「 网络安全常用术语解读 」SBOM主流格式SWID详解

国际标准化组织(ISO)和国际电工委员会(International Electrotechnical Commission,IEC)发布了ISO/IEC 19770-2软件标识(Software Identification,SWID)标签标准,该标准定义了用于描述软件产品的结构化元数据格式。

SWID样例:

<SoftwareIdentityname="ACME Roadrunner Detector 2013 Coyote Edition"tagId="com.acme.rrd2013-ce-sp1-v4-1-5-0" version="4.1.5"><Entity name="The ACME Corporation"regid="acme.com" role="tagCreator softwareCreator"/><Entity name="Coyote Services, Inc."regid="mycoyote.com" role="distributor"/><Link rel="license" href="www.gnu.org/licenses/gpl.txt/"><Meta activationStatus="trial" product="Roadrunner Detector"colloquialVersion="2013" edition="coyote"/><Payload><Directory root="%programdata%" location="rrdetector"><File name="rrdetector.exe" size="532712"SHA256:hash="a314fc2dc663ae7a6b6bc6787594057396e6b3f569cd50fd5ddb4d1bbafd2b6a"/><File name="sensors.dll" size="13295"SHA256:hash="54e6c3f569cd50fd5ddb4d1bbafd2b6ac4128c2dc663ae7a6b6bc67875940573"/></Directory></Payload>
</SoftwareIdentity>

1. 概览

SWID标签文档由一组结构化的数据元素组成,这些数据元素识别软件产品、描述产品版本、在产品生产和分发中发挥作用的组织和个人、关于构成软件产品的工件的信息、软件产品之间的关系以及其他描述性元数据。SWID标签中的信息为软件资产管理和安全工具提供了在软件部署生命周期中自动化管理软件安装所需的宝贵信息。

SWID标签支持软件库存自动化,作为软件资产管理(Software Asset Management,SAM)过程的一部分,评估计算设备上存在的软件漏洞,检测丢失的补丁,针对配置清单评估,软件完整性检查,安装和执行白名单/黑名单,以及其他安全和操作用例。
在这里插入图片描述

2. SWID 配套

2.1. NISTIR 8060

美国国家标准与技术研究所(NIST)与国土安全部(DHS)和国家安全局(NSA)合作,开发了NIST内部报告(NISTIR)8060:互操作SWID标签创建指南。作为ISO/IEC 19770-2:2015标准的配套文件,本报告描述了SWID标签的基本结构,为创建可互操作的SWID标签提供了进一步的指导,以实现网络安全用例。本报告有以下三个目的:

  • 介绍SWID标签的高级描述,以增加对该标准的熟悉程度
  • 提供标记实现指南,对SWID标记规范进行补充
  • 描述一组操作使用场景,说明如何使用符合这些指南的SWID标签来实现各种网络安全目标

若想了解更多SWID具体规范要求,可以参阅

  • NIST.IR.8060:Guidelines for the Creation of Interoperable Software Identification (SWID) Tags.pdf (访问密码: 6277)
  • Guidance and Usage Scenarios for Implementers and Users of Software Identification Tags.pdf (访问密码: 6277)
  • nistir-8060-guideline-summary-20160421.xlsx (访问密码: 6277)

在这里插入图片描述

2.2. SWID标签验证工具

作为NISTIR 8060的配套产品,NIST发布了SWID标签验证工具SWIDVal。标签生产商可以使用此工具来验证他们创建的标签是否符合ISO/IEC 19770-2:2015的要求和NISTIR 8060中的指南。

SSWIDVal工具当前最新版本为0.7.0(2022年1月发布),可点此获取swidval-0.7.0-swidval.zip (访问密码: 6277)
在这里插入图片描述

2.3. 安全内容自动化协议SCAP 1.3

NIST还将SWID标签的使用纳入了安全内容自动化协议( Security Content Automation Protocol,SCAP)1.3版。

若想了解SCAP,可以参阅博主前期博文《「 网络安全常用术语解读 」安全自动化协议SCAP详解》。

3. SWID的网络安全价值

  • 简化软件发现
    • 帮助用户了解网络上运行的内容
  • 增强互操作性
    • 网络安全产品和服务可以交换信息
  • 支持自动化的连续监控服务
    • 可以快速检测到端点软件清单的变化
    • 包含有助于与安全咨询、漏洞报告和威胁情报关联的数据

4. 参考

[1] https://nvd.nist.gov/products/swid
[2] https://csrc.nist.gov/projects/Software-Identification-SWID


推荐阅读:

