自2013年首次记录以来,供应链攻击一直在不断增加。有利可图,相对简单地为潜在的攻击者建立,他们承诺是其运营核心的组织。在过去的四年中,备受瞩目的供应链攻击的数量已超过三倍,除非广泛采用对策,否则趋势将继续下去。在开放科学的背景下,对科学软件开发对开源代码的压倒性依赖以及大规模部署中使用的多种软件技术使资产所有者越来越难以评估威胁其活动的脆弱性。最近提出了美国政府(白宫行政命令EO14028)和欧盟委员会(E.U.网络弹性法案)要求政府合同的服务和设备供应商以标准和开放的数据格式提供其公司商业产品的软件材料清单(SBOM)。然后,可以使用此类SBOM文档来自动化剖面,并评估已知或未来漏洞的影响以及如何最佳减轻它们。本文将解释CERN如何在其加速器控制基础架构的背景下调查SBOM管理的扩展,该基础架构今天可以在市场上提供解决方案,以及如何使用它们来逐步执行开发人员社区的安全依赖性生命周期策略。
主要关键词