2024軟件物料清單實踐指南

2022024軟件物料清單實踐指南PAGEPAGE2總體介紹誕生背景代表工作定義內(nèi)涵價值與用例組成要素格式與工具

生命周期常見問答知產(chǎn)與保密選擇與決策行業(yè)實踐發(fā)展趨勢誕生背景誕生背景PAGEPAGE3NTIASoftwareComponent醫(yī)療保健概念驗證工作組格式和工具工作組意識和采用工作組框架工作組2018NTIASoftwareComponent醫(yī)療保健概念驗證工作組格式和工具工作組意識和采用工作組框架工作組2018年7月19日，美國國家電信和信息管理局（NTIA）召開了多部門利益相關(guān)者會議，討論增強(qiáng)軟件透明度的一項提案，目的是建立一個通用框架，以在軟件產(chǎn)品中描述組件。工作重點定義和完善SBOM規(guī)范，推動廣泛、可擴(kuò)展的采用NTIA多利益相關(guān)方流程計劃將SBOMNTIA多利益相關(guān)方流程計劃格式構(gòu)建信息共享格式構(gòu)建信息共享促進(jìn)實踐所有行業(yè)支持活動證明SBOM的成功應(yīng)用，為其他行業(yè)提供參考代表工作代表工作自SBOM誕生以來，美西方多個組織機(jī)構(gòu)積極開展研究，多個行業(yè)已開始推進(jìn)SBOM的應(yīng)用，使得SBOM理論發(fā)展不斷完善，并開始在實踐中豐富內(nèi)涵。自SBOM誕生以來，美西方多個組織機(jī)構(gòu)積極開展研究，多個行業(yè)已開始推進(jìn)SBOM的應(yīng)用，使得SBOM理論發(fā)展不斷完善，并開始在實踐中豐富內(nèi)涵。ISO/IEC5230:2020，高質(zhì)量開源許可證合規(guī)2022.2，NIST《安全軟件開發(fā)框架》2020.11，ENISA確保物聯(lián)網(wǎng)安全的準(zhǔn)則20192019聯(lián) 盟安全軟件框架2020.7，大西洋理事會 “BreakingTrust”報告20212019.1，JSP— —聯(lián)合安全計劃20202022《現(xiàn)代車輛安全的網(wǎng)絡(luò)安全最佳實踐》2020，美國國家公路交通安全管理局2019.3，MUD，制造商使用說明2018、2021，MITRE“交付無礙”項目2022.4，F(xiàn)DA售前準(zhǔn)則中心《使用SBOM增強(qiáng)網(wǎng)絡(luò)安全》2021.1，荷蘭政府的國家網(wǎng)絡(luò)安全CISQ《可信系統(tǒng)宣言》 組件分析項目 中心《使用SBOM增強(qiáng)網(wǎng)絡(luò)安全》2021.1，荷蘭政府的國家網(wǎng)絡(luò)安全定義內(nèi)涵定義內(nèi)涵隨著SBOM研究的不斷深入，其理論體系已基本搭建完成并通過行業(yè)實踐不斷完善，包含有供應(yīng)商、作者、消費(fèi)者等術(shù)語體系。隨著SBOM研究的不斷深入，其理論體系已基本搭建完成并通過行業(yè)實踐不斷完善，包含有供應(yīng)商、作者、消費(fèi)者等術(shù)語體系。SBOM是一份正式規(guī)范且機(jī)器可讀的軟件組件清單，清單中包含這些組件的依賴關(guān)系、層次關(guān)系以及相關(guān)信息。特定SBOM中包含的組件信息的數(shù)量和類型可能會根據(jù)行業(yè)、部門、SBOM消費(fèi)者的需求等方面而有所不同。SBOMSBOM是一份正式規(guī)范且機(jī)器可讀的軟件組件清單，清單中包含這些組件的依賴關(guān)系、層次關(guān)系以及相關(guān)信息。特定SBOM中包含的組件信息的數(shù)量和類型可能會根據(jù)行業(yè)、部門、SBOM消費(fèi)者的需求等方面而有所不同。SBOM商業(yè)軟件發(fā)布者；合同約定的提供可交付軟件的軟件開發(fā)人員；免費(fèi)開源軟件供應(yīng)商，在開源代碼存儲庫中維護(hù)源代碼以及在包管理器中維護(hù)二進(jìn)制文件。商業(yè)軟件發(fā)布者；合同約定的提供可交付軟件的軟件開發(fā)人員；免費(fèi)開源軟件供應(yīng)商，在開源代碼存儲庫中維護(hù)源代碼以及在包管理器中維護(hù)二進(jìn)制文件。組件

