数字时代,万物可编程,数字技术已是新一代信息技术的灵魂,正通过云服务、IT 托管服务等方式颠覆着传统产品供应关系,成为数字经济发展的基础设施。随着软件供应链正向数字供应链跃迁式演进,数字供应链安全涵盖了数字应用安全、基础设施服务安全以及供应链数据安全。以数字供应链安全全流程治理与运营的视角,“供应链引入、生产链、供应链交付运营”是数字供应链安全的三大环节。而SBOM(Software Bill of Materials,软件物料清单)作为建立数字供应链的安全基线,是数字供应链安全的核心关键部分,将在辅助安全设计评审,交叉安全测试和动态发布等环节发挥重要作用,为企业用户提供了一个明确、统一的视角,在复杂的数字供应链中实现更高的透明度和可信度,从而满足安全性和合规性的要求。
软件物料清单是什么?
物料清单(Bill of Material,BOM)是描述企业产品组成的技术文件。对于实体产品,物料清单能够表明产品的总装件、分装件、组件、部件、零件和原材料之间的结构关系和所需数量。SBOM的概念由传统物料的概念衍生而来,它是描述构成软件程序或应用程序成分组成的技术文件,涵盖了多个软件构建组件的详细信息及供应链关系。SBOM 相当于一个软件产品的物料清单,它列出了软件组件、相关组件的信息及其依赖关系,能够为软件开发人员、购买者和运营者提供关于软件开发过程中所采用的所有“原材料”的相关信息及其供应链上下游的依赖关系。
国际主流SBOM格式
为了实现 SBOM 的自动化生成、广泛采用和跨组织共享,NITA 在 2021 年 7 月发布了《软件物料清单(SBOM)最小元素》,其中指定了三种 SBOM 交付共享的标准格式,也是目前全球主流的标准格式(详见下表),分别为软件包数据交换(SPDX)、CycloneDX、软件标识(SWID)。SPDX 格式源自 Linux 基金会的开源项目,于 2021 年 8 月正式成为国际公认的 ISO 标准,以 ISO/IEC5962:2021《信息技术 SPDX 规范 V2.2.1》形式发布。SPDX 是最大、最重量级的 SBOM 格式,特点在于支持详细展示许可证信息,适用于大型、复杂组织的软件供应链管理。目前,英特尔、微软、西门子、索尼、新思科技、威睿等众多国际领军企业均已采用 SPDX。CycloneDX 格式由开放式 Web 应用程序安全项目(Open Worldwide Application Security Project,OWASP)社区创建,是一种轻量级 SBOM 标准,侧重于网络安全风险管理和供应链组件分析,通常被中小型组织和大量使用开源组件的团队所青睐。SWID 格式由美国国家标准与技术研究所(NIST)创建,并于 2015 年成为国际标准 ISO/IEC 19770-2:2015。SWID 是一个标准化的 XML 格式,定义了四种标签来标识和描述软件开发生命周期中的不同状态和信息,可用于软件部署、配置管理、软件资产管理、安全漏洞评估等场景。
中国原创专利级SBOM格式-DSDX
DSDX(Digital Supply-chain Data Exchange)SBOM格式由OpenSCA社区主导发起,汇聚开源中国、电信研究院、中兴通讯等权威研究机构、甲方用户、安全厂商多方力量,共同适配中国企业实战化应用实践场景。作为国内数字供应链安全SBOM格式,DSDX目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业及产业从软件供应链安全向数字供应链安全过渡升级。
DSDX清单有什么?
· SBOM 清单信息:清单名称、ID、创建者、清单版本、创建阶段、创建时间等
· 项目基本信息:项目名称、宿主环境信息、运行时环境信息、EAR 信息等
· 组件信息:组件名称、ID、厂商、组件来源、组件类型、置信度、校验码、语言、依赖关系、依赖数量、依赖路径等
· 代码文件信息:名称、ID、校验码、路径、相似文件来源、相似度
· 代码片段信息:ID、来源文件 ID、校验码、代码片段位置、相似代码片段来源、相似度
· 依赖树信息:以 K-V 形式保存的项目完整依赖关系图
· 备注信息:其他备注信息
现有的国际SBOM格式依赖于软件供应链,而如今数字供应链扩大了原有软件供应链的内涵,不仅囊括数字应用,还包括基础设施环境和供应链数据。数字供应链安全更是涵盖数字应用安全、基础设施服务安全以及供应链数据安全。基于此,DSDX重点引入了运行环境信息和供应链流转信息,加强了清单间的互相引用,并实现最小集/扩展集的灵活应用,深度支持代码片段信息的存储及追踪,为企业用户提供整个数字供应链基础设施视角的落地治理实践。
DSDX 如何应用?
DSDX通过与悬镜源鉴SCA开源威胁管控平台深度联动,可全面提升企业数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及安全管理水平。
开源应用组件级资产测绘:DSDX可以生成全面兼容、安全可溯源的软件物料清单,精细化识别开源软件组件及其构成和依赖关系,输出透明化的数字应用组件资产及风险清单。
许可证合规性管理:基于DSDX记录的开源软件许可证信息,进一步实现许可证条款解读、兼容性分析等,帮助企业确保自身遵守许可证相关条款,规避潜在的知识产权等法律问题或处罚,避免后续公司业务自身权益受到损害。
提升软件质量:基于DSDX提供的组件信息,识别出过时或废弃的组件,鼓励开发团队使用最新且安全的库,从而提高整体的软件质量。
安全事件应急响应:DSDX中包含了详尽的软件组成成分,安全团队可以通过DSDX分析软件风险,并进行持续监控;在有供应链安全事件发生时,安全团队也能根据DSDX快速定位第三方组件中已知漏洞的影响范围,并针对性地对修复措施进行优先级排序,加速供应链攻击事件应急响应速度。
SCA技术是数字供应链开源治理的关键入口,DSDX为代表的SBOM格式将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用。深度支持DSDX的源鉴SCA,针对性适配中国企业实战化应用实践场景,为供应链上下游企业用户提供安全新方案与整体建设新思路,保障数字供应链下开源资产的安全引入及安全管控,助力行业及产业从软件供应链安全向数字供应链安全过渡升级。