初識現(xiàn)成軟件清單（SBOM）

1、 4/4初識現(xiàn)成軟件清單（SBOM）【RREFACE】熟悉醫(yī)療器械網(wǎng)絡安全注冊審查指導原則（2022年修訂版）1的都知道，該指導原則中明確了醫(yī)療器械制造商需要識別的醫(yī)療器械網(wǎng)絡安全能力應當包括現(xiàn)成軟件清單（SBOM），并解釋了SBOM是指”產(chǎn)品為用戶提供全部現(xiàn)成軟件清單的能力”。該網(wǎng)絡安全能力為本修訂版中新增內(nèi)容。但是，該指導原則并未就SBOM應該采用什么形式，包括什么內(nèi)容做進一步的明確。企業(yè)在軟件開發(fā)過程中，對現(xiàn)成軟件的使用是比較常見的現(xiàn)象，更準確的說是指開源軟件（Open Source Software，縮寫OSS）?，F(xiàn)代軟件系統(tǒng)與日益復雜且動態(tài)變化的軟件供應鏈息息相關(guān)，而OSS就是軟件供

2、應鏈中最基礎(chǔ)的環(huán)節(jié)。據(jù)Synopsys監(jiān)測，開源代碼占代碼總量在2019年就接近70%，并以每年3%左右遞增。之所以廣泛使用OSS，是因為它提供了更快的創(chuàng)新和更高質(zhì)量的產(chǎn)品。但是，大多數(shù)管理者通常不太關(guān)注開發(fā)團隊在開發(fā)過程中是否使用OSS，具體使用了哪些OSS，是否存在安全漏洞等。使用OSS缺乏安全評估、法務評估和引入流程，軟件供應商無法在開發(fā)階段及時規(guī)避這些風險，這無形中給擬開發(fā)和待交付給客戶的軟件帶來了難以預知的安全隱患。當有漏洞被揭露時，很少有企業(yè)可以快速、準確地定位并響應一些關(guān)鍵性問題。例如，產(chǎn)品是否受到該漏洞的影響，該漏洞影響了哪些產(chǎn)品線，哪些軟件的版本是否存在這些問題等。實際上該問

3、題的根源在于未在開發(fā)階段管理軟件產(chǎn)品的組成，缺乏對軟件系統(tǒng)組件和功能的全局可見性所造成的。從而大幅增加了網(wǎng)絡安全及開發(fā)、采購、維護與處理的成本。伴隨著全球互聯(lián)網(wǎng)規(guī)模的逐漸增加，這些風險對個人用戶、相關(guān)組織，公共事務甚至國家層面的安全利益影響也越來愈大了?！綡ISTORY】2018年6月，美國商務部下屬的國家電信和信息管理局（National Telecommunications and Information Administation，NTIA）啟動了一項旨在提升軟件供應鏈透明度的項目，其核心理念是建立并推廣“軟件物料清單（Software Bill of Materials，SBOM）”體

4、系。即通過在軟件產(chǎn)品中提供一個技術(shù)文檔，來體現(xiàn)該產(chǎn)品在開發(fā)過程中所采用的所有物料（即現(xiàn)成軟件）、來源及供應商關(guān)系。NTIA通過成立的4個專項工作組，分別于2019年11月和2021年3月完成了兩個階段的研究報告，明確了上述理念的可行性，提出了SBOM生成和分發(fā)的維度框架，以及需要進一步明確的一些信息等。在這期間，2020年12月，還發(fā)生了基礎(chǔ)網(wǎng)絡管理軟件供應商SolarWinds的Orion軟件更新包中被黑客植入后門，攻擊者通過偽造已被信任的SolarWinds令牌，欺騙并繞過防護，在目標網(wǎng)絡環(huán)境中建立高權(quán)限賬戶，等待時機，以完成攻擊。該事件波及范圍包括政府部門，關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500

5、強企業(yè)，并由此加強了人們對SBOM的關(guān)注。2021年5月12日美國總統(tǒng)拜登簽署了旨在加強美國網(wǎng)絡安全實踐，保護美國聯(lián)邦政府系統(tǒng)的第14028號行政令關(guān)于改善國家網(wǎng)絡安全的行政命令2，其中明確要求，任何向聯(lián)邦政府銷售軟件產(chǎn)品的組織都必須提供SBOM。該法案明確了“SBOM”是一份規(guī)范的清單，其中包含構(gòu)建軟件中使用的各種組件的詳細信息和層次依賴信息，且這些信息可被機器讀取識別。這些組件、庫和模塊，可以是開源的或私有的、免費的或付費的，并且被廣泛應用或受到訪問限制使用。軟件開發(fā)人員和供應商通常通過組裝現(xiàn)有的開源和商業(yè)軟件組件來創(chuàng)建產(chǎn)品。同年10月21日美國聯(lián)邦政府國家電信和信息管理局（NTIA）公布

6、了構(gòu)建軟件組件透明度：建立通用軟件物料清單（SBOM）（第二版）。該文件建立了一個通用的、格式化的、可操作的方法，以便識別并列出軟件組件及組件信息和關(guān)系依賴的清單，從而實現(xiàn)對軟件的組成、網(wǎng)絡安全和知識產(chǎn)權(quán)等方面的有效跟蹤。通用SBOM屬性的具體描述如下表所示：基線屬性集：包括作者姓名、時間戳、供應商名稱、組件名稱、版本字符串、組件哈希值、唯一標識符、關(guān)系；未確定的屬性值：包括無斷言（no assertation）、沒有值（no value）；映射現(xiàn)有的格式：基線屬性信息映射到SPDX、SWID等現(xiàn)有格式；組件關(guān)系：是基線屬性集中“關(guān)系”的進一步細化補充，例如：直接包含、通過鏈接或編譯包含、修改

