想象一下:您在去开下一个会之前想吃点东西——比如说奶酪味饼干。当您正要品尝第一块饼干时,有一个警告式的、注重健康的声音敦促您检查饼干的成分。
那么您还会吃这块饼干吗?
如果软件开发是奶酪味饼干,那么经过签名的软件物料清单(SBOM)就发挥着配料表、原产地声明和官方食品安全印章的作用——这是一份全面的、经过验证的、防篡改的清单,包括构成软件最终版本的所有组件。
SBOM在以下方面发挥着重要作用:确认构成软件最终交付版本的大量组件,以及验证这些组件的连续性、完整性和真实性。
要点:如果您想要实现软件信任,那么您需要为您所创建的每一个软件都配备经过签名的SBOM。以下是为什么要这么做的六个原因。
经过签名的SBOM对比未经过签名的SBOM
通过为SBOM签名,SBOM的作者在签名时验证物料清单的真实性。签名后进行的任何添加、更改或删除都能很快被确认为未经授权,因此值得怀疑。
它还可以作为SBOM的作者和终端消费者之间的一种合同形式。未经签名的SBOM就像未签署的协议。它可能包含也可能不包含正确信息,如果没有双方的验证,它不能用于在出现问题时追究一方的责任。
1.防止篡改。建立完整的信任链。
经过签名的SBOM实际上是一种防篡改印章。它向用户和利益相关方保证,自其被创建人验证以来,软件的内容没有被更改。
在供应链环境中,这一点尤为重要,因为在供应链环境中,软件组件往往要经过多个环节。经过签名的SBOM提供了一种可验证的监管链,增强了软件组件的信任和完整性。
2.遵循规定。展示强大的安全策略。
随着对软件安全的监管审查不断加强,许多行业和政府开始强制使用SBOM。例如,美国关于改善国家网络安全的行政命令特别强调SBOM在理解和保护软件供应链方面的重要性。
在这样的监管环境中,为SBOM签名不仅详尽地证明了合规性,而且突出了企业对安全最佳实践的承诺。
3.降低开源组件的风险。加快修补和更新的速度。
现代软件越来越复杂,并往往基于开源组件而创建,其中每一个开源组件都可能引入漏洞。组件越多,检测及缓解威胁的范围和负担就越大。
经过签名的SBOM能让企业快速识别每个组件的状态,尤其是在组件提供商已发布漏洞利用交换(VEX)信息的情况下,能更有效地追踪漏洞并进行相应的修补和更新。
4.提供充分的透明度。做出更好的决策。
软件开发过程中的透明度已成为用户和利益相关方毫不妥协的要求。这不仅仅在于建立信任。透明度也有助于更好的决策。由于经过签名的SBOM提供所有组件的完整的、经过验证的信息,这样开发人员等可以对其所使用的组件做出更明智的选择,并避免那些存在已知漏洞或许可问题的组件。
5.简化事件响应。将损坏降至最低。
在发生安全事件时,时间至关重要。经过签名的SBOM是一种可立即使用的参考,能够大大简化事件响应过程。通过立即访问经过验证的组件列表,响应团队可以快速识别受影响的组件并采取必要的行动,从而最大限度地减少损坏并缩短恢复时间。
6.鼓励强大的安全文化。提供更好的产品。
为SBOM签名的实践与DevSecOps等安全软件开发生命周期无缝契合。它从一开始就鼓励安全文化,对每一个组成部分都进行单独的审查和验证。这种主动的安全方法可以显著减少最终产品中的漏洞,从而实现更安全的软件应用程序、更大的信任度和更低的发布后问题风险。
结论:它对零食有益,对软件也非常重要。
在当今的软件开发环境中,为SBOM签名是必须的。这是一种增强软件产品完整性和安全性、遵循监管要求、降低安全风险、提高透明度、简化事件响应并鼓励安全开发实践的做法。
随着软件持续吞噬世界,软件的安全性将日益有赖于SBOM签名等做法。正如有健康意识的消费者要检查进入其身体的食品成分一样,寻求让用户和利益相关方建立信任的有安全意识的企业也需要采用SBOM签名来确保其软件供应链的健康。
