供应链级别的开源软件及组件复用是当前软件开发的主流模式.该模式避免了重复开发,降低了研发成本,提高了开发效率,但是也不可避免地存在组件的来源未知,成分不清,漏洞不明,许可证违规等问题.为解决上述问题,研究人员提出了软件物料清单...供应链级别的开源软件及组件复用是当前软件开发的主流模式.该模式避免了重复开发,降低了研发成本,提高了开发效率,但是也不可避免地存在组件的来源未知,成分不清,漏洞不明,许可证违规等问题.为解决上述问题,研究人员提出了软件物料清单(software bill of material,SBOM).SBOM详细列出了构成软件的组件及组件之间的关系,揭示了潜在的和已知的威胁,使软件透明化.自提出以来,国内外研究人员针对SBOM的研究主要聚焦在SBOM的现状、应用和工具上,缺少理论化、体系化的研究.综述SBOM的背景、基本概念、生成技术、工具及性能分析、应用、挑战与趋势,并提出融合细粒度安全漏洞感知,许可证冲突检测的SBOM+,以期从概念、技术、工具、应用和发展等方面为SBOM、软件开发、供应链安全等研究人员提供支撑.展开更多
构型管理是民用飞机全寿命周期的重要活动,服务物料清单SBOM(Service Bill of Material)是服务产品构型管理的基础。本文结合某民机型号实践,通过分析服务产品和飞机产品构型管理的区别,指出服务物料清单SBOM和飞机产品物料清单EBOM(Eng...构型管理是民用飞机全寿命周期的重要活动,服务物料清单SBOM(Service Bill of Material)是服务产品构型管理的基础。本文结合某民机型号实践,通过分析服务产品和飞机产品构型管理的区别,指出服务物料清单SBOM和飞机产品物料清单EBOM(EngineeringBOM)的差异,提出了基于SBOM的客服工程业务方案,规划了SBOM产品结构树构建方法、服务构型项选择原则、内容管理、分类更改控制方案,有效解决服务产品研制单一数据源问题,提供服务产品构型管理数据基础,填补国内民机服务产品构型管理空白。展开更多
[目的/意义]在"软件定义一切"的时代,随着软件需求的扩展,网络空间安全威胁也在不断发生变化.软件供应链攻击已经成为网络空间中最具有挑战的威胁之一,攻击者可以通过软件组件注入或以其它方式破坏产品的完整性.软件物料清单(...[目的/意义]在"软件定义一切"的时代,随着软件需求的扩展,网络空间安全威胁也在不断发生变化.软件供应链攻击已经成为网络空间中最具有挑战的威胁之一,攻击者可以通过软件组件注入或以其它方式破坏产品的完整性.软件物料清单(Software Bill of Materials,SBOM)是跟踪软件开发供应链的文档,可以改善软件整体的安全性、合规性和可追溯性,更快地进行事件响应和攻击面的管理.[方法/过程]根据SBOM实践流程,提出了使用软件组成分析(SCA)工具、开源工具和在CI/CD中使用插件三种方法来自动化创建SBOM清单.[结果/结论]基于SBOM视角,对软件供应链的安全问题进行分析和总结,为用户提供基于SBOM增强软件供应链安全防护贡献新思路.展开更多
在数字化时代中,随着开源软件在各领域的深度应用,供应链安全形势愈发严峻。当前,开源软件供应链风险事件频发,并面临安全性、知识产权、维护性等多重挑战,对产业发展构成显著威胁。软件物料清单(Software Bill of Materials,SBOM)作为...在数字化时代中,随着开源软件在各领域的深度应用,供应链安全形势愈发严峻。当前,开源软件供应链风险事件频发,并面临安全性、知识产权、维护性等多重挑战,对产业发展构成显著威胁。软件物料清单(Software Bill of Materials,SBOM)作为保障开源软件供应链透明性的核心工具,其价值日益凸显。文章首先分析了开源软件供应链安全的问题,然后阐释SBOM的概念,剖析其在开源软件供应链安全治理中的核心价值,继而梳理SBOM的发展历程与所面临的挑战,最后提出构建基于SBOM的开源软件供应链安全治理框架,并展开论述其核心底座--SBOM平台,以期为破解开源软件供应链安全难题提供理论支撑与实践指引。展开更多
文摘供应链级别的开源软件及组件复用是当前软件开发的主流模式.该模式避免了重复开发,降低了研发成本,提高了开发效率,但是也不可避免地存在组件的来源未知,成分不清,漏洞不明,许可证违规等问题.为解决上述问题,研究人员提出了软件物料清单(software bill of material,SBOM).SBOM详细列出了构成软件的组件及组件之间的关系,揭示了潜在的和已知的威胁,使软件透明化.自提出以来,国内外研究人员针对SBOM的研究主要聚焦在SBOM的现状、应用和工具上,缺少理论化、体系化的研究.综述SBOM的背景、基本概念、生成技术、工具及性能分析、应用、挑战与趋势,并提出融合细粒度安全漏洞感知,许可证冲突检测的SBOM+,以期从概念、技术、工具、应用和发展等方面为SBOM、软件开发、供应链安全等研究人员提供支撑.
文摘构型管理是民用飞机全寿命周期的重要活动,服务物料清单SBOM(Service Bill of Material)是服务产品构型管理的基础。本文结合某民机型号实践,通过分析服务产品和飞机产品构型管理的区别,指出服务物料清单SBOM和飞机产品物料清单EBOM(EngineeringBOM)的差异,提出了基于SBOM的客服工程业务方案,规划了SBOM产品结构树构建方法、服务构型项选择原则、内容管理、分类更改控制方案,有效解决服务产品研制单一数据源问题,提供服务产品构型管理数据基础,填补国内民机服务产品构型管理空白。
文摘[目的/意义]在"软件定义一切"的时代,随着软件需求的扩展,网络空间安全威胁也在不断发生变化.软件供应链攻击已经成为网络空间中最具有挑战的威胁之一,攻击者可以通过软件组件注入或以其它方式破坏产品的完整性.软件物料清单(Software Bill of Materials,SBOM)是跟踪软件开发供应链的文档,可以改善软件整体的安全性、合规性和可追溯性,更快地进行事件响应和攻击面的管理.[方法/过程]根据SBOM实践流程,提出了使用软件组成分析(SCA)工具、开源工具和在CI/CD中使用插件三种方法来自动化创建SBOM清单.[结果/结论]基于SBOM视角,对软件供应链的安全问题进行分析和总结,为用户提供基于SBOM增强软件供应链安全防护贡献新思路.
文摘在数字化时代中,随着开源软件在各领域的深度应用,供应链安全形势愈发严峻。当前,开源软件供应链风险事件频发,并面临安全性、知识产权、维护性等多重挑战,对产业发展构成显著威胁。软件物料清单(Software Bill of Materials,SBOM)作为保障开源软件供应链透明性的核心工具,其价值日益凸显。文章首先分析了开源软件供应链安全的问题,然后阐释SBOM的概念,剖析其在开源软件供应链安全治理中的核心价值,继而梳理SBOM的发展历程与所面临的挑战,最后提出构建基于SBOM的开源软件供应链安全治理框架,并展开论述其核心底座--SBOM平台,以期为破解开源软件供应链安全难题提供理论支撑与实践指引。
