写点什么

SBOM

1 人感兴趣 · 26 次引用

  • 最新
  • 推荐

14 条策略助力企业构建更安全的软件供应链

每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供

https://static001.geekbang.org/infoq/ac/acbfef43414370c4445e743a199a59f1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2023 云原生安全值得关注的 3 个方向

组织不再质疑是否要迁移到云端,而是在寻找最快、最有效的方法。 在这些过渡和升级中,安全性常常被忽视。 正因为如此,加上开源软件在各地的兴起,我们很可能会在 2023 年看到更多云原生安全问题,这只是时间问题。

https://static001.geekbang.org/infoq/11/11e362de1e9aedef31f119bfe2575d4f.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

《SBOM: 提高软件供应链透明度的关键》重磅白皮书来袭

安势信息作为守护软件供应链安全的一员,重磅发布《SBOM: 提高软件供应链透明度的关键》白皮书。白皮书不仅阐述了需要 SBOM 帮助企业提升软件供应链透明度的必要性及SCA工具的市场现状,而且提供了成熟的SCA解决方案。

https://static001.geekbang.org/infoq/2c/2cab903fa58c2b17cdb2889e27d0e296.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

从开源安全看汽车安全新挑战

汽车实现智能化、网联化、电动化、共享化的能力背后是不断增长的代码量。从 OEM 到 Tier 1 到 Tier 2 都需要构建生成 SBOM 的能力。 SBOM 是开源治理的基础,当供应商或汽车 OEM 不了解产品软件中使用的所有开源代码时,就无法抵御针对开源组件的漏洞攻击。

https://static001.geekbang.org/infoq/7e/7e28ba093f8172a3a701367caac81358.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

为什么 FDA 和 MITRE 也提及 SBOM ? - 解读《医疗器械网络安全区域事件准备和响应手册》

用户头像
安势信息
2022-12-04

安势信息技术市场总监王峰深度解读FDA和MITRE联合发布的《医疗器械网络安全区域事件准备和响应手册》。出口型医疗设备制造商应该及早建立以安全与合规并重的开源治理体系,一方面确保自身产品更加安全与合规,另一方面满足上游用户的要求。

https://static001.geekbang.org/infoq/6c/6c426b811ce59cab46c405dbc279eb6a.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

国标解读|从关键信息基础设施安全国标看软件供应链安全

用户头像
墨菲安全
2022-11-18

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布,《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。

https://static001.geekbang.org/infoq/ba/bae773607736360a3759621875d4d5b7.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

技术公开课|深度剖析 Java 的依赖管理,快速生成项目 SBOM 清单

用户头像
墨菲安全
2022-11-18

近年来软件供应链安全风险涌现,无论是 Fastjson、Log4j 等基础组件的 0day,来源于开源的风险事件不断上升,对于研发以及安全同学来说,都是在不断的摸索建立有效的预防及解决机制,公开课将以风险治理为最终目标、以SBOM作为治理载体和依据、以生态和包管理

关于软件物料清单(SBOM),你所需要了解的一切

用户头像
SEAL安全
2022-11-15

在此前的多篇文章中,我们已经详细地介绍了软件物料清单(SBOM)对于保障软件供应链安全的重要性以及一些注意事项。在本文中,我们将会更深入地介绍SBOM,包括最低要求元素、格式、使用场景以及如何对其进行管理等。 

https://static001.geekbang.org/infoq/47/471375de67789a7f3c88c102034c9419.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

如何使用清源 CleanSource SCA 管理开源风险

用户头像
安势信息
2022-11-11

清源(CleanSource) SCA 可以无缝集成到SDLC(软件开发生命周期)和 CI/CD 工具链中,从最大限度保持开发和迭代速度。

CIO 们开始将软件供应链升级为安全优先级 top

用户头像
SEAL安全
2022-11-08

开源之所以在软件开发中大量使用的原因是它提供了经过良好测试的构建块,可以加速复杂应用程序和服务的创建。但是第三方软件组件以及包和容器的便利性同时也带来了风险——软件供应链攻击。

https://static001.geekbang.org/infoq/9a/9a85b84aaf4db8eb7c8c9db3681c200d.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

如何使用清源 CleanSource SCA 建立软件物料清单(SBOM)

用户头像
安势信息
2022-11-02

清源(CleanSource) SCA通过生成的完整、准确和可追溯的 SBOM,不但可以帮助企业降低安全风险和法律合规风险,还可以提高软件供应链的效率并提供可追溯性。

https://static001.geekbang.org/infoq/3b/3b25969aa7c9f6b2c79f077a018808ad.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

透过关键基础设施安全事件谈 SBOM

用户头像
安势信息
2022-11-01

Gartner 认为,到 2025 年,在具有采购关键任务软件解决方案的组织中,60%的组织将会在其许可和支持协议中强制要求披露 SBOM,而 2022 年这一比例还不到 5%。Gartner 进一步强调,如果软件供应商想在市场上保持竞争力,就必须准备向他们的客户提供SBOMs。

