SBOM_SBOM技术文章_InfoQ写作社区

SBOM

1 人感兴趣 · 7 次引用

关注

8 月 17 日

Apache Log4j 和 Log4Shell 两大事件的发生，将软件物料清单推向安全防护前沿，成为企业保护其软件供应链的方式之一。今年5月，美国总统拜登发布行政命令，要求 IT 供应商必须提供 SBOM 才能够与美国政府进行合作。

8 月 8 日

SBOM并不是解决软件供应链问题的万能药，但是它可以提升企业和组织应对已知漏洞的能力。该指导意见认为，更多的漏洞披露反而意味着软件的使用风险相对降低，因为这意味着这些漏洞正在被研究人员关注并且持续被披露。

7 月 29 日

软件吞噬世界，而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链安全问题。软件供应链安全事件频发，已成为企业开展经营活动面临的重大隐患，也是所有安全厂商致力于要解决的问题。

7 月 25 日

相信大家对软件物料清单（SBOM）并不陌生，它是指用于构建软件解决方案的所有软件组件（开源或商业）的列表。但在软件物料清单中，并不包括用于部署软件的微服务和其他组件。为了更全面了解所用的组件，我们需要创建流水线物料清单 PBOM

7 月 20 日

由Linux基金会OpenSSF主导推动的SLSA标准受到广泛关注，由此引发的企业开源安全治理实践及安全治理基础 — SBOM成为热点话题。 OpenSSF中国开源安全工作组携手中国信通院、华为、中兴、安势信息等合作伙伴，为大家详细解读最新的开源安全治理的模型和工具。

6 月 23 日

SLSA 和 SBOM，协同工作将会更加强大。

6 月 17 日

国内企业大多采用DevOps的研发流程，那么把开源漏洞扫描融入到DevOps的工具链中，才能实现漏洞的早发现、早跟踪、早处理。在流程中的SCA、SAST、DAST、IAST等等测试就组成了DevSecOps。企业需要建立标准化格式的软件物料清单（SBOM）来进行开源组件的管理。