XiaoMi-AI文件搜索系统
World File Search SystemSBOM
建立通用软件材料清单(SBOM)
目录2关于此文档的目录2 4 1问题说明5 1.1目标5 2什么是SBOM?7 2.1 SBOM Elements 8 2.2 Baseline Attributes 9 2.2.1 SBOM Meta-Information 9 2.2.1.1 Author Name 9 2.2.1.2 Timestamp 10 2.2.1.3 Type 10 2.2.1.4 Primary Component (or Root of Dependencies) 10 2.2.2 Component Attributes 10 2.2.2.1 Component Name 11 2.2.2.2 Version 12 2.2.2.3 Supplier Name 12 2.2.2.4 Unique Identifier 13 2.2.2.5 Cryptographic Hash 14 2.2.2.6 Relationship 15 2.2.2.6.1 Primary Relationship 16 2.2.2.6.2 “Included In” Relationship 16 2.2.2.6.3 Heritage or Pedigree Relationship 16 2.2.2.6.4 Relationship Completeness 16 2.2.2.7 License 17 2.2.2.8 Copyright Notice 18 2.3 Undeclared SBOM Data 18 2.3.1 Unknown Component Attributes 19 2.3.2 Redacted Components 20 2.3.3 Unknown Dependencies 20 2.4支持用例21 2.5映射到现有格式的补充信息22 2.6 SBOM示例23 3 SBOM流程26 3.1 SBOM创建:26 3.2 SBOM创建:27 3.3 SBOM Exchange 27 3.4软件供应链规则规则28 3.5角色和Perspectives 30
黑客供应链:SBOM生存指南
•广泛的影响:一位受损的供应商可以感染许多下游客户。•利用信任:攻击者操纵供应商与客户之间的可信赖关系。•隐藏的入口点:攻击者隐藏在软件依赖性层中,从而使检测变得困难。
软件物料清单 (SBOM) 管理建议
整个联邦政府都应实施这一战略。[2] 第 8 号国家安全备忘录 (NSM-8) 以第 14028 号行政令为基础,将职责分配给国家安全经理,并指出了国家安全系统所需的其他要求。[3] 另外,第 14017 号行政命令:《关于美国供应链的行政命令》侧重于加强美国供应链的弹性,[4] 国防部第 5200.44 号指令则侧重于国防部在 SCRM 方面的工作。[5] 国家安全系统委员会指令 (CNSSD) 505 的进一步指示分配了职责,并为持续开发、部署和维持旨在保护 NSS 的 SCRM 项目建立了最低标准。[6]
软件物料清单 (SBOM) 管理建议
整个联邦政府都应实施这一战略。[2] 第 8 号国家安全备忘录 (NSM-8) 以第 14028 号行政令为基础,将职责分配给国家安全经理,并指出了国家安全系统所需的其他要求。[3] 另外,第 14017 号行政命令:《关于美国供应链的行政命令》侧重于加强美国供应链的弹性,[4] 国防部第 5200.44 号指令则侧重于国防部在 SCRM 方面的工作。[5] 国家安全系统委员会指令 (CNSSD) 505 的进一步指示分配了职责,并为持续开发、部署和维持旨在保护 NSS 的 SCRM 项目建立了最低标准。[6]
软件物料清单 (SBOM) 的最低要素
《关于改善国家网络安全的行政命令 (14028)》指示商务部与国家电信和信息管理局 (NTIA) 协调,发布软件物料清单 (SBOM) 的“最低要素”。SBOM 是一种正式记录,其中包含用于构建软件的各种组件的详细信息和供应链关系。除了建立这些最低要素外,本报告还定义了如何考虑最低要素的范围,描述了 SBOM 用例以提高软件供应链的透明度,并列出了未来发展的选项。SBOM 为生产、购买和运营软件的人提供了信息,以增强他们对供应链的了解,从而带来多种好处,最显著的是跟踪已知和新出现的漏洞和风险的潜力。SBOM 不会解决所有软件安全问题,但会形成一个基础数据层,在此基础上可以构建进一步的安全工具、实践和保证。本文档中定义的最低限度元素是支持基本 SBOM 功能的基本部分,并将作为不断发展的软件透明度方法的基础。这些最低限度元素包括三个广泛且相互关联的领域。