软件物料清单(SBOM)生成指南 .pdf

如今软件安全攻击技术手段不断升级,攻击数量显著增长。尤其是针对软件供应链的安全攻击,具有高隐秘性、追溯难的特点,对企业软件安全威胁极大。

同时,软件本身也在不断地更新迭代,软件内部成分安全性在持续变化浮动。如果软件内部组件来源、开源许可等信息的安全态势不清晰,将无法及时洞察到安全威胁,导致风险加剧。

软件物料清单(SBOM)的价值由此凸显。

国际上,已经很多国家把SBOM作为网络设备上市的安全审查项目之一,例如美国医疗器械上市FDA认证中,SBOM已成为重要的审核维度。

Gartner也曾预测, 到2025年,60%负责开发关键基础设施软件的组织,将在其软件工程实践中强制实施和标准化SBOM。SBOM将成为数字产品安全与合规工具箱中的重要工具。

那么,标准的SBOM都有哪些元素构成?如何生成SBOM呢?

01/  SBOM的基础元素

1、 基线属性

包含:软件版本、软件授权、引用组件名称、数量、生成方、组件版本、许可协议、组件来源、组件引用关系、组件调用位置、组件唯一标识、物料清单时间戳、物料清单唯一标识、生成阶段等

2、自动化支持

除了基线属性之外,SBOM还需支持自动化,包括通过自动生成和机器可读性,允许跨软件生态系统的扩展。用于生成和使用 SBOM 的数据格式包括 :SPDX、CycloneDX 和 SWID 标签。

3、 实践与流程

SBOM 请求、生成和使用的操作,包括频率、深度、已知的未知风险、分布和交付、访问控制和容错。

02/ SBOM生成指引

 方式一: 0操作成本,安全专家一站式服务为您生成SBOM文件 

网安云软件物料清单服务(推荐产品海外上市网络安全审查等企业)

 1、安全需求咨询与服务方案制定

对客户实际应用场景与需求进行深入调研,根据需求制定服务方案,包含协定服务流程与产出交付物形态(例如文件格式、规范、需要符合何种法规等)。

2、第三方组件安全检测

自研第三方组件安全工具与安全专家分析相结合,产出软件第三方组件安全检测结果,根据需求可生成专业化检测报告。

3、 软件物料清单(SBOM)相关文件生成

导出国际三大物料清单格式,也可支持其他更多字段,满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求,导出文件机器可读。
软件物料清单文件生成icon-default.png?t=N7T8https://www.wanyun.cn/Support?share=24315_ea8a0e47-b38d-4cd6-8ed1-9e7711a8ad5e 

方式二 : 自助生成,便捷式操作快速生成标准化SBOM文件 

网安云软件物料清单管理平台(推荐有成熟开发团队且软件多样的企业)

1、一键安装,操作便捷

以一键安装插件的便捷方式,自动化、动态获取组件资产数据。无需繁琐部署或上传源代码,即可快速生成标准化的软件物料清单文件。

2、格式合规,机器可读

满足SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求,确保文件格式有效、属性合规、机器可读。

3、可视化管理,安全可控

平台除了生成SBOM文件外,还运用强大的数据分析与图标可视化能力,还原软件内部成分信息之间层次、依赖关系,以及软件基本信息与安全信息之间的关联关系,为客户绘制可视化软件资产关系图表。

协助客户进行安全风险传导路径分析,当安全问题发生时可以快速溯源,圈定影响范围。

点此免费使用:软件物料清单管理平台​icon-default.png?t=N7T8https://www.wanyun.cn/Support?share=24315_ea8a0e47-b38d-4cd6-8ed1-9e7711a8ad5e

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/314461.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【算法】人工蜂群算法,解决多目标车间调度问题,柔性车间调度问题

文章目录 复现论文什么是柔性作业车间调度问题?数据处理ABC算法编码解码种群初始化雇佣蜂操作IPOX交叉多点交叉 观察蜂操作侦察蜂操作算法流程 结果程序截图问询、帮助 复现论文 什么是柔性作业车间调度问题? 也叫多目标车间调度问题。 柔性作业车间调…

为什么有的晶圆厂叫特色工艺晶圆厂?

