更多网络安全干货内容:点此获取
———————
“我们发现,软件系统间接依赖中存在的漏洞数量,是直接依赖的三倍以上。” Snyk 《2020 年开源安全状况报告》中讲到。开源软件中的绝大多数安全漏洞都存在于间接依赖关系中,而不是存在于直接加载的组件之中,这将导致软件安全不可控性增强。
开源软件的泛用,使得大多数公司对采购软件的安全性和合规性,处于更加未知或模糊的状态。因此,为了更好地制定第三方软件安全风险管理决策,就需要清晰洞察软件内部组成成分。而SBOM(软件物料清单)就是其中的“灵丹妙药”,其最具价值的方面,就是提升软件内部成分的可见性。
Capterra软件市场服务公司调查发现:已有将近一半(49%)的公司会在软件采购时,要求其供应商提供SBOM文件。
国际上,部分行业也逐渐将SBOM文件,作为产品上市网络安全评估的参考文件。例如:医疗器械上市美国需要进行的FDA认证:FDA2023年发布《医疗器械网络安全:质量体系注意事项和上市前提交内容》最终规定SBOM 是网络器械上市申请的必要组成部分,也是所有其他器械上市申请的建议组成部分。
那么,如何快速生成标准、专业、符合甲方需求或产品上市需求的SBOM(软件物料清单)文件呢?
网安云软件物料清单管理平台,以一键安装插件的便捷方式,自动化、动态获取组件资产数据,无需繁琐部署或上传源代码,快速生成标准化的软件物料清单文件,满足SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求,确保文件格式有效、属性合规。
点此免费使用:软件物料清单管理平台
同时,软件物料清单管理平台还将动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力,让软件安全弱点浮出水面,让第三方组件安全与合规问题无所遁形。