随着许多大规模的供应链攻击和在开源第三方包装中发现的大规模供应链攻击和漏洞之后,关于软件材料账单(SBOM)的讨论增加了。但是,在整个软件社区可以完全收获SBOM提供的好处之前,还有很多事情要做。本论文的目的是研究开源软件(OSS)社区在采用SBOMS以及现有SBOMS如何发展,重点关注软件包数据交换(SPDX)格式的程度。为了这项调查,进行了一项档案研究,在GitHub上的OSS项目中寻找SBOM并分析其内容和进化。这是对OSS项目中SBOM的第一个大规模搜索之一,目的是研究SBOM的实践。只有一小部分被检查的存储库包含一个SBOM,其中大多数是在GO项目中发现的。SBOM可以在存储库的源代码中找到,但是大多数是在发行版中的资产中找到的。总体而言,使用最新的SPDX格式经常更新SBOM,并且大多数与内容的质量保持一致。
摘要 - 软件供应链攻击的快速增长引起了人们对软件材料清单(SBOM)的极大关注。SBOM是一个至关重要的构建基础,可确保软件供应链的换算,以帮助改善软件供应链安全性。尽管学术界和行业正在为促进SBOM发展做出重大努力,但仍不清楚从业者如何看待SBOMS以及在实践中采用SBOM的挑战是什么。此外,现有的与SBOM相关的研究往往是临时的,并且缺乏软件工程的重点。为了弥合这一差距,我们进行了第一项经验研究,以访谈和调查SBOM从业人员。我们采用了一种混合定性和定量方法来收集17名受访者和来自五大洲15个国家的65名受访者的数据,以了解从业者如何看待SBOMFILD。我们总结了26项陈述,并将其分为SBOM实践状态的三个主题。根据研究结果,我们得出了一个目标模型,并强调了未来的指示,从业者可以努力。索引条款 - 软件材料清单,SBOM,法案,负责人AI,经验研究
已经提出了一些解决依赖性和建筑链问题的步骤,包括更新和使用可信赖的依赖项,软件账单(SBOMS)(SBOMS),确保构建过程以及更多行业参与[5]。但是,确保这些规定和制造系统可能不会阻止所有攻击:最近的,头条新的攻击涉及通过其最大的攻击表面之一(个人开发人员)违反SSC的违反。在2023年1月,Circleci透露,网络犯罪分子在Circleci工程师的笔记本电脑上使用恶意软件窃取了有效的,两因素身份验证支持的SSO会话,从而使攻击者可以执行会议cookie盗窃和模仿员工,从而获得了访问Pro-ductuct of-Ductucty系统的子集。2在2023年2月,密码管理器LastPass报告说,黑客偷了公司和客户数据,通过使用关键记录器恶意软件感染员工的个人计算机,使他们可以访问公司的云存储,并导致
摘要 - 软件供应链由越来越多的组件组成,包括二进制文件,库,工具和微服务,以满足现代软件的要求。由软件供应商组装的产品通常由开源和商业组件组成。软件供应链攻击是网络安全威胁的最大增长类别之一,供应商产品的大量依赖性使单一脆弱性传播到许多供应商产品中成为可能。此外,软件供应链还提供了较大的攻击表面,可允许上游传播依赖性的漏洞影响核心软件。软件材料清单(SBOM)是一种新兴技术,可以与分析工具一起使用,以检测和减轻软件供应链中的安全漏洞。在这项研究中,我们使用开源工具Trivy和Grype来评估从各个域和大小的第三方软件存储库中开采的1,151个SBOM的安全性。我们探讨了SBOM跨SBOM的软件漏洞的分布,并寻找最脆弱的软件组件。我们得出的结论是,这项研究通过软件供应链漏洞表明了安全性的威胁,以及使用SBOMS来帮助评估软件供应链中的安全性的可行性。索引条款 - 软件供应链安全,材料清单,采矿软件存储库,第三方代码
电信和信息管理局 (NTIA) 旨在对 OS 用户环境中的软件和相关依赖项的测量进行分类。[21]、[22] SBOM 不需要使用 TPM。根据设备健康证明 (DHA) 或完整性测量架构 (IMA) 等运行时测量服务的配置,SBOM 校验和哈希不能保证与软件的 TPM PCR 测量直接相关。但是,执行软件完整性测量的 SBOM 扫描代理(与 TPM 无关)可以使用校验和哈希。扫描器代理可以定期测量并记录到 TPM PCR,从而建立可信的完整性链。用作已知良好参考的 SBOM 应由负责给定软件的来源签名。
确保医疗设备生态系统需要透明度和协作。在市场上和使用中,我们优先考虑正在进行的脆弱性管理。我们通过利用SBOM进行彻底,稳健的脆弱性监测和响应,加速贴片部署,定期渗透测试以及可观察性的增加来做到这一点。当BD发现我们的一种产品中的漏洞,或者向我们报告潜在的漏洞并由BD确认时,我们与客户共享该信息,以使他们意识到潜在的风险,缓解和补偿控制。,我们根据美国食品和药物管理局(FDA)的指导并促进我们的透明文化。要了解有关我们负责任的披露过程的更多信息,请参见第10页的协调漏洞披露过程。
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。我们与来自行业的19名从业者进行了六次小组讨论。我们向他们询问了有关SBOM,弱势依赖,恶意提交,建造和部署,行政命令和规定遵守的开放性问题。这次峰会的目的是实现开放讨论,相互共享并阐明这些共同的挑战,而在确保其软件供应链的实践经验的行业从业人员中,该行业从业人员会面对。本文总结了2022年9月30日举行的峰会。可以在每个部分的开头和附录中找到完整的面板问题。
近年来已经表明,网络攻击的增加,针对软件供应链中安全性较低的元素,并导致企业和组织致命的大坝。过去众所周知的软件供应链攻击示例是影响数千个客户和企业的Solarwinds或Log4J事件。美国政府和行业对增强软件供应链安全同样感兴趣。2023年2月22日,来自NSF支持的安全软件供应链中心(S3C2)的研究人员进行了一个安全的软件供应链峰会,其中有17家公司的17名从业人员组合。该求职者的目标是在具有实际经验和挑战的行业从业人员之间分享与软件供应链安全的挑战,并帮助建立新的合作。,我们根据有关软件材料法案(SBOM),恶意提交,选择新依赖性,构建和部署的开放式问题进行了六个面板讨论,行政命令14028和脆弱的依赖关系。公开讨论使人们能够分享并阐明具有实际经验的行业从业人员在确保其软件供应链时面临的共同挑战。在本文中,我们提供了峰会的摘要。可以在每个部分的开头和附录中找到完整的面板问题。