?[[442408]]??

【51CTO.com快譯】

作者丨Josh Bressers

譯者丨趙青窕

策劃丨孫淑娟

在此次 Log4Shell 風(fēng)波后，對(duì)于定位解決新出現(xiàn)的軟件供應(yīng)鏈中的漏洞和攻擊來說，生成 SBOM 并快速地獲取其信息已經(jīng)變得至關(guān)重要。

同許多零日漏洞一樣，相關(guān)的組織或者機(jī)構(gòu)正在全力地識(shí)別修復(fù) Log4j 中 Log4Shell 漏洞的影響。這種漏洞是極其危險(xiǎn)的，因?yàn)樵撀┒创嬗谝粋€(gè)極其常用的庫中，并且很容易被利用。目前的關(guān)鍵因素是，在具體的漏洞相關(guān)細(xì)節(jié)被公開之前，它已經(jīng)被廣泛地利用，從而迫切地需要盡快修復(fù)。

在 24 小時(shí)的修復(fù)工作之后，安全和應(yīng)用程序團(tuán)隊(duì)喘了一口氣，接下來他們將進(jìn)行回顧和審查的工作，以便為下一個(gè)零日漏洞的定位做準(zhǔn)備。在這種新環(huán)境下，軟件物料清單 (SBOM) 正在成為一種至關(guān)重要的安全要求，它使軟件在整個(gè)供應(yīng)鏈中具有可見性。因此我們必須立即行動(dòng)起來建立一個(gè)關(guān)鍵的新功能：SBOM 管理。

創(chuàng)建一個(gè)綜合性的 SBOM

目前，行業(yè)領(lǐng)導(dǎo)者采用的最佳實(shí)踐是為每個(gè)交付或部署的應(yīng)用程序版本生成一個(gè)軟件材料清單(SBOM)。事實(shí)上，最近美國關(guān)于國家網(wǎng)絡(luò)安全的行政命令將要求軟件供應(yīng)商向聯(lián)邦機(jī)構(gòu)提供他們銷售或交付的軟件的 SBOM。

如果我們從廣義的角度來看，生成 SBOM 只是第一步。正如 Log4Shell 向我們展示的那樣，當(dāng)新的零日漏洞發(fā)生時(shí)，我們需要能夠輕松地利用和搜索 SBOM。生成 SBOM 很容易，但管理和跟蹤數(shù)百或數(shù)千個(gè) SBOM 是一項(xiàng)艱巨的任務(wù)，而且對(duì)于處理不斷變化的威脅情況也是一項(xiàng)困難的任務(wù)。

雖然今天在交付應(yīng)用程序之前掃描漏洞是很常見的，但這遠(yuǎn)遠(yuǎn)不夠。掃描應(yīng)用程序以識(shí)別組件和相關(guān)漏洞應(yīng)該是一個(gè)持續(xù)的過程，不應(yīng)該只運(yùn)行一次，而應(yīng)該定期運(yùn)行。每次掃描應(yīng)用程序時(shí)，都必須記錄和分析結(jié)果。為了從一個(gè)點(diǎn)對(duì)點(diǎn)的系統(tǒng)轉(zhuǎn)移到一個(gè)連續(xù)的系統(tǒng)，工具和自動(dòng)化是很重要的。

一個(gè)組織或機(jī)構(gòu)在開發(fā)應(yīng)用程序時(shí)，通常包括大量的開源代碼以及內(nèi)部開發(fā)的代碼和第三方的商業(yè)庫。SBOM 生成工具可以檢查編寫的代碼，包括其中使用的開源代碼，但針對(duì)商業(yè)庫，根據(jù)其打包方式的不同，可能會(huì)無法掃描到。鑒于這種情況下，需要商業(yè)庫的供應(yīng)商提供商業(yè)庫對(duì)應(yīng)的 SBOM。有了所有組件的 SBOM 之后，就需要將它們組合起來，生成覆蓋整個(gè)應(yīng)用程序的聚合 SBOM。

