分类上看,SBOM有三种不同的使用场景: 软件生产商使用SBOM来协助构建和维护他们提供的软件; 软件采购商使用SBOM来进行采购前参考、协商折扣和制定采购策略; 软件运营商使用SBOM为漏洞管理和资产管理提供信息 SBOM实践要点 SBOM与风险情报关联 SBOM记录了软件的组件组成信息。供应商或开发者可以通过提供SBOM清单至组件漏洞信息分析平台,获取最新漏洞风险情报,安排修复并及时更新SBOM。 围绕SBOM建立管理流程 在确定了SBOM的格式与对应的工具后,可以围绕SBOM统一安全评估标准、建立软件生命周期威胁卡点。
1.3K10编辑于 2023-06-13 - 来自专栏FreeBuf
如何使用bomber扫描软件物料清单(SBOM)以查找安全漏洞
关于bomber bomber是一款针对软件物料清单(SBOM)的安全漏洞扫描工具,广大研究人员可以通过该工具扫描和检测软件物料清单(SBOM)。 而bomber正好可以帮助我们,该工具可以读取任何基于JSON或XML的CycloneDX格式,或JSON SPDX或Syft格式的SBOM,然后立刻告诉广大研究人员目标SBOM中是否存在任何安全漏洞。 支持的SBOM格式 bomber支持下列SBOM格式: SPDX CycloneDX Syft 工具安装 macOS 我们可以直接使用Homebrew来安装bomber: brew tap 的目录,或单个SBOM。 扫描单个SBOM bomber scan spdx.sbom.jsonbomber scan --provider=xxx --username=xxx --token=xxx spdx-sbom.json
1.7K20编辑于 2023-03-29 - 来自专栏OpenSCA
技术分享 | 不同格式标准SBOM清单横评:SPDX、CDX和DSDX
从定义上讲, SBOM是包含软件应用中使用的所有组件、库和其他依赖项的列表。国际通用的SBOM标准格式包括SPDX、CDX和SWID,前两者由于记录着更详细的依赖信息而得到了更广泛的使用。 下文将对SPDX、CDX及DSDX三种标准SBOM格式进行对比分析。 1.3 字段说明SPDX(v2.2) 格式标准 SBOM 包含以下部分:02 CDX2.1 许可证apache-2.02.2 格式简介CDX (CycloneDX)是OWASP发布的轻量级SBOM标准, 专注于自动化整个软件构建周期中对SBOM的使用和管理。 2.3 字段说明CDX(v1.5) 格式标准 SBOM 包含以下部分:03 DSDX3.1 格式简介目前,我国尚无SBOM标准格式相关国标;基于广大社区用户的实践反馈及对国际标准格式的研究,今年8月推出的
2.8K00编辑于 2023-12-04 - 来自专栏深度学习与python
仅仅发布 SBOM 是不够的,质量和可用性因项目而异
最近对开源存储库中 SBOM 的质量和可用性进行的 一项评估 发现,SBOM 的可用性和实现存在很大的差异。 Meyers 指出: 尽管存在许多 SBOM 生成工具(以及许多 SBOM 的隐含存在),但 SBOM 消费工具仍难以解析格式不正确和不完整的 SBOM,并且实现软件透明度的目标仍然遥不可及。 Meyers 报告称,许多开源项目 SBOM 的质量很低。例如,SBOM Scorecard 工具检查是否存在软件包许可证信息。在被评估的 SBOM 中,只有大约 20% 的有此信息。 第九个流侧重于改进 SBOM 工具和培训,以帮助推动整个生态系统采用 SBOM。 Meyers 同意提高 SBOM 可用性及其质量的双重目标,他指出“如果要通过 SBOM 实现软件透明度,SBOM 质量将成为一个关键问题。”
45010编辑于 2023-03-01 - 来自专栏云云众生s
CICD中SBOM的实用方法第一部分 — CycloneDX
在本文中,我将介绍在CI/CD流水线中实现SBOM生成的实用用例及其益处。本文涵盖了SBOM的概念、其优势、流行格式以及Java和Python项目的实际实现。 为了让您了解SBOM格式的使用情况: GitLab使用CycloneDX GitHub允许以SPDX格式导出SBOM 选择项目的SBOM格式将取决于您独特的需求。 使用CycloneDX生成Java SBOM 为了展示如何为Java项目生成SBOM,我选择了一个支持Maven包管理的开源项目。 在构建工件的CI/CD流水线中,构建SBOM的过程应该非常快。 以下截图显示了SBOM内容。 SBOM生成后,接下来该做什么? 有大量关于SBOM的资料,各种格式,它们的优点,但很少有描述如何存储、跟踪和后续处理SBOM的。在我看来,这是谈论软件清单时的关键部分。
2.4K11编辑于 2024-03-28 - 来自专栏CODING DevOps
八月更新 | CI 构建计划触发机制升级、制品扫描 SBOM 分析功能上线!
