实际上软件物料清单 (BOM) 是操作系统、映像或平台中所有内容的列表。有了它,您就能更好地了解您正在使用的内容,或者当第全时,您也能更好地回答。
没有这些信息真的无
法回答。当然,你可以自信地说:“我们内 墨西哥数据 部开发的软件是安全的”,但你不能将这一点应用到你的项目所依赖的镜像和库上。这些 SBOM 可以用于 IPO 或并购前尽职调查、客户请求以及政府法规等。
SBOM 的优势
SBOM 有很多好处,包括:
- 更深层次的透明度,从而产生忠诚度和信任。
- 更加严格的安保措施。
- 供应链弹性。
- 降低成本。
- 软件代码的膨胀减少。
- 更好的软件/项目生命周期终止管理。
- 提高合规性。
仅凭上述列表就足以让您想要开始使用 SBOM 的旅程。
如何创建软件物料清单?
这取决于您使用的产品和需求。但重要 明斯博客中挖掘出有关其心态的宝 的是要明白,您的 SBOM 并非仅供内部使用。如果您创建了某些内容(尤其是在开源许可下),您应该愿意与其他开发者和/或公司共享 SBOM。您甚至可能会遇到政府机构请求您提供 SBOM 的情况。
那么如何生成 SBOM 呢?让我们看一下两个不同的用例以及如何生成 SBOM。
让我们从一个用例开始:您的开发人员基于 Ubuntu Linux 20.04 开发产品。您需要了解基础操作系统上安装的每一个软件包,以便审核这些软件包,确保它们不包含漏洞。
其中 IMAGENAME 是要扫描
的图像的名称。扫描完成后,Syft 将列出该图像的整个 SBOM。
还有其他工具(甚至第三方服务)可以为您的项目生成 SBOM。
结论
你必须从软件物料清单开 whatsapp 电话列表 始工作。你需要了解你使用的软件包含哪些内容,并且能够确保你和你的开发人员都承担责任。
在某些时候,您可能会使用包含易受攻击(或恶意软件)的库、依赖项或容器镜像。如果发生这种情况,您需要能够展示您的工作成果,并能够找出并修复问题。软件物料清单是一个很好的起点。