XiaoMi-AI文件搜索系统
World File Search SystemSBOM
软件物料清单 (SBOM) 管理建议
整个联邦政府都应实施这一战略。[2] 第 8 号国家安全备忘录 (NSM-8) 以第 14028 号行政令为基础,将职责分配给国家安全经理,并指出了国家安全系统所需的其他要求。[3] 另外,第 14017 号行政命令:《关于美国供应链的行政命令》侧重于加强美国供应链的弹性,[4] 国防部第 5200.44 号指令则侧重于国防部在 SCRM 方面的工作。[5] 国家安全系统委员会指令 (CNSSD) 505 的进一步指示分配了职责,并为持续开发、部署和维持旨在保护 NSS 的 SCRM 项目建立了最低标准。[6]
![arxiv:2309.11256v2 [CS.CR] 2024年1月17日](/simg/g:\will\search\icon\source\2\2479c9ef8bca974217922d8cddfbaf0d151f9f65.webp)
arxiv:2309.11256v2 [CS.CR] 2024年1月17日
关键基础设施系统的鲁棒性取决于其软件供应链的完整性和透明度。在这方面,软件材料清单(SBOM)至关重要,提供了对软件开发至关重要的组件和依赖项的详尽清单。但是,SBOM共享中普遍的挑战,例如侵犯风险的数据和供应商不愿完全披露敏感信息的挑战,极大地阻碍了其有效的实施。这些挑战对关键基础架构和透明度和信任至关重要的系统的安全构成了显着威胁,强调了对SBOM共享更安全和灵活的机制的需求。为了弥合差距,这项研究引入了用于SBOM共享的区块链授权的体系结构,利用可验证的凭证允许选择性披露。此策略不仅提高了安全性,还提供了灵活性。此外,本文扩大了SBOM的份额涵盖AI系统,从而构成了术语AI材料清单(AIBOM)。AI的出现及其在关键基础架构中的应用需要对AI软件组件(包括其起源和相互依赖性)的细微理解。我们解决方案的评估表明了拟议的SBOM共享机制的可行性和灵活性,为保护(AI)软件供应链提供了解决方案,这对于现代关键关键基础设施系统的弹性和可靠性至关重要。
软件物料清单 (SBOM) 管理建议
整个联邦政府都应实施这一战略。[2] 第 8 号国家安全备忘录 (NSM-8) 以第 14028 号行政令为基础,将职责分配给国家安全经理,并指出了国家安全系统所需的其他要求。[3] 另外,第 14017 号行政命令:《关于美国供应链的行政命令》侧重于加强美国供应链的弹性,[4] 国防部第 5200.44 号指令则侧重于国防部在 SCRM 方面的工作。[5] 国家安全系统委员会指令 (CNSSD) 505 的进一步指示分配了职责,并为持续开发、部署和维持旨在保护 NSS 的 SCRM 项目建立了最低标准。[6]
软件物料清单 (SBOM) 的最低要素
《关于改善国家网络安全的行政命令 (14028)》指示商务部与国家电信和信息管理局 (NTIA) 协调,发布软件物料清单 (SBOM) 的“最低要素”。SBOM 是一种正式记录,其中包含用于构建软件的各种组件的详细信息和供应链关系。除了建立这些最低要素外,本报告还定义了如何考虑最低要素的范围,描述了 SBOM 用例以提高软件供应链的透明度,并列出了未来发展的选项。SBOM 为生产、购买和运营软件的人提供了信息,以增强他们对供应链的了解,从而带来多种好处,最显著的是跟踪已知和新出现的漏洞和风险的潜力。SBOM 不会解决所有软件安全问题,但会形成一个基础数据层,在此基础上可以构建进一步的安全工具、实践和保证。本文档中定义的最低限度元素是支持基本 SBOM 功能的基本部分,并将作为不断发展的软件透明度方法的基础。这些最低限度元素包括三个广泛且相互关联的领域。
建立通用软件材料清单(SBOM)
目录2关于此文档的目录2 4 1问题说明5 1.1目标5 2什么是SBOM?7 2.1 SBOM Elements 8 2.2 Baseline Attributes 9 2.2.1 SBOM Meta-Information 9 2.2.1.1 Author Name 9 2.2.1.2 Timestamp 10 2.2.1.3 Type 10 2.2.1.4 Primary Component (or Root of Dependencies) 10 2.2.2 Component Attributes 10 2.2.2.1 Component Name 11 2.2.2.2 Version 12 2.2.2.3 Supplier Name 12 2.2.2.4 Unique Identifier 13 2.2.2.5 Cryptographic Hash 14 2.2.2.6 Relationship 15 2.2.2.6.1 Primary Relationship 16 2.2.2.6.2 “Included In” Relationship 16 2.2.2.6.3 Heritage or Pedigree Relationship 16 2.2.2.6.4 Relationship Completeness 16 2.2.2.7 License 17 2.2.2.8 Copyright Notice 18 2.3 Undeclared SBOM Data 18 2.3.1 Unknown Component Attributes 19 2.3.2 Redacted Components 20 2.3.3 Unknown Dependencies 20 2.4支持用例21 2.5映射到现有格式的补充信息22 2.6 SBOM示例23 3 SBOM流程26 3.1 SBOM创建:26 3.2 SBOM创建:27 3.3 SBOM Exchange 27 3.4软件供应链规则规则28 3.5角色和Perspectives 30
黑客供应链:SBOM生存指南
•广泛的影响:一位受损的供应商可以感染许多下游客户。•利用信任:攻击者操纵供应商与客户之间的可信赖关系。•隐藏的入口点:攻击者隐藏在软件依赖性层中,从而使检测变得困难。
软件材料法案的技术指南...
图1:场景的流程图............................................................................................................................................................................................................................................................... 9图2:SBOM的水平............................................................................................................................................................................................................................................................................................... 4: Steps & its Activities for Developing SBOM Ecosystem at Organizational Level .......................... 13 Figure 5: Benefits of Automation Support in SBOM .................................................................................... 26 Figure 6: Steps to Establish Roles & Responsibilities ................................................................................. 28 Figure 7: Vulnerability Tracking and Analysis in SBOM Steps Sequence Example .......................................................... 34
一项关于软件材料法案的实证研究:我们站在哪里和前方的道路
摘要 - 软件供应链攻击的快速增长引起了人们对软件材料清单(SBOM)的极大关注。SBOM是一个至关重要的构建基础,可确保软件供应链的换算,以帮助改善软件供应链安全性。尽管学术界和行业正在为促进SBOM发展做出重大努力,但仍不清楚从业者如何看待SBOMS以及在实践中采用SBOM的挑战是什么。此外,现有的与SBOM相关的研究往往是临时的,并且缺乏软件工程的重点。为了弥合这一差距,我们进行了第一项经验研究,以访谈和调查SBOM从业人员。我们采用了一种混合定性和定量方法来收集17名受访者和来自五大洲15个国家的65名受访者的数据,以了解从业者如何看待SBOMFILD。我们总结了26项陈述,并将其分为SBOM实践状态的三个主题。根据研究结果,我们得出了一个目标模型,并强调了未来的指示,从业者可以努力。索引条款 - 软件材料清单,SBOM,法案,负责人AI,经验研究