技术分享 | 不同格式标准SBOM清单横评:SPDX、CDX和DSDX

最新推荐文章于 2025-09-24 17:30:02 发布
原创 最新推荐文章于 2025-09-24 17:30:02 发布 · 1.7k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开源 #安全

本文探讨了软件物料清单(SBOM)在现代软件供应链中的重要性,比较了SPDX、CDX和DSDX三种SBOM标准格式,强调了它们在许可证管理、安全性和适应性上的特点。OpenSCA支持输出这些标准格式,以增强软件供应链的安全性和效率。

为了保证安全性、降低开发、采购及维护的相关成本,复杂动态的现代软件供应链对软件资产透明度提出了更高的要求。使用清晰的软件物料清单(SBOM)收集和共享信息,并在此基础上进行漏洞、许可证和授权管理等,可以揭示整个软件供应链中的弱点、提高软件供应链的透明度并增进供应链上下游间的相互信任、有效管控软件供应链攻击的威胁。

从定义上讲, SBOM是包含软件应用中使用的所有组件、库和其他依赖项的列表。国际通用的SBOM标准格式包括SPDX、CDX和SWID,前两者由于记录着更详细的依赖信息而得到了更广泛的使用。

DSDX(Digital Supply-chain Data Exchange)是由OpenSCA社区主导,开源中国、电信研究院、中兴通讯联合发起的中国首个数字供应链SBOM格式,更适配中国企业实战化应用实践场景,并且能兼容SPDX、CDX、SWID国际标准和国内标准。

更多DSDX相关信息请参考:SCA技术进阶系列(四):DSDX SBOM供应链安全应用实践

 

