深度解析 | CISA 发布 2025 版 SBOM 最基本要素:软件供应链安全进入新阶段

最新推荐文章于 2025-10-10 07:08:39 发布
原创 最新推荐文章于 2025-10-10 07:08:39 发布 · 661 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #SBOM #软件物料清单

美国网络安全和基础设施安全局(CISA)于 2025 年 8 月发布了《软件物料清单(SBOM)最基础要素》更新草案,这是自 2021 年 NTIA 发布首个 SBOM 标准以来最重要的一次更新。本文将结合 CISA 官方文档和 OpenSSF 专家观点,为您深度解析此次更新的技术要点和行业影响。

SBOM 最基础要素:为何此时更新?

SBOM 作为软件供应链安全的"基石",通过机器可读的格式记录软件成分信息,使组织能够快速响应漏洞、管理许可证合规性。经过四年的实践发展,SBOM 工具链和行业实践已显著成熟,原有的 2021 版已无法满足当前需求。 主要驱动因素:

  • SBOM 采用率大幅提升,涌现出新用例和应用场景
  • SBOM 工具功能显著增强,支持更精细化的数据采集
  • 联邦政府软件认证要求(OMB M-22-18 备忘录)的推动

技术要素更新详解:三大类别全面升级

数据字段(Data Fields)更新 

新增字段(3 个):

Component Hash(组件哈希值)

要求提供组件的加密哈希值(如 SHA-256)

如无法获取原始组件工件(Component Artifact),应明确标注 

对此,行业专家 Lieberman 指出,在软件物料清单(SBOM)中引入组件哈希值可能是最关键的一项改进。由于同一软件包即使版本号相同,若来源不同(如来自 Red Hat 或 Debian),其构建过程也可能存在差异,导致实质上成为不同的组件。哈希值如同唯一指纹,能够精确标识出具体的构建版本,从而在出现安全漏洞时帮助快速定位受影响范围。例如之前的 XZ 后门事件仅波及部分 Linux 发行版,通过比对哈希值即可准确判断自身是否受影响,实现精准修复。此外,记录组件在构建前、构建中或构建后等不同阶段的上下文信息也十分重要,其中构建过程中生成的信息通常最为完整。