7、后包含等；附加元素：除了基線屬性外，可能還需要額外的元素和組件屬性，以支持不同的用例?！綢NTRODUCE】軟件可表示為由多個可擁有子組件的組件組成的層級樹。組件通常是來自其它來源的“第三方“，但可能也是”第一方“即來自同一個供應商但可被唯一識別為獨立的可追蹤的軟件單元。每個組件都應當擁有自己的SBOM，列出自身組件，構(gòu)建層級樹。數(shù)據(jù)字段適用于每個組件，這些組件按照定義的實踐和進程，通過用于自動化支持的工具和格式進行編碼。簡單的概括，SBOM的生成過程大致可分為以下幾個步驟：識別軟件交付品中包含的軟件組件獲取可交付軟件中的組件數(shù)據(jù)。將組件數(shù)據(jù)導入結(jié)構(gòu)化的SBOM格式。驗證SBOM以確保格式有效

8、且包含“基線”屬性?！維ECURITY】通過提高軟件供應鏈透明度，可以達到降低網(wǎng)絡安全風險和總體成本的目的，具體體現(xiàn)在以下幾個方面：提高識別易受攻擊的軟件組件的能力；減少因供應鏈復雜性而導致的計劃外和低效的工作；幫助支持透明度的供應商在市場中脫穎而出；使用通用的標準化格式以減少重復性工作；協(xié)助識別可疑的或假冒的軟件組件。使用OSS的企業(yè)和組織將需要一套用于SBOM管理的流程，使他們能夠生成、獲取、分析、存儲、監(jiān)控和共享SBOM，以提高其自身軟件供應鏈的安全性?！綥ICENSE】今天，開發(fā)人員可能對于許可證并不是非常敏感，這是因為如今許可證類型變得越來越寬松。但是，相比于寬松的MIT和BSD協(xié)議

9、，GPL系列的許可證不允許修改和衍生的代碼做為閉源的商業(yè)軟件發(fā)布和銷售，且這類許可的OSS也占據(jù)著相當?shù)谋壤?。當忽視這類許可證時，開發(fā)人員或組織可能會面臨法律上的風險。OSS涉及層層依賴關(guān)系，商業(yè)產(chǎn)品在使用OSS組件過程中不斷加入新的OSS組件，可能涉及不同或沖突協(xié)議，因此使用OSS組件需要關(guān)注OSS所依賴的其他OSS組件。生成和維護發(fā)布軟件的SBOM將有利于制造商對軟件涉及的OSS之間的許可證進行系統(tǒng)的梳理和分析，避免不必要的法律糾紛甚至巨額賠償?！続FTERWORD】NTIA當初做SBOM推廣項目之時就曾遇到不小的阻力，究其原因，一是該項目本身涉及的技術(shù)因素復雜，二是在推動相關(guān)企業(yè)改變其既

10、有實踐方面遇阻。該項目下一步是否能突破難關(guān)，很大程度上取決于美國政府的決心與資源投入。目前美國FDA已在2022年4月發(fā)布的草案文件醫(yī)療器械的網(wǎng)絡安全:質(zhì)量體系考慮因素和上市前提交的內(nèi)容3中要求醫(yī)療器械制造商在產(chǎn)品標識中披露符合要求的SBOM信息。而我國的一些車企、金融行業(yè)已經(jīng)開始要求軟件供應商提供SBOM，其他行業(yè)還沒有正式執(zhí)行，而我國國內(nèi)的醫(yī)療器械行業(yè)僅以指導原則的形式提出了SBOM的引導，但還遠沒有達到全面強制執(zhí)行的程度。中國通信標準化協(xié)會于2022年8月24日發(fā)布關(guān)于印發(fā)2022年第二批協(xié)會團體標準項目計劃的函4中，有包含軟件物料清單（SBOM）構(gòu)建總體框架的團體標準，預計2024年完

11、成。倘若SBOM實踐真正得到廣泛的應用時，將有效提升軟件供應鏈透明度，極大地便利軟件組件溯源、軟件產(chǎn)品依賴關(guān)系梳理、已知漏洞的影響范圍判斷、及時發(fā)現(xiàn)惡意軟件滲透等，從而有力支撐軟件供應鏈相關(guān)監(jiān)管政策規(guī)則的落地實施。注：【1】醫(yī)療器械網(wǎng)絡安全注冊審查指導原則（2022年修訂版）/xwdt/shpgzgg/gztg/20220309085600367.html【2】關(guān)于改善國家網(wǎng)絡安全的行政命令/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/【

12、3】醫(yī)療器械的網(wǎng)絡安全:質(zhì)量體系考慮因素和上市前提交的內(nèi)容/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions【4】關(guān)于印發(fā)2022年第二批協(xié)會團體標準項目計劃的函/standardPlanDetail/220?title=%E4%B8%AD%E5%9B%BD%E9%80%9A%E4%BF%A1%E6%A0%87%E5%87%86%E5%8C%96%E5%8D%8F%E4%