SCA技术进阶系列(四):DSDX SBOM供应链安全应用实践
发布网友
发布时间:1天前
共1个回答
热心网友
时间:1天前
面对软件资产管理的挑战,供应链透明度的缺失使得在环境出现新漏洞时,检测受影响的应用程序和服务变得困难且耗时。若能列举并轻松管理使用的所有软件组件,快速定位分析漏洞的影响范围,将极大提升软件资产精细管理的效率。
为解决这一问题,供应链物料清单(SBOM)应运而生。SBOM作为记录软件组成等信息的工程文件,对提升供应链的维护和保障工作量及难度具有重大意义。随着软件供应链安全成为焦点,特别是2021年美国行政令EO14028的推动,SBOM的推广和落地变得迫切。
SBOM的实践存在挑战,尤其是在国内缺乏自主协议框架的情况下,上游组件生成SBOM的最佳方法不统一,导致SBOM可能不完整或不准确。不同格式(如CycloneDX、SPDX、SWID)的缺乏标准化分发机制,使得SBOM的消费变得困难。此外,SBOM的分发、验证、集中数据和使用数据方面仍需改进。
在SBOM主流协议方面,国外主要格式包括Software Package Data Exchange(SPDX)、CycloneDX和Software Identification(SWID)。尽管许可证似乎无断供风险,但违反基金会条款可能导致项目访问受限。我国在软件供应链安全物料清单管理方面基础薄弱,*了软件信息共享和数据交换。
DSDX协议作为国内首个数字供应链安全SBOM格式,由OpenSCA社区发起,汇聚了权威研究机构、用户、安全厂商等多方力量。DSDX旨在成为软件供应链治理与运营的核心技术抓手,助力从软件供应链安全向数字供应链安全过渡。其目标是让每个软件公司都能在可交付成果中附上SBOM,使用户完全了解组件使用情况及潜在漏洞。
DSDX规范由基本信息、项目信息、对象信息、代码片段信息及依赖信息等部分组成。依赖树信息、备注信息等元素确保了SBOM的完整性与可追溯性。DSDX兼容国际标准,并引入了运行环境信息、创建阶段和供应链流转信息,加强清单间的引用,支持代码片段信息的存储与追踪。
DSDX协议支持软件供应链全生命周期管理,从源码到发布阶段,覆盖组件、漏洞、许可证风险的全面覆盖。创建SBOM时,应与代码仓库集成,嵌入更新逻辑,或在CI/CD环节通过与软件集成实现审查。SBOM应跟随代码、制品动态变化,实时更新。
DSDX协议在SBOM自身安全可信、深度与有效性、与漏洞关联、结合风险策略排查等方面提供价值。SBOM应包含真实性和完整性保障,支持深度依赖关系分析,与漏洞关联,构建风险分析和资产管理能力。悬镜安全通过源鉴SCA产品集成了DSDX、SPDX、CycloneDX、SWID四种SBOM标准格式的自动化生成能力,为用户提供全面的数字供应链安全管理解决方案。
SBOM清单管理涉及生成、检测、资产管理和风险分析等关键环节。悬镜安全的源鉴SCA在资产视角上提供树结构和图谱结构,支持过滤检测,分析依赖关系,建立完整的软件与组件链路关系树,进行风险识别与评估。SBOM清单与组件、漏洞和知识库数据联动,帮助企业识别、分析、评估和解决网络安全威胁。
在供应链安全事件发生时,DSDX中的详细软件组成成分帮助快速定位受影响组件,加速应急响应速度。SBOM作为关键数据,支持企业实现依赖治理、漏洞管理和开源许可证合规。通过与生成工具和研发流程的无缝集成,实时更新SBOM清单,与知识库数据动态关联,SBOM的作用得到充分发挥。
随着软件供应链的安全问题日益凸显,SBOM作为供应链管理的重要工具,其重要性不容忽视。DSDX协议作为SBOM格式的代表,在供应链的各个关键环节发挥重要作用,悬镜安全全栈产品基于DSDX,为中国企业实战化应用场景提供安全解决方案与整体建设思路。
