随着现代软件开发越来越依赖于第三方资源,针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计,软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。 Gartner 明确提醒软件开发企业及组织,如果想要在软件市场上保持良好的竞争力,准备好向客户提供 SBOM 是十分必要的。

SBOM 是管理现代软件部署的复杂性和安全性的重要基础。想要成为软件产品行业中的领导者,就必须满足对技术、最佳实践和解决方案不断增长的需求,以支持 SBOM 的交付。毫不夸张的说,SBOM 对于软件供应链安全管理至关重要。Gartner 表示,尽管在2022年采用关键任务软件解决方案的企业要求在其许可或支持协议中披露 SBOM 还不到5%,但这一比例在2025年将会达到60%。

SBOM 的重要性不言而喻,但也需要企业理性看待其性质和用途。SBOM 和那些处理、分析和利用安全相关信息的工具和流程一样重要。例如软件成分分析 (SCA) 和代码签名,这些也是完整软件供应链的必要元素。

领先于对 SBOM 的需求

Gartner 建议软件提供商尽快满足 SBOM 披露的最低要求。与此同时,在准备 SBOM 时,应当针对相应行业的需求和动态进行定制。尽管当下软件供应商还没有收到要求披露 SBOM 的请求,但 Gartner 仍然建议软件提供商领先于对 SBOM 的需求,创建产品内部软件资产的完整清单。

此外 Gartner 还建议软件提供商将其每项资产归类为“商业机密”或“完全披露”。软件供应商可能决定从 SBOM 中排除或披露商业机密,但通过客户许可协议中的保密协议可以来保护这些商业机密。同时还建议软件供应商创建所有外部依赖项的完整清单,受与资产提供商签订的服务水平协议 (SLA) 约束的依赖项应归类为“商业支持”。依赖项的任何 SLA 都应要求完整的 SBOM 披露,而没有合同 SLA 的依赖项应归类为“自支持”。同时,软件供应商应当为这些依赖项创建一个自我支持的 SLA。该 SLA 应包括对完整 SBOM 的发现和跟踪。

充分发挥 SBOM 的安全价值

Gartner 建议软件资产提供商应当确保他们有能力为其自主开发的资产创建完整的 SBOM 。在满足客户对SBOM的最低需求的同时,供应商应当超越满足最基本的需求。SBOM 的目的是为软件用户提供对构成软件解决方案的资产的洞察力,以便他们努力纠正和消除通过 SBOM 披露发现的安全问题,从而避免网络恶意攻击者利用这些安全问题及漏洞用于自己的攻击向量策略。

同时可以尝试制定和使用让 SBOM 能够创造更多安全价值的策略。比如将SBOM 交付与更加广泛的安全机会,更深入地集成到 DevSecOps 实践中,以及以将其与长期产品路线图联系起来的方式扩展和发展 SBOM 技术。

现代软件开发环境

Gartner 预估在未来的软件项目中,将有40% 到 80% 的代码来自第三方,大部分外部代码来自无数个开源项目,而其余的专有代码来自供应商,对其安全状态和状况的可见性十分低。与此同时,许多开源软件 (OSS) 依赖项的管理不善让情况变得更加复杂。在过度依赖开源软件的技术生态系统中,许多组件可能完全缺乏足够的商业支持来源。因此,软件的安全状况及实践会因供应商而异。

在理想情况下,软件供应链上的每个贡献者都将为其组件的质量和安全性提供保障,而这些保障将从供应链中的一个环节传送到下一个环节中。任何组件的更新将会立即发布,而对应的依赖关系会自动在整个软件供应链中变化和传播。然而,在现实软件行业的运用环境中,许多软件供应链上的提供商常常未能够充分做好安全保障,或者由于缺乏执行此操作的工具而无法做好这一点。

SBOM 将必不可少

在未来的软件发展中,SBOM 对软件开发企业来说将变得至关重要。为软件解决方案提供完整、准确和最新的 SBOM 这一要求,将成为未来三年内大多数客户参与的强制性要素。由于无法准确地发现和跟踪内部和外部依赖项,许多技术和服务提供商将难以满足必要的 SBOM 要求,这些提供商将和会一些无法或不愿提供 SBOM 披露的软件供应商一样,在未来被逐渐排除在许多竞争机会之外。

Seal 软件供应链防火墙针对单个项目或全局为您提供依赖组件的详细洞察。在新版本中,Seal 软件供应链防火墙支持导出 SBOM,并针对 SBOM 进行了增强。同时支持查看和检索单个项目或全局的依赖组件,支持查看依赖树和各组件的依赖路径,提供依赖组件的发行信息、许可证、漏洞情况、安全评分等信息。

申请试用:https://seal.io/trial

Gartner 权威解读: SBOM 采用率将于2025年达到60%的更多相关文章

  1. APP设计尺寸规范大全,APP界面设计新手教程【官方版】(转)

    正值25学堂一周年之际,同时站长和APP设计同仁们在群里(APP界面设计 UI设计交流群,APP界面设计⑥群 APPUI设计③群58946771 APP设计资源⑤群 386032923欢迎大家加入交流 ...