知识星球(星球名: 芯片制造与封测社区)里的学员问: 经常看看到某某晶圆厂是12英寸特色工艺晶圆厂,特色工艺是指什么? 芯片的种类? 芯片分为四大类:mems,IC,光电器件,分立器件。 …

web(微博发布案例)

示例&#xff1a; 1、检测空白内容 2、发布内容 html: <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><meta …

科蓝尔环保 | 成都2024全国水科技大会暨技术装备成果展览会

2024年5月13日一15日中华环保联合会、福州大学、上海大学在四川省成都市联合举办“2024全国水科技大会暨技术装备成果展览会”。 大会主题&#xff1a;加快形成新质生产力 增强水业发展新动能 大会亮点&#xff1a;邀请6位院士&#xff0c;100余位行业专家&#xff0c;15场专…

Redis缓存问题:穿透,击穿,雪崩等

Redis缓存问题:穿透,击穿,雪崩等 在高并发场景下,数据库往往是最薄弱的环节,我们通常选择使用redis来进行缓存,以起到缓冲作用,来降低数据库的压力,但是一旦缓存出现问题,也会导致数据库瞬间压力过大甚至崩溃,从而导致整个系统崩溃.今天就聊聊常见的redis缓存问题. 缓存击穿 …

了解HTTP代理服务器:优势、分类及应用实践

在我们日常的网络使用中&#xff0c;我们经常听到HTTP代理服务器这个术语。那么&#xff0c;HTTP代理服务器到底是什么&#xff1f;它有什么优势和分类&#xff1f;又如何应用于实践中呢&#xff1f;让我们一起来了解一下。 HTTP代理服务器是一种位于客户端和服务器之间的中间…

qml和c++结合使用

目录 文章简介1. 创建qml工程2. 创建一个类和qml文件&#xff0c;修改main函数3. 函数说明&#xff1a;4. qml 文件间的调用5. 界面布局6. 代码举例 文章简介 初学qml用来记录qml的学习过程&#xff0c;方便后面归纳总结整理。 1. 创建qml工程 如下图&#xff0c;我使用的是…

数字IC后端先进工艺设计实现之TSMC 12nm 6Track工艺数字IC后端实现重点难点盘点

大家知道咱们社区近期TSMC 12nm ARM Cortexa-A72(1P9M 6Track Metal Stack)已经开班。这里小编要强调一点:不要认为跑了先进工艺的项目就会很有竞争力&#xff01;如果你仅仅是跑个先进工艺的flow&#xff0c;不懂先进工艺在数字IC后端实现上的不同点&#xff0c;为何有这样的不…

【笔记】应对Chrome更新导致Chromedriver失效的解决方案:Chrome For Test

随着网络应用和网站的不断发展&#xff0c;自动化测试变得越来越重要&#xff0c;而Selenium成为了许多开发者和测试人员的首选工具之一。然而&#xff0c;对于使用Selenium来进行网站测试的人来说&#xff0c;Chrome浏览器的频繁更新可能会成为一个头疼的问题。每当Chrome更新…

论文速览 | IEEE TIFS, 2021 | 对车载毫米波雷达的物理层攻击及其防御方法的研究

注1:本文系"计算成像最新论文速览"系列之一,致力于简洁清晰地介绍、解读非视距成像领域最新的顶会/顶刊论文(包括但不限于 Nature/Science及其子刊; CVPR, ICCV, ECCV, SIGGRAPH, TPAMI; Light‑Science & Applications, Optica 等)。 本次介绍的论文是:<2…

iOS——NSCache

什么是NSCache NSCache是Foundation框架中的一个类&#xff0c;用于在iOS和macOS应用程序中进行临时性的内存缓存。它提供了一种轻量级的缓存机制&#xff0c;可以用于存储临时性的数据&#xff0c;例如图片、对象等。NSCache的主要特点和用法包括&#xff1a; 临时性缓存&…

