跳过导航
十大网博靠谱平台的数字
跳过mega-menu

我们做什么

发展行业
我们的通讯 #MDTechCommunity Slack Channel 行业活动 会员上门手术 赞助 成员提供
代表业界
行业 创业园区 研究与见解 论坛 搬迁
天赋与技能
学徒制 培训 数字她 技能节 技能审计 雇主的论坛

我们是谁

这个团队
董事会

十大网博靠谱平台我们

服务

行业

新闻

事件

工作委员会

目录

保持联系

澳门十大正规赌博娱乐平台

的帖子
添加文章

那个软件包里有什么?

#网络安全 #软件 #业务 #网络 #网络安全
查看配置文件
查看更多文章

在 最后发表 我们讨论了知识的重要性 软件包中包含哪些组件. 了解这一点有助于测试, 维护, 以及代码的安全性, 并将降低软件供应链安全问题给您的业务带来的风险.  

在这篇文章中,我们将看看shbom——软件材料清单——以及它们如何通过识别软件组件来提供帮助. 

什么是an ? SBOM? 

SBOM本质上是一个机器可读的列表或目录,其中包含构建软件时使用的组件的细节和关系. sbm现在是美国政府采购的要求, 因此很有可能在各个行业蔓延开来. 虽然在英国还没有规定, 国家网络安全中心建议使用soms, 世界各地的同等机构也是如此.   

什么是物料清单? 

美国国家电信和信息管理局(NTIA)已经指定了SBOM的最小元素. 

所以你, SBOM的使用者, 能有效地利用它们, 预计soms将至少包括: 

  • 供应商名称 

  • 组件名称和版本 

  • 帮助SBOM使用者(您)在关键数据库中查找组件的任何其他唯一标识符 

  • 依赖关系(通常是“包含”,例如,X包含组件Y) 

  • 作者名称(SBOM数据的作者,通常但不总是软件供应商) 

  • 时间戳(SBOM创建日期和时间) 

  • How the SBOM was created (typically which tool; manual creation is possible, but time-consuming). 

此外: 

  • SBOM必须是三种格式之一,因此它可以是机器可读的 

  • 必须生成新的SBOM 

  • 随着每一个新的软件版本,所以它是最新的 

  • 如果原始版本包含错误 

  • 或者如果创建者了解了有关组件的更多信息 

  • The SBOM should include all top-level components and all transitive dependencies; and the SBOM must also explain where dependency relationships probably exist but are not yet known. 

可以包括的其他有用信息可能是,例如,许可状态. 

什么 an的好处是什么 SBOM -作为制作人? 

使用soms作为生产者意味着软件公司将能够: 

  • 通过理解依赖关系和识别产品中的潜在漏洞来改进开发和测试 

  • 可能会减少调用库的数量, 以及潜在漏洞的程度 

  • 展示对代码内容和质量的了解, 可能获得作为供应商的优惠待遇 

什么 an的好处是什么 SBOM -作为消费者? 

使用soms作为消费者意味着您将能够: 

  • 知道你得到了什么, 并通过对软件内容和依赖关系的共同理解来改进开发和测试 

  • 跟踪易受攻击的组件并计划补救措施以提高安全性 

  • 了解您在许可和使用外部代码组件方面的法律地位. 

什么 其他的 do I 需要知道? 

无论是消费者还是生产者,你都需要记住一些事情. 

  • 每当代码库发生变化时,都需要一个新的SBOM 

  • SBOM包含敏感信息,因此存储和访问应该受到控制和安全 

  • 它们可能无法捕获所有依赖项,因此可能没有包含足够的信息来捕获代码库中的所有漏洞 

  • 它们并不总是按照相同的标准生产:它们可能并不总是符合NTIA的要求, 或者它们可能以不一致的方式产生(NTIA是美国国家电信和信息管理局的机构) 

  • 对于小型企业来说,它们不容易管理, 而且目前还没有一个成熟的生态系统, 尽管这种情况正在改变. 

有什么建议吗? 

在你的业务中可用的小故障可能很快失去控制, 因为每个新版本的软件都应该发布新版本. 控制文档泛滥的技巧包括: 

  • 创建中央存储库 

  • Automate the generation and management of SBOMs if possible; there are an increasing range of tools available to help with this 

  • 考虑SBOM(存储和传输)的安全性,因为它包含可能用于攻击的敏感信息 

  • 作为企业的消费者 

  • 要求为所有输入的软件和软件组件(包括软件即服务应用程序)提供SBOM, 最大化您在存储库中创建的知识库的价值 

  • 积极分析所提供的信息,将其作为风险管理过程的一部分, 评估并降低软件供应链中的风险 

  • 作为sbm的创造者: 

  • 从三种标准格式中选择一种,并在使用哪种格式时保持一致 

  • schedule regular updates to make sure that they are accurate and up to date; you should revise the relevant SBOM every time you create an update to the software 

  • 向您的SBOM中添加尽可能多的元数据,以使SBOM的使用者更容易使用它  

  • use the SBOM to reduce the redundancies in your codebase; create a standard list of components 

  • 使用SBOM来验证您是否符合正在使用的组件的任何许可要求 

Remember that an SBOM is primarily a catalogue of components; what you do with that catalogue will be the topic of our next blog post: how to make use of SBOMs.

如果你想了解更多信息, 或讨论CSP如何帮助您确保供应链的安全,或任何其他令您担忧的网络安全问题,请十大网博靠谱平台 0113 5323763.

相关的帖子

添加文章 查看所有
由Bring Digital发布
Bring Digital将电子商务巨头Studio Retail添加到他们的客户名单中
由Apadmi LTD .发布
Apadmi迎来了它的第10个年头,取得了巨大的增长
十大网博靠谱平台数字发布
商业机会
由Teledata发布
十大网博靠谱平台数据中心宣布成为伦敦互联网交换中心(LINX)的PoP(存在点)
由UKFast发布
UKFast任命首席营销官为高管
由Apadmi LTD .发布
Co-op和Apadmi联手推出移动会员解决方案
由Si Novi发布
Si Novi宣布继续在数字市场上提供服务
由Shoosmiths LLP发布
你准备好做生意了吗? 创业公司的雇佣法基础-第1部分
由Skylab发布
Skylab被命名为WordPress VIP银色代理合作伙伴
由Apadmi LTD .发布
Apadmi Ventures和学生保姆合作解决十大网博靠谱平台的托儿危机

澳门十大正规赌博娱乐平台

在这里注册