更进一步来看,当 CVE 披露某一漏洞时,往往不会覆盖所有代码仓库中的

最低0.47元/天 解锁文章
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单SBOM
04-29
CycloneDX Node.js模块 用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单SBOM),其中包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高本 用法 正在安装 npm install -g @cyclonedx/bom 获得帮助 $ cyclonedx-bom -h Usage: cyclonedx-bom [OPTIONS] [path] Creates CycloneDX Software Bill-of-Materials (SBOM) from Node.js projects Options: -v, --version output the version number -a, --appe
精选资源
保障软件供应链安全SBOM推荐实践指南》2023年11月发布译文
12-18
**保障软件供应链安全SBOM推荐实践指南** 随着数字化进程的加速,软件供应链安全成为了一个至关重要的议题。软件物料清单(Software Bill of Materials,SBOM)作为一种管理软件组件的工具,已经成为确保软件供应...
软件物料清单SBOM都没有,何谈软件供应链安全
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-17 2258
该指南旨在帮助组织快速启动其 SBOM 项目,并有效管理与开源软件相关的风险。开源软件管理;创建和维护公司内部安全的开源存储库;维护、支持和危机管理;SBOM 创建、验证和制品。
软件自主可控及供应链安全,一文读懂SBOM、SCA(软件成分分析)与SLSA
极创信息的博客
09-26 604
软件供应链安全逐渐成为全球焦点的今天,这三个概念频繁出现在安全合规和信创项目中。它们既有区别,又相互联系。本文带你快速理解三者的核心内涵与应用场景。一、SBOM软件的“配料表”,直译为“软件物料清单”。就像食品必须贴上配料表一样,SBOM要求软件厂商公开软件中包含了哪些组件、本和来源。核心作用:1.让软件透明化:让用户知道软件用了哪些第三方库和开源组件。2.白盒可追溯:当某个开源组件曝出漏洞时,可以快速定位受影响的软件本。3.合规性:支持许可证合规审查,避免知识产权风险。
使用主流开发语言的项目如何一键生成SBOM文件?
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
10-10 1188
在供应链中,物料清单 (BOM) 定义并描述了交付物制造和包装过程中所用材料的内容。在软件供应链中,BOM 指的是与软件捆绑在一起的所有组件的内容,包括作者、发布者、名称、本、许可证和权。Dependency Track 支持 CycloneDX 格式。特定于软件组件的物料清单通常称为,是一份包含软件组件、本、依赖关系和许可证等信息的正式记录。随着软件供应链攻击日益频繁,拥有SBOM已经从“锦上添花”变成了“必不可少”。
13、软件供应链安全与透明度:保障知识产权和数据安全
m3n5b7v8c9x的博客
07-24 51
本文探讨了软件供应链安全与透明度在保障知识产权和数据安全中的关键作用,分析了常见的安全风险及应对措施。文章详细介绍了软件透明度的定义、好处以及用例,涵盖了生成和共享 SBOM软件物料清单)的方法、VEX(漏洞可利用性交换)的应用,以及实施软件透明度所面临的挑战与未来发展趋势。通过全面的流程和策略,组织可以有效降低软件供应链中的安全风险,确保业务的稳定运行。
SBOM(Software Bill of Materials,软件物料清单
ejinxian的专栏
07-15 1235
Salus能够自动检测NPM、NuGet、PyPI、CocoaPods、Maven、Golang、RustCrates、RubyGems、容器内的Linux软件包、Gradle、Ivy和GitHub公共仓库。除此之外,Salus还可以参考其他SBOM文件,以获取更加完整的依赖关系。微软将Salus定位为「通用的、经过企业验证的SBOM生成器」,可以轻松集成到软件构建的工作流程中。微软开发的这个工具名为。...
SBOM是什么
m0_72410588的博客
05-17 1950
本文介绍了软件构建材料的开放性标准 - SBOM的相关知识。SBOM标准的引入可以帮助企业降低对于软件供应链的风险,并提高软件安全性。而SBOM算法则是实现SBOM标准的重要手段之一,它可以自动化地生成软件构建材料清单,大大提高了软件供应链安全的效率和质量。
SBOM介绍
weixin_51928869的博客
04-15 4793
介绍软件物料清单sbom)相关规范和示例
SBOM安全软件开发的基石
weixin_50195591的博客
11-12 493
SBOM的主要优点之一是提供透明性。除了有利于快速发现和修复安全漏洞外,当出现问题时,SBOM提供的软件组件详细信息可以帮助安全团队快速识别、隔离和修复受影响的部分,大大加快事件响应速度,大限度地减少潜在损害。目前,一些自动化安全检测工具即可生成 SBOM清单,组织可以将其集成到软件开发周期 (SDLC)中,进行定期更新 SBOM 以反映软件中的更改,如添加新库或更新现有库。随着监管要求和标准化工作的进展,SBOM 将成为软件开发和安全策略的关键部分,确保应用程序在日益复杂的数字环境中的弹性和安全性。
​​SBOM 软件供应链安全(转)
xdpcxq的专栏
07-23 808
摘要:随着开源组件在软件开发中的广泛应用,软件供应链安全问题日益突出。SBOM软件物料清单)作为治理供应链安全的关键工具,通过记录组件、本、许可证等核心信息提升软件透明度。目前主流SBOM格式包括SPDX、CycloneDX和SWID,分别适用于复杂供应链、安全审计和嵌入式场景。国际实践方面,美国通过行政令强制要求SBOM,亚太地区也逐步推进政策落地。实施SBOM需结合自动化工具(如Syft)和管理平台,并遵循NTIA定义的小数据集标准,以应对组件漏洞、许可证风险等问题。SBOM已成为ISO/IEC2
SBOM算法
11-09
SBOM 模式匹配算法
2025SBOM动态治理实操指南:从合规到供应链安全
kuyxerp的博客
10-04 477
摘要:工信部《软件供应链安全管理办法》与Gartner预测共同推动企业SBOM软件物料清单)合规升级,要求2025年企业级系统SBOM覆盖率达80%,并实现动态治理。核心措施包括:1)标准选型,对比SPDX3.0、CycloneDX1.5和DSDX国标,支持AI组件溯源与国密签名;2)动态台账,通过三查机制(入库校验、变更审计、下线归档)和全链路追溯确保组件可信;3)行业定制,如金融业国密算法适配和嵌入式设备轻量化方案;4)工具链支持,涵盖生产、消费和转换型工具。动态治理的关键在于实现组件哈希校验、签名验
了解 SBOM (软件物料清单)
网络研究观
12-19 5470
预测到 2025 年,60% 的组织将把 SBOM 纳入其安全系统。
软件物料清单SBOM
Flying_Fish_roe的博客
07-15 1253
SBOM软件物料清单)是记录软件组件、依赖及元数据的结构化清单,用于提升供应链透明度,应对开源组件引发的安全和合规风险。其核心价值包括快速定位漏洞(如Log4Shell)、管理许可证合规及优化软件质量。SBOM需包含供应商、组件、本等7类核心字段(NTIA标准),主流格式包括SPDX和CycloneDX。实施时需集成自动化工具(如Syft)至CI/CD流程,并通过平台(如Dependency-Track)管理。美国EO 14028等政策强制要求SBOM,亚太地区逐步推进。技术挑战涉及动态依赖追踪
浅谈SBOM软件物料清单
panzhixiang
11-17 7308
SBOM是什么,SBOM的作用和实施
DOCKER SBOM介绍
Meng You的专栏
06-08 713
在上个月发布的Docker Desktop v4.7.0中,增加了一个新的CLI插件-docker/sbom-cli-plugin,其为Docker CLI增加了一个子命令 - ,用于查看Docker容器镜像的软件物料清单SBOM)。
软件供应链安全深度解析软件物料清单SBOM)生成与管理
java专栏
05-17 1200
SBOM不仅是软件供应链透明度的基石,也是强化安全性、促进合规的重要工具。通过上述深度解析与实例演示,希望您能掌握SBOM的生成与管理技巧,为您的软件项目筑起一道坚固的安全防线。
多字符串匹配-SBOM算法
深未来技术
01-02 1346
CISA第26考试复习手册:备考红宝书揭秘
### 知识点一:CISA认证概述 CISA(Certified Information Systems Auditor)是国际信息系统审计与控制协会(ISACA)推出的注册信息系统审计师资格认证。该认证主要面向在信息系统审计、控制与安全领域中工作的专业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值