《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Linux基金會發(fā)布軟件材料清單 (SBOM) 狀態(tài)和網(wǎng)絡(luò)安全準備報告

Linux基金會發(fā)布軟件材料清單 (SBOM) 狀態(tài)和網(wǎng)絡(luò)安全準備報告

2022-03-20
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 網(wǎng)絡(luò)安全

  加利福尼亞州舊金山——2022 年 2 月 1 日——Linux 基金會是一個通過開源實現(xiàn)大規(guī)模創(chuàng)新的非營利組織,它與 OpenSSF、SPDX 和 OpenChain 合作,今天宣布了一系列研究項目中的第一個,以了解確保軟件供應(yīng)鏈安全的挑戰(zhàn)和機遇?!败浖牧锨鍐螤顟B(tài)和網(wǎng)絡(luò)安全準備”報告了組織 SBOM 的準備程度和與網(wǎng)絡(luò)安全努力相關(guān)的采用程度。這項研究緊隨美國政府關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令和最近的白宮開源安全峰會之后。與此同時,全球越來越認識到識別軟件組件和幫助加快對新發(fā)現(xiàn)的軟件漏洞的響應(yīng)的重要性。

  “SBOM 不再是可有可無的。我們的 Linux 基金會研究團隊透露,78%的組織預(yù)計在 2022 年生產(chǎn)或使用 SBOM。”Linux 基金會執(zhí)行董事 Jim Zemlin 說?!半S著新的 ISO 標準(5962)或白宮行政命令的發(fā)布,企業(yè)加快了 SBOM 的采用,這不僅提高了他們的軟件質(zhì)量,他們也更好地防范了新的開源漏洞披露(如與 log4j 相關(guān)的漏洞)帶來的敵對攻擊。”

  SBOM 是一種正式的、機器可讀的元數(shù)據(jù),它唯一地標識一個軟件組件及其內(nèi)容;它還可能包括版權(quán)和許可數(shù)據(jù)。SBOM 被設(shè)計成在組織之間共享,并且特別有助于提供軟件供應(yīng)鏈中參與者交付的組件的透明度。許多關(guān)注應(yīng)用程序安全性的組織正在將 SBOM 作為其網(wǎng)絡(luò)安全戰(zhàn)略的基石。

  報告分析了調(diào)查參與者的主要發(fā)現(xiàn),包括:

  82%的人熟悉軟件物料清單(SBOM)這個術(shù)語

  76%的員工積極處理 SBOM 的需求

  47%正在生產(chǎn)或消費 SBOM

  78%的組織預(yù)計在 2022 年生產(chǎn)或消費 SBOM,比前一年增加 66%

  此外,受訪者還透露了生產(chǎn) SBOM 的三大好處:

  51%的人表示,開發(fā)人員更容易理解應(yīng)用程序中組件之間的依賴關(guān)系

  49%的用戶表示更容易監(jiān)控組件的漏洞

  44%的人指出,管理許可證遵從性更容易。

  Linux 基金會的研究人員還透露,額外的行業(yè)共識和政府政策將有助于推動 SBOM 的采用和實施。研究人員指出:

  62%的人正在尋求更好的行業(yè)共識,如何將 SBOM 的生產(chǎn)/消費整合到他們的 DevOps 實踐中

  58%的人希望就將 SBOM 整合到他們的風險和合規(guī)流程中達成共識

  53%的人希望業(yè)界能就 SBOM 的發(fā)展和改進達成更好的共識

  全世界 80%的組織都知道白宮關(guān)于改善網(wǎng)絡(luò)安全的行政命令

  76%的人認為行政命令的直接后果是改變

  最后,研究參與者揭示了他們用來對開發(fā)人員將使用的開源軟件組件進行優(yōu)先排序的最重要的屬性:安全性排名最高,其次是許可遵從性。

  Linux 基金會研究部在 2021 年第三季度對組織 SBOM 的準備和采用進行了全球范圍的實證研究。共有來自世界各地的 412 家機構(gòu)參與了 65 個問題的調(diào)查。該報告的作者是 Linux 基金會研究部副總裁 Stephen Hendrick。Linux 基金會也優(yōu)先研究幫助集體理解網(wǎng)絡(luò)安全挑戰(zhàn)的范圍,這是一系列核心研究項目中的第一個,探索與實施網(wǎng)絡(luò)安全最佳實踐和標準采用相關(guān)的重要問題,從 SBOM 準備情況的研究開始。

  Linux 基金會支持大量的開放源碼 SBOM 和安全相關(guān)的計劃,包括開源安全基金會[1](OpenSSF)、SPDX[2](ISO/IEC 5962[3])、sigstore[4]、Let's Encrypt[5]、in-toto[6]、The Update Framework[7](TUF)、Uptane[8]和OpenChain(ISO 5230)[9]。

  額外資源

  下載軟件材料清單狀態(tài)和網(wǎng)絡(luò)安全準備報告[10]

  請觀看2 月 1 日的網(wǎng)絡(luò)研討會[11],了解軟件材料在網(wǎng)絡(luò)安全準備中的作用

  加入 6 個OpenSSF 工作小組[12]中的一個,以幫助提高開源安全性

  閱讀SPDX 作為 SBOM 的 ISO 標準[13]

  獲得關(guān)于生成免費軟件材料清單的免費培訓[14]

  獲得安全軟件開發(fā)專業(yè)人員的認證[15]




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。