汽车纵染压制专用液压机比例阀放大器

汽车纵染压制专用液压机比例阀放大器是一种专门用于汽车纵梁拉伸工艺的设备&#xff0c;它也可以用于其他金属薄板的压制成型及校正工艺。该类型的液压机通常具备独立的动力机构和电气系统&#xff0c;采用PLC技术进行控制&#xff0c;以确保操作的准确性和稳定性。除了纵梁拉伸…

openEuler-22.03安装redis6.2.7

前言&#xff1a;redis一开始是安装5.0.7&#xff0c;一直安装失败 gcc安装版本是 10.3.1 make报错 参考博客&#xff1a;https://blog.51cto.com/flyfish225/10596050 将redis版本换成 6.2.7 1、下载地址 https://download.redis.io/releases/redis-6.2.7.tar.gz 2、解压…

OpenHarmony硬件合成方案解析

本文档主要讲解在OpenHarmony中&#xff0c;硬件合成适配的方法及原理说明。 环境说明&#xff1a; OHOS版本&#xff1a;3.1-Release及以上 一、背景介绍 1.1 什么是合成 要理解什么是合成&#xff0c;合成做了什么&#xff1f;我们先通过分解设置界面来回答这个问题: 在…

删除二叉搜索树中的节点

题目链接 删除二叉搜索树中的节点 题目描述 注意点 节点值唯一root 是合法的二叉搜索树节点数的范围 [0, 10000] 解答思路 可以根据二叉搜索树的性质找到要删除的节点&#xff0c;关键是删除节点后怎么重新构建成一棵新的二叉搜索树首先要找到的是删除节点node的父节点nod…

数智时代的AI人才粮仓模型解读白皮书(2024版)

来源&#xff1a;极客邦科技 自 2023 年上半年起&#xff0c;ChatGPT 等大模型技术蓬勃发展&#xff0c;AI 技术不断突破边界&#xff0c;展现 出惊人的潜力和发展速度。从早期的逻辑推理、专家系统&#xff0c;到如今的深度学习、神经网络&#xff0c; AI 技术显著缩小了科学…

【webrtc】Chrome和Firefox在SDP协商过程中,针对localhost的不同处理

内网下chrome端webrtc协商失败 现象 我有一个webrtc服务器在局域网内&#xff0c;使用chrome浏览器访问时&#xff0c;发现webrtc在做媒体协商时失败。 具体表现是&#xff0c;在交换sdp后&#xff0c;ice的状态是oniceconnectionstatechange: failed 但是换成Firefox浏览器…

编写Spark独立应用程序

执行本文之前&#xff0c;先搭建好spark的开发环境&#xff0c;我目前只搭建了standalone模式&#xff0c;参考链接 &#xff1a; Spark Standalone模式部署-CSDN博客 1. 安装sbt 1&#xff09;下载sbt 网址&#xff1a;https://www.scala-sbt.org/download.html &#xff0c…

设计模式——终止模式之两阶段终止模式

文章目录 1. 错误思路2. 两阶段终止模式2.1 利用 isInterrupted2.2 利用停止标记interrupt-打断park Two Phase Termination 在一个线程 T1 中如何“优雅”终止线程 T2&#xff1f;这里的【优雅】指的是给 T2 一个料理后事的机会。 1. 错误思路 使用线程对象的 stop() 方法停…

论文解读-面向高效生成大语言模型服务:从算法到系统综述

一、简要介绍 在快速发展的人工智能&#xff08;AI&#xff09;领域中&#xff0c;生成式大型语言模型&#xff08;llm&#xff09;站在了最前沿&#xff0c;彻底改变了论文与数据交互的方式。然而&#xff0c;部署这些模型的计算强度和内存消耗在服务效率方面带来了重大挑战&a…