  • 「 网络安全常用术语解读 」SBOM主流格式SPDX详解
  • 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
  • 「 网络安全常用术语解读 」软件物料清单SBOM详解
  • 「 网络安全常用术语解读 」漏洞利用交换VEX详解
  • 「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
  • 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
  • 「 网络安全常用术语解读 」软件物料清单SBOM详解
  • 「 网络安全常用术语解读 」杀链Kill Chain详解
  • 「 网络安全常用术语解读 」点击劫持Clickjacking详解
  • 「 网络安全常用术语解读 」悬空标记注入详解
  • 「 网络安全常用术语解读 」内容安全策略CSP详解
  • 「 网络安全常用术语解读 」同源策略SOP详解
  • 「 网络安全常用术语解读 」静态分析结果交换格式SARIF详解
  • 「 网络安全常用术语解读 」安全自动化协议SCAP详解
  • 「 网络安全常用术语解读 」通用平台枚举CPE详解
  • 「 网络安全常用术语解读 」通用缺陷枚举CWE详解
  • 「 网络安全常用术语解读 」通用漏洞披露CVE详解
  • 「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
  • 「 网络安全常用术语解读 」漏洞利用交换VEX详解
  • 「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
  • 「 网络安全常用术语解读 」通用攻击模式枚举和分类CAPEC详解
  • 「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/319019.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ctfshow web入门 sql注入 web224--web233

web224 扫描后台&#xff0c;发现robots.txt&#xff0c;访问发现/pwdreset.php &#xff0c;再访问可以重置密码 &#xff0c;登录之后发现上传文件 检查发现没有限制诶 上传txt,png,zip发现文件错误了 后面知道群里有个文件能上传 <? _$GET[1]_?>就是0x3c3f3d60245…

k8s环境prometheus operator监控集群外资源

文章目录 k8s环境添加其他节点基于prometheus operator k8s环境prometheus operator添加node-exporter方式一&#xff1a;通过 ServiceMonitor 方式可以写多个监控node节点运行 external-node.yaml查看资源有没有被创建热更新 外部需要被监控服务器安装 node-exporterdocker 方…

基于SSM的宠物领养平台(有报告)。Javaee项目。ssm项目。

演示视频&#xff1a; 基于SSM的宠物领养平台&#xff08;有报告&#xff09;。Javaee项目。ssm项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring Spri…

微信api、微信个人号二次开发、微信ipad协议

微信iPad协议videosAPI接口可以用于以下功能&#xff1a; 对接企业CRM和SCRM系统&#xff1a;通过接口可以实现与企业的客户关系管理系统或社交客户关系管理系统的对接&#xff0c;方便企业管理与客户的微信通讯记录和信息。 智能机器人&#xff1a;通过接口可以实现与微信聊天…

TCP重传机制——快速重传

TCP 有一种快速重传机制&#xff0c;它不以时间为驱动&#xff0c;而是以数据驱动重传。 在上图&#xff0c;发送方发出了 1&#xff0c;2&#xff0c;3&#xff0c;4&#xff0c;5 份数据&#xff1a; 第一份 Seq1 先送到了&#xff0c;于是就 Ack 回 2&#xff1b;结果 Seq2…

【热门话题】Chrome 插件研发详解:从入门到实践

&#x1f308;个人主页: 鑫宝Code &#x1f525;热门专栏: 闲话杂谈&#xff5c; 炫酷HTML | JavaScript基础 ​&#x1f4ab;个人格言: "如无必要&#xff0c;勿增实体" 文章目录 Chrome 插件研发详解&#xff1a;从入门到实践一、引言二、Chrome 插件基础概念…

计算机的翻译(编译和链接)过程

&#x1f381;个人主页&#xff1a;我们的五年 &#x1f50d;系列专栏&#xff1a;C语言基本概念 &#x1f337;追光的人&#xff0c;终会万丈光芒 &#x1f389;欢迎大家点赞&#x1f44d;评论&#x1f4dd;收藏⭐文章 目录 &#x1f697;1.翻译环境和运行环境&#xff1…

【翻译】REST API

自动伸缩 API 创建或更新自动伸缩策略 API 此特性设计用于 Elasticsearch Service、Elastic Cloud Enterprise 和 Kubernetes 上的 Elastic Cloud 的间接使用。不支持直接用户使用。 创建或更新一个自动伸缩策略。 请求 PUT /_autoscaling/policy/<name> {"rol…

【Vue3】openlayers加载瓦片地图并手动标记坐标点

目录 一、创建Vue3项目 二、openlayers加载瓦片地图&#xff08;引js文件版&#xff09; 2.1 将以下的文件复制到public下 2.2 index.html引入ol脚本 2.3 删除项目自带的HelloWorld.vue&#xff0c;创建Map.vue 2.4 编码Map.vue 2.5 修改App.vue 2.6 启动项目测试 三、…