Gartner 权威解读: SBOM 采用率将于 2025 年达到 60%

用户头像
SEAL安全
2022-10-17

随着现代软件开发越来越依赖于第三方资源,针对软件供应链的恶意攻击数量也随之激增。据业内权威机构 Gartner 预计,软件物料清单 (SBOM) 的采用率在 2025 年将会达到 60%。Gartner 明确提醒软件开发企业及组织,如果想要在软件市场上保持良好的竞争力,

https://static001.geekbang.org/infoq/d9/d9f9bf5b713103e12c45c926f0186e50.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

安势清源 SCA 助力超大规模高科技企业加速开源风险治理

用户头像
安势信息
2022-10-17

近日,上海安势信息技术有限公司的清源SCA工具在腾讯成功部署。清源SCA工具,经过多轮PoC测试,从众多国内外竞品中脱颖而出,满足了腾讯对SCA工具的高标准要求:扫描速度快、扫描结果准确、及合规性扫描能力、知识库全面,达到提升内部安全与合规管控的目的。

https://static001.geekbang.org/infoq/32/32d31e79d18fc8a5c82d27d52ab0f253.gif?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

欧美开源法案频出,你准备好了吗?

用户头像
安势信息
2022-10-17

欧盟《网络弹性法案》及美国参议院《2022年保护开源软件法案》两大提案的相继出台,体现了两大海外市场对软件供应链安全的高度重视。不同的国际市场环境下,有着不同的法律规定。对出海企业来说,需要对开源软件安全投入更高的关注度。

SBOM:缓解软件供应链风险的关键

用户头像
SEAL安全
2022-09-30

软件包含大量且范围广泛的组件、部分和相互依赖关系。需要有效缓解与使用软件相关的安全风险;需要遵守与组件相关的许可证。通过第三方代码(包括开源软件 (OSS))了解产品中所有项目的出处至关重要,无论这些元素源自企业的团队还是团队之外。

https://static001.geekbang.org/infoq/1a/1adf67085a29469fcf43a8241a182c7b.gif?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

深度解读|关于 SBOM 最基础元素,你需要知道的(Part III)

用户头像
安势信息
2022-08-31

SBOM 要达成的目标还远远没有实现,需要通过不断地创新与迭代来完善,是一个长期的反复的过程。

买家手册:企业在选择 SBOM 供应商时需要注意什么?

用户头像
SEAL安全
2022-08-17

Apache Log4j 和 Log4Shell 两大事件的发生,将软件物料清单推向安全防护前沿,成为企业保护其软件供应链的方式之一。今年5月,美国总统拜登发布行政命令,要求 IT 供应商必须提供 SBOM 才能够与美国政府进行合作。

https://static001.geekbang.org/infoq/22/22a2de2405f12b2969e29158455238f0.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part I)

用户头像
安势信息
2022-08-08

SBOM并不是解决软件供应链问题的万能药,但是它可以提升企业和组织应对已知漏洞的能力。该指导意见认为,更多的漏洞披露反而意味着软件的使用风险相对降低,因为这意味着这些漏洞正在被研究人员关注并且持续被披露。

https://static001.geekbang.org/infoq/d9/d9bc7c9fa736cb34a5246ba4b4736253.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

活动回顾 | 大咖云集“开源安全治理模型和工具”线上研讨会

用户头像
安势信息
2022-07-29

软件吞噬世界,而开源正在吞噬软件。越来越多企业开始关注如何解决混源开发模式下的软件供应链安全问题。软件供应链安全事件频发,已成为企业开展经营活动面临的重大隐患,也是所有安全厂商致力于要解决的问题。

https://static001.geekbang.org/infoq/e0/e0400145b117bc3ea12fc82a0954614f.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

Plus 版 SBOM:流水线物料清单 PBOM

用户头像
SEAL安全
2022-07-25

相信大家对软件物料清单(SBOM)并不陌生,它是指用于构建软件解决方案的所有软件组件(开源或商业)的列表。但在软件物料清单中,并不包括用于部署软件的微服务和其他组件。为了更全面了解所用的组件,我们需要创建流水线物料清单 PBOM

https://static001.geekbang.org/infoq/61/617d2978ffe045f7aafad01b40b5aff8.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

直播预告 | 7 月 22 日《开源安全治理模型和工具》线上研讨会

用户头像
安势信息
2022-07-20

由Linux基金会OpenSSF主导推动的SLSA标准受到广泛关注,由此引发的企业开源安全治理实践及安全治理基础 — SBOM成为热点话题。 OpenSSF中国开源安全工作组携手中国信通院、华为、中兴、安势信息等合作伙伴,为大家详细解读最新的开源安全治理的模型和工具。

https://static001.geekbang.org/infoq/6a/6a1704e816f811cb18656516fd7ea887.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇

用户头像
安势信息
2022-06-17

国内企业大多采用DevOps的研发流程,那么把开源漏洞扫描融入到DevOps的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的SCA、SAST、DAST、IAST等等测试就组成了DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。

SBOM_SBOM技术文章_InfoQ写作社区