软件物料清单管理 | 打开“应用软件盲盒”，预警“开源组件风险”

01 开源组件安全风险管控难

随着软件规模化发展和开源软件的兴起，越来越多的软件在开发过程中集成第三方组件或开源组件。虽然这极大地提高了开发效率，但也难以避免地引入了安全风险。

2021 年底，知名的开源项目 Apache Log4j 被暴存在严重的安全漏洞，影响范围巨大，被称之为 “核弹级” 漏洞！该漏洞被披露后，虽然各知名漏洞扫描工具（黑盒）均针对该漏洞进行了多次更新，但依旧遗漏了许多遭受该组件安全影响的应用系统。

开源组件泛用的当下，作为企业的技术负责人，您知道您公司的应用软件使用了多少开源组件吗？如果再次发生类似 Log4j 漏洞的开源安全问题，您是否能快速找到企业中，所有使用该组件的应用软件系统呢？

当我把这两个问题抛到我们的技术交流社群之后，得到的答案大多都是否定的。因为开源组件泛用，我们很难管控应用的安全性。那为什么会这样呢？我总结以下几点原因——

1、流程支持弱

缺乏软件安全全流程管控制度的支持。供应商和交付团队完成某个应用系统的交付后，企业安全人员只能看到新增了一个软件系统“盲盒”，却难以对新增软件系统漏洞、开源许可等安全风险进行全方位掌控。

2、安全鸿沟大

● 开发团队不理解安全需求，而安全人员也不熟悉开发过程；

● 缺少软件构成分析和软件组件管理工具。

3、技术难度高

哪些软件组件的使用率高？哪些组件是诸多应用系统所共用的？漏洞出现时，先修复哪些，后修复哪些？怎么修复？技术难度都有些高。

02 软件物料清单管理，开源组件安全管控的“优选”

古代先辈们上阵杀敌，最怕“敌在暗我在明”，摸不清敌军的军队规模，看不到敌军的粮草储备，就不知道该采取什么样的作战策略，也不知道敌我胜算。

软件安全也是如此，最大的挑战在于“软件犹如盲盒”，安全问题隐蔽性强。同时，开源组件被泛用，不确定性风险指数级散播。就像是敌军往我军阵营安插了许多间谍，所以摸清内部情况、打开软件这个“盲盒”，对于管控开源组件安全就十分必要。

而软件物料清单（SBOM），就是打开“应用软件盲盒”的钥匙。

网安云软件物料清单管理平台，可实现对各应用软件的组件、组件漏洞和开源许可等的安全管理。既明晰了软件的构成关系，又可预警“开源组件风险”，还能进一步通过大屏安全展示。

如此，帮助企业安全人员全面掌握软件组件的使用情况和安全风险，提高软件的透明度和深入细化管理软件安全风险。

开源难题解决思路：

1）SBOM 快速生成：多场景快速生成软件物料清单（SBOM）

2）检测组件安全：检测和预警组件漏洞、开源许可等安全风险

3）管理组件资产：搭建组织专属的软件组件资产库

4）安全防护响应：及时采取安全防护响应措施，保护软件资产

通过网安云软件物料清单管理平台，可实现对软件及其组件、构成关系的透明化安全管理，掌控软件安全态势。当得知某个组件存在安全问题时，搜索该组件，即可找出与之关联的所有应用软件系统，以便于安全人员及时采取防护响应等安全措施，保障业务持续稳定安全运行。