Golang中实现调用Windows API向指定目标发送ARP请求

简介 Go库中很多实现的arp都是支持osx/linux/bsd之类的&#xff0c; 但几乎没有支持windows的&#xff0c; 也试了一些方式&#xff0c; 目前还是选用调用windows的API&#xff0c; 记录一下这一次windows的API的调用经验。 实现 代码 package main/* #cgo CFLAGS: -I. #cgo …

R语言数据探索和分析7-使用随机森林模型对中国GDP及其影响因素分析

一、研究背景和意义 国内生产总值&#xff08;GDP&#xff09;是宏观经济领域中最为关注的经济统计数据之一&#xff0c;它反映了一个国家或地区在一定时期内所创造的所有最终商品和服务的总价值。GDP的增长率不仅仅是一个国家经济健康状况的关键指标&#xff0c;还直接关系到…

Java17 --- SpringCloud之Zipkin链路追踪

目录 一、下载zipkin及运行 二、在父工程中引入pom依赖 三、在子工程8001引入相关pom依赖 3.1、修改yml配置文件 3.2、测试代码 四、在子工程80引入相关pom依赖 4.1、修改yml配置文件 4.2、测试代码 五、测试结果 一、下载zipkin及运行 运行控制台访问地址&#xff1…

Django后台项目开发实战五

完成两个功能&#xff1a; HR 可以维护候选人信息面试官可以录入面试反馈 第五阶段 创建 interview 应用&#xff0c;实现候选人面试评估表的增删改功能&#xff0c;并且按照页面分组来展示不同的内容&#xff0c;如候选人基础信息&#xff0c;一面&#xff0c;二面的面试结…

怎么在Mac上使用美图秀秀软件 macbookpro美图秀秀 苹果 Mac 电脑怎么下载美图秀秀

相信很多小伙伴们都接触过美图秀秀这款作图软件&#xff0c;他为用户提供了美化图片、人像美容、抠图、拼图、贴纸等等非常好用的功能&#xff0c;不过大家知道&#xff0c;有很多的软件都有着固定的适应渠道&#xff0c;例如有些游戏只有苹果产品可以运行&#xff0c;还有一些…

Jetson Orin NX L4T35.5.0平台LT6911芯片 调试记录(2)vi discarding frame问题调试

基于上篇调试记录 Jetson Orin NX L4T35.5.0平台LT6911芯片 调试记录(1)MIPI问题调试-CSDN博客 1.前言 当通过gstreamer持续捕获视频设备时,帧数会下降,并且I输入越高,丢失的帧数越多。 当达到4k30hz时,它完全无法使用,系统会在几秒钟的收集后崩溃并重新启动 4k30hz …

随便聊一下 显控科技 控制屏 通过 RS485 接口 上位机 通讯 说明

系统搭建&#xff1a; 1、自己研发的一个小系统&#xff08;采集信号&#xff0c;将采集的信号数字化&#xff09;通过COM口&#xff0c;连接显控屏 COM3 口采用 485 协议送到显控屏&#xff08;显控科技&#xff09;的显示屏展示出来&#xff09;。 2、显控屏 将 展示的数据…

23.哀家要长脑子了!

目录 1.290. 单词规律 - 力扣&#xff08;LeetCode&#xff09; 2.532. 数组中的 k-diff 数对 - 力扣&#xff08;LeetCode&#xff09; 3.205. 同构字符串 - 力扣&#xff08;LeetCode&#xff09; 4.138. 随机链表的复制 - 力扣&#xff08;LeetCode&#xff09; 5.599. 两…

解决layui的bug 在layui tree 组件中 禁用选中父节点后自动选中子节点功能

最近做权限管理后台&#xff0c;用了layui tree 组件&#xff0c;发现选中了父节点后&#xff0c;自动选中了子节点。不满足现实业务需求。所以微调了下源代码。 在用树形组件中&#xff0c;在用文档中 tree.setChecked(demoId, [2, 3]); //批量勾选 id 为 2、3 的节点 用这句…

VS code 同步odata服务

在做UI5得开发过程中&#xff0c;经常会出现odata需要更新 那么已经加载过得项目如何去跟新odata服务呢 可以通过如下步骤 1.右键打开应用信息 2.找到manage service models 3.点击编辑 4.选中 刷新并保存

Java毕业设计 基于SSM SpringBoot vue宠物领养平台

Java毕业设计 基于SSM SpringBoot vue宠物领养平台 SSM 宠物领养平台 功能介绍 首页 图片轮播 新闻信息 新闻类型 新闻详情 宠物百科 宠物百科类型 宠物百科详情 宠物 宠物类型 宠物详情 立即领养 留言 论坛 发布帖子 登录 个人中心 宠物收藏 宠物领养订单 后台管理 登录注…