下文将对SPDX、CDXDSDX三种标准SBOM格式进行对比分析。

01 SPDX 

1.1

最低0.47元/天 解锁文章
中国原创SBOM格式DSDX在软件供应链安全中的场景应用
分享软件供应链安全最新技术与最佳实践
02-24 1220
SCA技术是数字供应链开源治理的关键入口,DSDX为代表的SBOM格式将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用。
SCA技术进阶系列(四):DSDX SBOM供应链安全应用实践
Anprou的博客
12-01 1796
SBOM是保护软件供应链的关键部分,也是漏洞匹配管理的基础。对于企业而言,SBOM是软件供应链治理中很重要的基础数据,能够帮助企业实现依赖治理、漏洞管理开源许可证合规。SBOM背后靠的是SCA知识库数据的支撑,想要充分发挥SBOM的作用,应该将生成工具尽可能多的研发流程打通,做到实时更新SBOM清单,并全面的知识库订阅数据进行实时动态关联。随着软件消费者会使用到各类供应商提供的软件产品,这些产品通常以二进制的形式交付,相比源码识别的效果覆盖率会更低,存在的风险更难识别。
「 网络安全常用术语解读 」SBOM主流格式SWID详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-03 2445
国际标准化组织(ISO)国际电工委员会(International Electrotechnical Commission,IEC)发布了软件标识(Software Identification,SWID)标签标准,该标准定义了用于描述软件产品的结构化元数据格式
「 网络安全常用术语解读 」SBOM主流格式SPDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-25 4557
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项其他属性。随着开源共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作创新提供了重要的基础。
软件供应链安全的“身份证“:SBOMSPDX
weixin_60602539的博客
03-17 1023
通过多种检测技术,利用自主可控的分析引擎强大的基因库,提供开源软件资产识别(SBOM)、安全风险检测、许可合规分析、漏洞监控告警及开源软件安全管理等功能,帮助企业缓解开源软件安全、合规运维风险,助力构建软件供应链安全保障体系。而在队列SBOM标准中,SPDX(软件包数据)作为一种开放、透明、且标准化的格式,凭借其强大的功能,成为保证软件供应链透明性安全性的“身份”。提供关于 SPDX 文档本身的基本元数据,例如文档的创建者、创建时间版本信息,有助于跟踪管理SPDX文档的来源历史。
SBOM格式标准:国内首个数字供应链SBOM格式DSDX详解
软件供应链安全选型指南
07-21 718
除了用于估特定漏洞的风险,DSDX还可以结合合规要求企业安全策略进行专项检查定期检查,在分析出不满足合规策略时,能够基于项目、资产等不同维度对总体风险进行梳理,并触发对应的预警或者阻断等操作,使数据的消费更及时、更左移,降低风险影响。其中,DSDX重点引入了运行环境信息、创建阶段供应链流转信息,加强了清单间的互相引用,并以最小集/扩展集的形式增强了SBOM应用的灵活性,深度支持代码片段信息的存储及追踪,为企业用户提供整个数字供应链基础设施视角的落地治理实践。开源的本质是群智创新!
深度解析 | CISA 发布 2025 版 SBOM 最基本要素:软件供应链安全进入新阶段
最新发布
Sectrend的博客
09-24 659
美国CISA发布《软件物料清单(SBOM)最基础要素》2025版更新草案,这是自2021年NTIA标准以来的重大升级。新规强化了组件哈希值、许可证信息等关键字段,要求SBOM覆盖所有依赖项并区分"已知未知"信息。随着欧盟CRA法案、FDA新规等全球监管要求落地,SBOM正从可选实践转变为软件市场准入的强制要求。新标准特别关注SaaSAI系统的特殊需求,同时强调SBOM与VEX等安全公告的联动,实现精准漏洞管理。中国企业需把握标准升级机遇,将SBOM纳入CI/CD流程,构建可信的软件供应
Gartner发布SBOM软件物料清单创新洞察:SBOM的三种标准、五个应用场景及实施成功的四个关键.pdf
09-27
SBOM标准主要分为三种类型:结构化数据格式标准、内容格式标准以及元数据描述标准。结构化数据格式标准规定了SBOM格式结构,例如JSON或XML;内容格式标准定义了SBOM必须包含哪些信息以及如何呈现这些信息...
详解SBOM清单:要素、用例工具
qzt961003的博客
07-14 1373
在本文中,我们将探讨与SBOM相关的所有内容,包括构成要素、优点、用例工具模板。
构建开源供应链安全的软件物料清单SBOM)
qzt961003的博客
07-08 2097
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单SBOM)组件库,但并非所有开发人员业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
许可证列表数据:SPDX许可证列表的各种数据格式,包括RDFa,HTML,文本JSON
02-03
许可证清单数据 请不要针对此生成的数据存储库提交拉取请求或问题。 我们感谢所有贡献,请参阅以获取有关请求新许可证,报告问题或贡献与该存储库相关的拉取请求的信息。 许可证列表数据预览 包含此存储库内容HTML网站可从。 资料格式 该存储库包含各种生成的数据格式,包括RDFa,HTML,文本JSON。 可以在找到生成这些数据文件的许可证列表的来源。 请注意,许可证列表XML存储库的格式SPDX法律团队的内部格式,可能会发生更改。 有关如何以编程方式访问SPDX许可证列表的说明,请参见文件accessingLicenses.md。 以下目录包含指定格式的许可证列表: html文件的简单HT
spdx-license-diff:ChromeFirefox浏览器扩展程序,可将文本与spdx许可证列表进行比较
02-05
SPDX许可差异 将所选文本与SPDX许可证进行比较,找到最匹配的文本。 此扩展程序在ChromeFirefox中创建一个浏览器按钮,以将所有选定的文本与SPDX进行比较。 SPDX许可证列表是在自由开源以及其他协作软件或文档中常用的许可证例外列表。 SPDX许可证列表的目的是使SPDX文档,源文件或其他地方的许可证例外能够轻松有效地识别。 SPDX许可证列表包括标准化的简短标识符,全名,经过审查的许可证文本(包括适当的匹配准则标记)以及每个许可证例外的规范永久性URL。 安装 从或获取它。 贡献 学分 来自脚手架 有关生产归因,请参阅。 执照 我们最初使用的是但一旦便会迁移到A
SPDX-Tools:支持SPDX标准的工具
05-02
概述 软件包数据交换(SPDX)规范是一种标准格式,用于传达与软件包关联的组件,许可证版权。 这些工具由SPDX工作组发布,请参见 贡献 有关对SPDX工具做出贡献的信息,请参见文件CONTRIBUTING.md。 句法 spdx工具的命令行界面可以这样使用: java -jar spdx-tools-jar-with-dependencies.jar <function> <parameters> SPDX格式转换器 spdx工具提供了以下转换器工具: TagToSpreadsheet TagToRDF RdfToTag 读音 RdfToSpreadsheet SpreadsheetToRDF SpreadsheetToTag 将SPDX文件从标签转换为rdf格式的示例: java -jar spdx-tools-jar-with-dependencies.jar T
spdx-licenses:用于处理SPDX许可证列表验证许可证的工具
02-25
作曲家/ spdx许可证 SPDX(软件包数据交换)许可证列表验证库。 最初是作为一部分编写的,现在已提取并作为独立的库提供。 安装 使用以下命令安装最新版本: $ composer require composer/spdx-licenses 基本用法 <?php use Composer \ Spdx \ SpdxLicenses ; $ licenses = new SpdxLicenses (); // get a license by identifier $ licenses -> getLicenseByIdentifier ( 'MIT' ); // get a license exception by identifier $ licenses -> getExceptionByIdentifier ( 'Autoconf-exception-3.0' ); //
SBOM介绍
weixin_51928869的博客
04-15 4780
介绍软件物料清单sbom)相关规范示例
SBOM生成转换
鹅鹅鹅的博客
03-25 661
SBOM清单可以用来管理软件项目中的组件资产,包括第三方开源组件及自研组件。当前较为常用的国际通用SBOM格式SPDXCyclonedx两种。二者结构不同,对应的结构也略有不同SPDX是已经有一个ISO标准了,另一个目前还没有。体感SPDX比较关注许可信息,CDX场景更多。由于漏洞信息是动态更新的,常见的做法是生成一个SBOM之后如果源码不再变动,之后就用这个SBOM为材料来定期检测漏洞情况。这两种格式的生成转换有很多工具都支持,出于成本考量用了一个开源工具来做。Saas版的话可以不用敲命令行。
软件物料清单 (SBOM):从透明度理念到代码落地
smellycat000的专栏
06-28 6270
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士代码漏洞的数量影响都在不断增长。随着越来越多的软件成分来自不同的供应商即软件供应链,快速找到并修复其中的漏洞也变得越发艰难。最近...
Gartner发布SBOM软件物料清单创新洞察:SBOM的三种标准、五个应用场景及实施成功的四个关键
lurenjia404的博客
08-29 1967
软件物料清单可提高软件供应链中专有代码开源代码的可见性、透明度、安全完整性。为了实现这些优势,软件工程领导者应在整个软件交付生命周期中集成 SBOM
详解SBOM:要素、用例工具
phmatthaus的专栏
08-11 1090
SBOM(软件物料清单)是给定产品的中所有软件组件(专有开源代码)、开源许可证依赖项的清单。它提供了对软件供应链以及可能存在的任何许可证合规性、安全质量风险的可见性。由于当今的应用程序通常由许多单独的组件构建,通常来自各种开源或专有源码包,因此SBOM变得越来越重要有价值。考虑到这些复杂性,涉及产品的组织个人很难完全了解软件供应链以及可能存在的任何许可证风险。而SBOM可以帮助企业快速识别补救潜在的安全漏洞,满足许可要求,并应用版本控制最佳实践。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值