03 制品扫描提供软件成分分析 (SBOM) 软件研发过程中往往会使用大量开源组件,开源组件代码的比例高达 90% 左右。这在加速软件研发的同时也带来了潜在的安全风险。 为了帮助企业解决软件成分不透明、软件供应链风险追溯和治理效率低等问题,CODING 制品扫描推出软件成分分析(SBOM)重磅能力。 通过 SBOM,系统会分析制品的依赖组件,并提供各组件的版本、漏洞、license 统计等信息。
38720编辑于 2023-08-25 Gitee推出SBOM扫描功能:为开源供应链安全构筑数字防火墙
Gitee推出SBOM扫描功能:为开源供应链安全构筑"数字防火墙"在开源软件占据现代软件开发90%以上组件的今天,供应链安全已成为行业不可忽视的挑战。 Gitee最新推出的SBOM(软件物料清单)扫描功能,正在为开发者提供一套完整的开源组件风险管控方案,这标志着国内代码托管平台在软件供应链安全领域迈出了关键一步。 Gitee的SBOM扫描功能正是针对这一痛点而生,通过建立完整的软件"成分表",帮助开发者掌握每一个引入组件的详细信息。 与传统的漏洞扫描工具不同,SBOM扫描建立了完整的组件谱系图,使得开发者不仅能发现当前风险,还能预测依赖关系变更可能带来的连锁反应。 与单纯的代码托管相比,SBOM扫描代表着平台开始向软件供应链上游延伸服务价值。这种转变符合全球开发者平台的发展趋势,也体现了Gitee对行业痛点的深刻理解。
43110编辑于 2025-09-15- 来自专栏云云众生s
CICD中SBOM的实用方法第二部分—部署Dependency-Track
译自 A Practical Approach to SBOM in CI/CD Part II — Deploying Dependency-Track 。 Dependency-Track采用了一种独特且非常有益的方法,那就是利用软件清单(SBOM)的功能。这种方法可以实现传统的软件组成分析(SCA)解决方案无法实现的功能。 从实际角度来看,Dependency-Track根据上传的SBOM跟踪项目及其关联组件。该平台由以下部分组成: API服务器 托管UI静态文件前端服务器 此外,该平台利用数据库存储其数据。 可以通过web应用程序UI或公开的API上传SBOM。就API而言,它可以在CI/CD阶段自动更新项目和上传SBOM。 缺点: 仅支持CycloneDX SBOM格式, 需要一定的部署和配置工作。
2.2K10编辑于 2024-03-28 - 来自专栏OpenSCA
2025开源SCA工具推荐 | 组件依赖包安全风险检测利器
/云平台、离线/在线等多种使用场景,支持Java、JavaScript(Node.js)、PHP、Python、Go (Golang)、Rust、Erlang等多种主流编程语言并支持生成软件物料清单(SBOM 组件依赖解析,可视化SBOM分析组件的直接依赖及间接依赖解析分析;组件安全漏洞分析,可快速定位漏洞影响范围并及时修复透明化SBOM(软件物料清单),助力快速梳理内部软件资产。03. SBOM 生成与管理5.1 生成 SBOM 文件使用以下命令生成 SBOM 文件:opensca-cli -path /path/to/project -out sbom.spdx支持的 SBOM 格式包括 5.2 转换 SBOM 文件OpenSCA 支持将 SBOM 文件转换为其他格式。 例如,将 SPDX 转换为 CycloneDX:opensca-cli -path sbom.spdx -out sbom.cdx.json
2.9K10编辑于 2025-03-07 - 来自专栏AI+运维:智能化运维的未来
别再“跑得通就行”了:软件供应链安全这事,迟早轮到你(SBOM Sigstore in-toto 实战聊聊)
这时候,SBOM、Sigstore、in-toto就不是“安全圈的高级玩具”,而是运维兜底工具。二、SBOM:别再“我大概知道用了啥”1️⃣SBOM到底解决什么问题? 2️⃣SBOM落地第一步:先生成再说别一上来就搞治理、平台、流程,第一步只有一个字:生成。 比如,用Syft给镜像生成SBOM:展开代码语言:BashAI代码解释syftnginx:1.25-ojson>sbom.json你会看到什么? 3️⃣我个人对SBOM的态度说点真心话。SBOM不会立刻提升系统安全性,但它会极大提升三样东西:可见性可追责性安心感(这点很重要)运维最怕的不是问题本身,而是出问题时——你连底牌都没有。 五、别一口气全上,我给你一个“运维友好”落地顺序这是我自己比较认可的顺序第一阶段(最现实)镜像SBOM基础漏洞扫描SBOM归档第二阶段(防止误操作)Sigstore镜像签名集群侧校验(AdmissionController
19810编辑于 2025-12-27 重大SBOM风险预警 | 总下载量超百万次开源NPM组件被投毒
SBOM情报概述Summary近日(2025.03.25),悬镜供应链安全情报中心在NPM官方仓库(www.npmjs.com)中捕获1起针对全球知名薪酬数据统计平台 PayScale 旗下开源NPM组件 依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析
64010编辑于 2025-03-31- 来自专栏腾源会
开源是容器安全面临的最大挑战?|Anchore 软件供应链安全报告解读
PART THREE SBOM SBOM 是 Software Bill Of Materials 的缩写,意为软件物料清单。 3.2 SBOM 的基线属性 SBOM 需要有一些基线属性来对软件组件做标识,以及描述组件之间的关系。 基线属性包括: Author Name:SBOM的作者(Author 并不总是等同于 Supplier) Timestamp:SBOM 最后被更新的时间戳 Spplier Name:SBOM 条目中某个组件供应商的名称或者唯一标识 组件之间的关联(默认的 Relationship 类型是 include) 3.3 SBOM 示例 SBOM 信息和组件之间的关系可以有多种方式展示,比如下面的 SBOM 图 还有下面的 SBOM 3.5 SBOM 的生成 syft 是一个用 Go 语言写的命令行工具,主要用来从容器镜像和文件系统生成软件物料清单(SBOM)。
1.3K20发布于 2021-11-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号