2023 年 XNUMX 月,DHS、CISA、DOE 和 CESER 发布了一份题为“软件物料清单 (SBOM) 共享生命周期报告'。该报告的目的是检查人们共享 SBOM 的当前方式,并概括地概述如何更好地完成这种共享,更复杂地实现软件的更高透明度。
该报告将 SBOM 共享生命周期分为 3 个阶段:发现、访问和传输。 药物发现 是用户或消费者如何了解来自作者或提供者的新 SBOM 的存在。 使用权 是用户或消费者访问此 SBOM 及其附带的所有相关数据(SBOM 丰富)的方式。 Transport / 运输 这是消费者接收 SBOM 的方式。在所有情况下,流程自动化程度越高,对所有相关方来说就越好。
尽管该报告没有具体提及任何工具,但它确实包含了各种示例和所需工具应包含的属性列表。
我们很高兴在 Scribe 发现我们的平台可以共享 斯博姆 信息作为其核心用途的一部分,在与发布的要求列表进行检查时获得非常高的分数。
在本文中,我们将回顾报告中指定的 SBOM 共享生命周期的 3 个部分,并研究 CISA 所看到的最复杂的解决方案。最后我们将描述如何 抄写员平台 回答这些要求。
SBOM 共享生命周期复杂性
药物发现 是生命周期的初始阶段,它涉及消费者如何从作者或提供者那里意识到 SBOM 的存在。这可能很简单,只需将新的 SBOM 放置在供应商网站内的标准化位置或软件存储库内的位置即可。消费者应该足够清楚如何获得或至少请求访问此 SBOM 数据,以便他们稍后可以访问并下载它以供使用。有时,消费者需要与提供商保持联系并请求其 SBOM 的更新。或者,可以提供自动连续更新。
正如报告中所述,高度复杂的方法将更多的发现责任交给了提供商,以使消费者的生活更轻松。理想情况下,可能有一个众所周知且有详细记录的流程,非常适合自动化,并且几乎不需要手动完成。作为一个例子,提供商可能会开发一个 发布/订阅 该服务将自动向用户更新有关新 SBOM 的信息以及现有 SBOM 的更新版本以及定位它们的机制。此外,更复杂的级别应该更精确地引导客户获取所请求的信息,同时隐藏不相关的信息。
使用权 是下一步,它详细介绍了如何获取数据的访问权限。此阶段的重点是对 SBOM 的访问限制以及用户如何获得进入传输阶段的许可。最简单的方法是使 SBOM 完全可供公众访问,甚至可能不需要实施访问控制。但实际上,提供商可能要求将 SBOM 保存在存储库中,在将其访问权限授予特定接收者之前,需要手动批准或定义角色。此外,SBOM 可能需要特定的访问控制粒度,以保证客户只能查看链接到产品的特定 SBOM 版本或访问数据的特定部分。
在高度复杂的方法中,消费者可以请求访问以查看SBOM,并且可以自动创建受限帐户。如果消费者可以证明他们已经购买了与相关 SBOM 相关的设备或软件(例如软件密钥),则可以自动授予对 SBOM 的访问权限。通过角色或组织级访问控制,可以实现高级别的权限粒度。由于需要分析和理解每个所需活动的权限以及跟踪自动验证客户购买所需的数据,因此此功能需要高水平的复杂性。使用像使用证书签名的公钥基础设施委托这样的系统,提供商可以将身份验证和访问控制请求委托给另一个组织,以获得更高级别的复杂性。
Transport / 运输 是最后一步,它详细说明了消费者接收 SBOM 的方法。 SBOM可以使用各种方法从一个位置运输到另一个位置或从一个位置运输到多个位置。某些方法比其他方法更有效地促进这一过程。如果 SBOM 传输仅涉及单个 SBOM 的移动,则存储在硬盘驱动器上并从作者发送给消费者的副本可能就足够了。如果大量消费者群需要,应该提供一种使客户能够安全检索 SBOM 的方法。这个阶段是消费者使用数据所必需的。请记住,大多数实际的 SBOM 用途都需要机器可读的格式,因此传输需要考虑到这一点。
使用既定协议,应彻底记录传输阶段过程,以实现尽可能多的传输自动化。应用程序编程接口 (API) 应该可访问、可重复且一致。如果 OpenAPI 接口提供表述性状态传输 (REST) 或 RESTful API 的文档,则足以将其归类为高复杂度。 13 其他 API 标准,例如简单对象访问协议 (SOAP) 或图形查询语言 (GraphQL),也可以被认为是足够的。 REST 只是标准化接口的一个流行示例。事实上,任何提供相当程度的集成便利性的接口都足以被归类为高复杂度。
Scribe平台如何满足需求
Scribe 开发了一个平台,可以实现自动 发布/订阅 服务. 软件生产商可以将他们的 CI 管道链接到平台,以便每次运行构建时都会创建相应的 SBOM。然后,这些 SBOM 会包含更多信息,并且可以根据特定项目、构建管道、日期和时间进行访问。制作人可以向每个项目添加订阅者,以便一旦他们决定 发布 新的软件版本。所有订阅者都会收到通知并立即拥有完全访问权限,不仅可以访问新的 SBOM,还可以访问其附带的所有其他安全信息。订阅者可以在闲暇时访问他们有权访问的 SBOM,并且可以随时下载它们。
一旦构建管道链接完成并且订阅者批准他们对数据感兴趣,整个信息流就会自动化,几乎不需要手动干预。安全数据由 Scribe 加密和保护,只有生产者和批准的订阅者才能访问。发现是自动的,访问由生产者决定,而传输则由订阅者随意决定。
SBOM 共享的未来
如今,SBOM 共享可能通过电子邮件而不是自动化系统来完成,但这种方法不可扩展。为了实现更好的共享,更多像 Scribe 这样的工具和平台需要变得可用、易于使用且平易近人。为不同利益相关者的需求而设计的各种共享解决方案将有利于 SBOM 共享生态系统。存在这些条件是因为其客户可能会要求给定供应商使用各种运输方法,并且其上游合作伙伴可能会使用各种方法向客户提供 SBOM 数据。我们需要更多的解决方案来处理已确定的特殊情况,同时在可行的情况下尝试消除手动流程并避免妨碍互操作性的行为。该行业的目标应该是防止出现大量在更大的供应链中彼此不兼容的 SBOM 共享解决方案,因为这只会加剧现有的问题。
由于 抄写员平台是免费的 每月最多使用 100 个构建,我鼓励您尝试一下,看看该平台可以满足您多少安全和监管需求。要打造一个真正实现我们愿景的通用平台,我们还有很长的路要走,但这是一个很好的起点,我们渴望与世界分享。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
