软件物料清单:打开软件资产黑匣子的关键钥匙

news2024/12/26 11:40:14

大家有没有遇到过,手机被免费召回维修的情况?

有些人可能遇到这样的问题,手机购买一段时间后,突然收到手机品牌官方发布的通知:听筒模块上的某个组件可能会发生故障,会出现拨打或接听电话时听筒发不出声音的问题。

类似的产品召回,在其他行业也出现过。即使是第三方供应商提供的零件,也在召回维修的范围内。因为第三方供应的零部件也是属于产品的一部分,一旦发生问题,同样会给品牌带来难以挽回的名誉和业务损失。

而类似的安全隐患之所以能及时被发现、产品之所以能快速被召回,都是因为产品制造商对于每个产品都有明晰的物料清单(BOM),当某个“零配件”存在安全隐患时,产品制造商通过这个物料清单,就能快速确认该“零配件”被应用到哪个批次、版本的产品上,及时通知到对应的客户,降低因为产品安全问题带来的损失。

而在软件安全领域,同样存在类似的技术服务去帮助企业高效、安全管理软件资产,被称之为“软件物料清单”(SBOM)。近期,开源网安软件物料清单管理平台已正式上线,可抢先体验,实现软件物料资产安全化管控。

什么是软件物料清单(SBOM)?

软件物料清单指软件产品中所包含的所有组件、相关许可协议的清单,以及所有组件之间依赖关系的描述。 

SBOM在国际上有三大规范标准格式,分别是SPDX、CycloneDX和SWID。

下表为基线组件信息对应现有的格式:

为什么要做软件物料清单管理?

01

 提升软件系统安全性

通过对软件内部组成成分 的精细化拆解与风险关联,打开软件这个“黑匣子”,让潜在安全脆弱点浮出水面,帮助企业降低软件安全风险,提高软件系统的安全性。

02

促进软件安全合规

为漏洞管理与资产管理 提供详细的组件/许可合规性信息,便于企业进行资产盘点,提升软件合规性,降低合规风险,减轻企业履行合规义务的负担。

03

增强企业业务竞争优势

通过提供清晰的SBOM(软件物料清单),帮助企业向客户、监管机构和其他利益相关者展示软件的质量和可靠性。增强客户信任度,形成业务竞争优势。

04

降低企业安全成本

对已用许可/组件等安全性、合规性的呈现,将大大提高开发人员组件选型的效率;同时,提高软件成分及安全的透明度,减少开发人员与安全人员的风险排查时间成本,加速开发进程。

如何做好软件物料(资产)管理?

开源网安软件物料清单管理平台,以软件/组件来源、版本等基本信息与软件内部组成成分信息为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力,让组件安全问题无所遁形。

01

精细化软件物料(资产)管理

“颗粒度”不同,对问题的“洞见力”就不同。传统的软件资产管理,更多地停留在软件版本、类型、名称、供应商等维度,对软件内部成分信息模糊,软件资产成为一个“黑匣子”,看不清摸不透,安全不可控。

因此,在软件资产管理上,亟需细化对软件内部成分信息(包括但不限于:内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等)的梳理与可视化展示。降低软件资产的“模糊性”,帮助企业快速摸清家底。

02

系统化软件安全风险管理

随着软件定义一切的时代来临,软件安全威胁的传播性、隐匿性越来越强,亟需以全局性、关联性视角考虑软件安全风险管理。

开源网安软件物料清单管理平台,具备强大的数据分析与可视化能力,还原软件内部成分信息之间层次、依赖关系,及其存在的安全风险,绘制可视化关系图表。协助客户进行安全风险传导路径分析,快速溯源,圈定影响范围。

03

可视化、动态化管控软件资产

通过采集软件安全分析所需的各类静态和动态数据,形成统一的软件资产风险视图。将抽象、不具体的软件资产安全态势可视化、数字化呈现。

同时,开源网安软件物料清单管理平台通过对软件组成成分实时采集与分析,业务无感知,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。

04

标准化软件物料清单

通过“识别组件-获取数据-构造SBOM”三大步骤,输出标准化的SBOM文件,确保文件格式有效、属性合规。

开源网安软件物料清单管理平台,严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/544836.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

接口自动化【五】(HandleRequests类的封装,及postman上下接口依赖的初步认识)

文章目录 前言一、封装发送请求的操作二、迷惑的知识点三、postman的全局变量机制总结 前言 所有的封装就是一种思想,这种思想能不能想到,其实跟写代码建立思维有很大的关系。 下面也是我学到的一种思想,其中对每个函数有解读。以及易错点的…

算法小课堂(九)分支限界法

一、概述 1.1概念 分支限界法是一种求解最优化问题的算法,常以广度优先或以最小耗费(最大效益)优先的方式搜索问题的解空间树。其基本思想是把问题的可行解展开,再由各个分支寻找最佳解。 在分支限界法中,分支是使用广…

Go 语言核心编程-环境入门篇

第 1 章 Golang 开山篇 1.1 Golang 的学习方向 Go 语言,我们可以简单的写成 Golang 1.2 Golang 的应用领域 1.2.1区块链的应用开发 1.2.2后台的服务应用 1.2.3云计算/云服务后台应用 1.3 学习方法的介绍 1.4 讲课的方式的说明 努力做到通俗易懂注重 Go 语言体系&…