SBOM 管理所需的關(guān)鍵功能

使用 SBOM 作為確保軟件供應(yīng)鏈安全的基礎(chǔ)，但隨著時(shí)間的推移，越來越多的 SBOM 將被生成和包含。因此需要工具和自動(dòng)化來管理復(fù)雜的 SBOM。查找的功能包括:

一個(gè)集中的存儲(chǔ)庫，用來存儲(chǔ)跨產(chǎn)品團(tuán)隊(duì)和應(yīng)用程序的 SBOM。

具備快速查找有問題組件的應(yīng)用程序的搜索能力。

具備生成或?qū)胗绍浖?yīng)商或開源項(xiàng)目組提供的 SBOM 的能力。

可以整合所有組件級(jí)的 SBOM，從而為應(yīng)用程序創(chuàng)建一個(gè)綜合性的 SBOM。

支持復(fù)雜的 SBOM 標(biāo)準(zhǔn)以及 SPDX 之類的輕量級(jí) SBOM 標(biāo)準(zhǔn)。

可以針對(duì)一個(gè)應(yīng)用程序的多個(gè)釋放的版本，多個(gè)構(gòu)建版本，或者開發(fā)的不用階段，分別存儲(chǔ)其對(duì)應(yīng)的 SBOM 的能力。

具備 SBOM 比較的能力，以便檢測(cè)到異常后，對(duì)可能發(fā)生的纂改給予警告。

SBOM 事件響應(yīng)速度

一旦您為一個(gè)已發(fā)布應(yīng)用程序版本獲得了一組明確而準(zhǔn)確的 SBOM，您就需要將這些 SBOM 存儲(chǔ)在一個(gè)集中的存儲(chǔ)庫中，以便快速掃描和搜索 SBOM 的內(nèi)容。集中式方法意味著安全團(tuán)隊(duì)不必浪費(fèi)時(shí)間來確定在他們的應(yīng)用程序中部署了哪些組件。當(dāng)下一個(gè)重大漏洞出現(xiàn)時(shí)，SBOM 管理工具應(yīng)該立即返回結(jié)果。應(yīng)用策略引擎和策略規(guī)則將會(huì)向所有受影響的應(yīng)用程序團(tuán)隊(duì)生成通知和警報(bào)。這樣應(yīng)該在幾分鐘內(nèi)就會(huì)知道哪些應(yīng)用受到影響，以及如何進(jìn)行補(bǔ)救，而不是花費(fèi)幾周的時(shí)間去定位問題。

SBOM 現(xiàn)狀

在進(jìn)行了短期 Log4Shell 修復(fù)工作之后，我們需要準(zhǔn)備好應(yīng)對(duì)軟件供應(yīng)鏈漏洞和攻擊的新現(xiàn)實(shí)。如果您的組織還沒有生成 SBOM，那么現(xiàn)在就可以開始了。但是生成 SBOM 只是第一步。您還必須設(shè)置存儲(chǔ)和管理 SBOM 的流程。然后創(chuàng)建工作流，使您能夠在下一次零日漏洞出現(xiàn)時(shí)快速訪問和搜索數(shù)據(jù)。

Log4j 是一個(gè)非常昂貴的教訓(xùn)，它提醒我們?yōu)槭裁次覀儾粌H僅需要 SBOM，而且需要將它們作為完整的軟件供應(yīng)鏈管理戰(zhàn)略的一部分進(jìn)行管理的能力。現(xiàn)在是主動(dòng)關(guān)注軟件供應(yīng)鏈安全的時(shí)候了。實(shí)現(xiàn) SBOM 管理是一個(gè)關(guān)鍵的任務(wù)，它將在下一個(gè)零日到來時(shí)給我們帶來好處。

譯者介紹

趙青窕，51CTO 社區(qū)編輯，從事多年驅(qū)動(dòng)開發(fā)。研究興趣包含安全 OS 和網(wǎng)絡(luò)安全領(lǐng)域，曾獲得陜西賽區(qū)數(shù)學(xué)建模獎(jiǎng)，發(fā)表過網(wǎng)絡(luò)相關(guān)專利。

原文鏈接：

??https://www.infoworld.com/article/3645452/why-sbom-management-is-no-longer-optional.html??

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

???