  2. 【转】哦,mysql 的其它发行版本Percona, mariadb

    原文:http://geek.csdn.net/news/detail/130146 2016年11月25日,沃趣科技"智慧应用 数据先行"2016产品发布会暨新三板挂牌庆祝会在杭 ...

  3. Taro、Weex、Hippy 齐聚IMWebConf 2018!

    IMWebConf 2018 前端大会,10 月 14 日重磅来袭! 想了解 2018 前端前沿技术和发展趋势?想挖掘前端更深远的价值?就在这个秋季,第七届 IMWebConf 大会重磅来袭,我们邀请 ...

  4. 《软件定义网络:SDN与OpenFlow解析》

    <软件定义网络:SDN与OpenFlow解析> 基本信息 原书名:SDN: Software Defined Networks 原出版社: O'Reilly Media 作者: (美)Th ...

  5. 爬虫_python3_requests

    Requests 网络资源(URLs)撷取套件 改善Urllib2的缺点,让使用者以最简单的方式获取网络资源 可以使用REST操作(POST,PUT,GET,DELETE)存取网络资源 import ...

  6. 直播:中国HBase技术社区第一届MeetUp

    6月6日,由中国HBase技术社区组织,阿里云主办的中国第一届HBase Meetup将在北京举行,来自阿里.小米.滴滴.360等公司的各位大神会共同探讨HBase2.0的技术革新,HBase在国内各 ...

  7. 走进Task(1):什么是Task

    目录 前言 从表象讲起 Task 从何而来 Task 常见用法 Task 的分类 按是否包含 Result 分,也就是是否是泛型 Task 按得到 Task 的方式,可以分为 对 Task 进行分解 ...

  8. Cocos2d 学习资料推荐

    总算找到了一本介绍cocos2d的好书,注意,不是cocos2d-x!这本书叫 <cocos2d 权威指南> 定价99元,淘宝60多元,详细介绍了cocos2d的各个方面!不过你需要有oc ...

  9. C++ Primer 5th 第4章 表达式

    表达式是运算对象及运算符组成的式子,表达式求值将得到一个结果,单独的变量或者字面值也算表达式,结果是其本身. 运算符分为:一元运算符.二元运算符.三元运算符.一元即一个作用对象,二元两个作用对象,以此 ...

  10. 解读Gartner《2015年度新兴技术成熟度曲线报告》

    详细见:http://www.360doc.com/content/16/0209/16/26186435_533443133.shtml 今年的报告评估了112个领域超过2000项新型技术的市场类型 ...

随机推荐

  1. [透析] 卷积神经网络CNN究竟是怎样一步一步工作的?(转)

    视频地址:https://www.youtube.com/embed/FmpDIaiMIeA    转载:http://www.jianshu.com/p/fe428f0b32c1 文档参阅:pdf ...

  2. Spring3.0中的AOP配置方法

    http://zywang.iteye.com/blog/974226 http://www.cnblogs.com/garinzhang/p/java_spring_aop_aspect.html ...

  3. ORACLE SQL语句逻辑读高优化案例

    川川找我优化SQL,逻辑读达到398,000,安排一下. SQL和执行计划: SELECT t1.*, t3.bed_number, t3.patient_name, t4.name FROM odw ...

  4. AtCoder Beginner Contest 327 (ABC327)

    A. ab 直接根据题意模拟即可. Code B. A^A 直接枚举 \(i= 1, 2,\dots, 15\),每次看看 \(i ^ i\) 是否等于 \(A\) 即可. Code C. Numbe ...

  5. ereere

    发现没有main函数 搜索start发现有,不过f5后发现不太像 然后在字符串那里搜索flag,点进去,然后f5但是失败了,最后发现得先定位到对应的函数处才能f5  f5 逐个查看函数,找到sub_4 ...

  6. C/C++ 运用VMI接口查询系统信息

    Windows Management Instrumentation(WMI)是一种用于管理和监视Windows操作系统的框架.它为开发人员.系统管理员和自动化工具提供了一种标准的接口,通过这个接口, ...

  7. MODBUS转PROFINET网关TS-180 网关连接西门子 PLC 和工业称重仪表

    随着科技的高速发展,工业自动化行业对日益多样的称重需求越来越高,上海某公司在国内的一个 工业自动化项目中,监控中心系统需要远程实时采集工业称重仪表测量的各种称重参数.该系统使用的是 西门子 S7-30 ...

  8. keycloak~关于session idle和session max的解释

    keycloak可以帮助我们实现这个功能:用户token每5分钟失效一次,失效后通过refresh_token来换新的token,而refresh_token每30天失效一次,但如果用户3天都没有任何 ...

  9. HBase|idea使用hbase进行简单的DDL增删改查

    老师要测试什么的,所以我想练习一下,顺便记录在博客里,如有错误,敬请指正,谢谢!!! idea连接hbase 首先确保你可以打开Hbase http://192.168.40.100:16010 查看 ...

  10. 2020-2021 “Orz Panda” Cup Programming Contest G题(树形结构)

    题目传送门 题目大意:给点一颗包含 \(n\)个节点的无根树,有 \(m\)次询问,每次询问给出两个点 \(u\)和 \(v\),要求计算 \[\sum_{r=1}^{n}d_{r}(u,v) \] ...