【软件测试项目】湖南交警一网通测试计划_2.0正版

目录 一、引言 1.1 编写目的 1.2 项目背景 1.3 适用范围 1.4 专业术语 二、测试任务 2.1 测试范围 2.2 测试目标 2.3 参考文档 2.4 提交文档(交付件) 三、测试进度 四、测试资源 4.1 人力资源 4.2 环境资源 4.3 测试工具 五、测试策略 5.1 功能测试 5.2 压力…

vue中 process.env与process.VUE_CLI_SERVICE

在vue中设置环境变量离不开process.env属性,那么如何设置自定义环境变更呢? 可以通过设置.env文件或者借助process.VUE_CLI_SERVICE来设置 process process 对象是一个 global (全局变量),提供有关信息,控…

基于差分进化算法的微电网调度研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

Java经典笔试题—day12

Java经典笔试题—day12 🔎选择题🔎编程题🥝二进制插入🥝查找组成一个偶数最接近的两个素数 🔎结尾 🔎选择题 (1)以下方法,哪个不是对add方法的重载? public class Test {public void add( in…

智慧井盖监测终端,智能井盖-以科技解决智慧城市“顽疾”,守护城市生命线

平升电子智慧井盖监测终端,智能井盖-以科技解决智慧城市“顽疾”,守护城市生命线-智慧井盖,实现对井下设备和井盖状态的监测及预警,是各类智慧管网管理系统中不可或缺的重要设备,解决了井下监测环境潮湿易水淹、电力供应困难、通讯不畅等难题…

MySQL主从复制原理

一、概述 1、什么是主从复制 主从复制是用来建立一个和 主数据库完全一样的数据库环境称为从数据库;主数据库一般是准实时的业务数据库。 2、主从复制的作用 高可用,实时灾备,用于故障切换。比如主库挂了,可以切从库。读写分离…

nginx配置监听443端口,开启ssl协议,走 https 访问

本文目录 前言一、检查 linux 服务器上的 nginx 是否安装 ssl 模块二:为 nginx 安装 ssl 模块三、nginx 开启 443 端口监听(https配置)成功配好后的效果如下遇到的问题一:证书无效遇到的问题二:连公司的网络走 https 能…

飞书自建无需代码连接Flomo的方法

飞书自建用户使用场景: 公司的飞书群里,有一个名为“新产品开发”的群组,用于讨论公司新产品的开发。该群组中设置了一个机器人,名为“新产品助手”。当群组成员在讨论中需要记录一个新的产品想法时,他们可以这个机器人…

[Halcon3D] 主流的3D光学视觉方案及原理

📢博客主页:https://loewen.blog.csdn.net📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!📢本文由 丶布布原创,首发于 CSDN,转载注明出处🙉📢现…

STM32学习过程记录11——基于STM32G431CBU6硬件SPI+DMA的高效WS2812B控制方法

一种高效的WS2812B控制算法——基于STM32G431CBU6的SPIDMA 1.WS2812B介绍 ws2812b是一款集控制电路与发光电路于一体的智能外控LED光源,采用单线归0码协议,每个像素点的三基色颜色可实现256级亮度显示。速率能达到1024pixel 30fps / s,故被…

什么是可信时间戳?可信时间戳电子取证有效吗?

电子数据具有脆弱性、易变性、隐蔽性、载体多样性等特点,容易被复制、删除、篡改且难以被发现。因此,电子数据在实际的司法认定过程中,很难准确鉴定其生成的时间以及内容的真实性、完整性。可信时间戳是一种公认的技术手段,可为电…

拉格朗日插值定理

拉格朗日插值法是一种函数逼近方法,通过已知的数据点构建一个多项式函数,该函数能够恰好经过这些数据点。它可以用于插值,即根据给定的离散数据点推断出未知函数在其它点上的取值。拉格朗日插值法的优点是计算简单,容易理解和实现…

从初级软件测试,到高级软件测试的必经之路

作为软件质量控制中的重要一环,软件测试工程师基本处于"双高"地位,即:地位高、待遇高,而随着软件测试行业等级越来越专业化,软件测试工程师也随即被分为不同的等级,即:初级测试工程师…

《SQUID: Deep Feature In-Painting for Unsupervised Anomaly Detection》论文阅读理解

《SQUID: Deep Feature In-Painting for Unsupervised Anomaly Detection》论文阅读理解 领域:用于医学图像的异常检测 论文地址:SQUID: Deep Feature In-Painting for Unsupervised Anomaly Detection 目录 《SQUID: Deep Feature In-Painting for Un…

5月19号软件资讯更新合集.....

ohUrlShortener 短链接系统 v2.0 发布 | 指定「打开方式」功能支持 距上一次更新版本差不多两个月,ohUrlShortener 短链接系统与昨天晚上正式发布 v2.0 版本 这个版本主要的变化: 启动性能优化:在短链接数量持续上升之后,启动系…

Halcon 算子 select_shape_std 和 select_shape_xld区别

文章目录 1 select_shape_std 算子介绍2 select_shape_xld算子介绍3 select_shape_std 和 select_shape_xld区别4 Halcon 算子的特征 Features 列表介绍1 select_shape_std 算子介绍 select_shape_std (Operator) Name select_shape_std — Select regions of a given shape.Si…

JavaWeb14 - 数据交换 - 01 - JSON

1. 概述 1.1 官方文档 Json 在线文档:https://www.w3school.com.cn/js/js_json_intro.asp 1.2 JSON 介绍 JSON 指的是 JavaScript 对象表示法(JavaScript Object Notation)JSON 是轻量级的文本数据交换格式【老师解读】 JSON 独立于语言 …