根供應(yīng)商 由供應(yīng)商或作者定義的軟件單位。一個產(chǎn)品即一個組件，庫、單個文件、組件的集合也是組件。上下游視角中，產(chǎn)品、中間產(chǎn)品、最終產(chǎn)品均可被視為組件。軟件中不包含上游組件的供應(yīng)商。作者 由供應(yīng)商或作者定義的軟件單位。一個產(chǎn)品即一個組件，庫、單個文件、組件的集合也是組件。上下游視角中，產(chǎn)品、中間產(chǎn)品、最終產(chǎn)品均可被視為組件。軟件中不包含上游組件的供應(yīng)商。SBOM的創(chuàng)建者，不一定是供應(yīng)商。SBOM的創(chuàng)建者，不一定是供應(yīng)商。定義內(nèi)涵定義內(nèi)涵PAGEPAGE6隨著SBOM研究的不斷深入，其理論體系已基本搭建完成并通過行業(yè)實踐不斷完善，包含有供應(yīng)商、作者、消費(fèi)者等術(shù)語體系。隨著SBOM研究的不斷深入，其理論體系已基本搭建完成并通過行業(yè)實踐不斷完善，包含有供應(yīng)商、作者、消費(fèi)者等術(shù)語體系。消費(fèi)者 最小元素 從供應(yīng)商處獲得第三方軟件的商業(yè)或非商業(yè)實體。從供應(yīng)商處獲得第三方軟件的商業(yè)或非商業(yè)實體。支持基礎(chǔ)SBOM功能的必要部分：數(shù)據(jù)字段支持基礎(chǔ)SBOM功能的必要部分：數(shù)據(jù)字段依賴關(guān)系、SBOM數(shù)據(jù)作者以及時間戳等元素的信息結(jié)構(gòu)。自動化支持通過自動生成和機(jī)器可讀性來擴(kuò)展至軟件生態(tài)系統(tǒng)。實踐流程定義SBOM請求、生成和使用的操作，包括：頻率、組件、組件、SBOM的特征或相關(guān)信息，主要用于識別組件。包括基線屬性和其他屬性。SBOM條目指組件及其關(guān)聯(lián)屬性，在SBOM表中，一行即為一個條目。SBOM條目指組件及其關(guān)聯(lián)屬性，在SBOM表中，一行即為一個條目。PAGEPAGE9總體介紹價值與用例構(gòu)建SBOM的價值SBOM用例組成要素格式與工具

生命周期常見問答知產(chǎn)與保密選擇與決策行業(yè)實踐發(fā)展趨勢PAGEPAGE8價值——提高軟件透明度如果缺乏對軟件系統(tǒng)組件和功能的全局可見性，將大大增加網(wǎng)絡(luò)安全風(fēng)險及軟件開發(fā)、采購和維護(hù)的成本。隨著全球互聯(lián)程度日益增加，這些風(fēng)險和成本不僅會影響到個人用戶和相關(guān)組織，還會影響到公共安全和國家安全等集體利益。意義降低網(wǎng)絡(luò)安全風(fēng)險意義降低網(wǎng)絡(luò)安全風(fēng)險降低開發(fā)、采購和維護(hù)數(shù)字化基礎(chǔ)設(shè)施的成本減少因復(fù)雜上下游關(guān)系導(dǎo)致的計劃外低效率的工作；PAGEPAGE9可以識別已知漏洞并及時應(yīng)對價值——SBOM可以識別已知漏洞并及時應(yīng)對軟件生產(chǎn)者可以協(xié)助構(gòu)建和維護(hù)其軟件，包括知曉軟件的上游組件成分及對應(yīng)屬性?？梢粤炕⒐芾碓S可證可以管理針對漏洞的緩解措施（包括對新漏洞的補(bǔ)丁與補(bǔ)償控制）的應(yīng)用場景SBOM軟件生產(chǎn)者可以協(xié)助構(gòu)建和維護(hù)其軟件，包括知曉軟件的上游組件成分及對應(yīng)屬性?？梢粤炕⒐芾碓S可證可以管理針對漏洞的緩解措施（包括對新漏洞的補(bǔ)丁與補(bǔ)償控制）的應(yīng)用場景SBOM對軟件供應(yīng)商和消費(fèi)者的好處軟件購買者可以告知購買者關(guān)于預(yù)購買保證協(xié)議、協(xié)商折扣、或計劃實施策略。有助于用戶理解軟件生態(tài)系統(tǒng)?？梢粤炕浖幸汛嬖诘娘L(fēng)險可以提高效率，降低工作量，從而降低運(yùn)營成本可以識別安全性，檢查許可證的合規(guī)要求軟件購買者可以告知購買者關(guān)于預(yù)購買保證協(xié)議、協(xié)商折扣、或計劃實施策略。有助于用戶理解軟件生態(tài)系統(tǒng)?？梢粤炕浖幸汛嬖诘娘L(fēng)險可以提高效率，降低工作量，從而降低運(yùn)營成本可以識別安全性，檢查許可證的合規(guī)要求創(chuàng)建創(chuàng)建SBOM可以提高供應(yīng)商自身競爭力2.3價值——用例2.3價值——用例PAGEPAGE10SBOMSBOMSBOMVEX三類用例。漏洞管理和VEX漏洞管理和VEX需要漏洞信息源（如CVE和NVD）需要漏洞到組件的映射（如NVD中使用的CPE）需要傳達(dá)漏洞或可利用性狀態(tài)的方法（如VEX）難點：基于有限信息（如版本字符串、協(xié)議標(biāo)語或其他試探法）可能無法準(zhǔn)確檢測到漏洞使用工具：軟件成分分析（使用工具：軟件成分分析（SCA）分析漏洞的危險性和可利用性，即漏洞可用性交流（VEX）分析開源組件分析開源組件輸出SBOM分析漏洞VEX主要用來判斷有關(guān)產(chǎn)品是否受到特定漏洞的影響。如果產(chǎn)品受到影響，是否已建議采取補(bǔ)救措施，確定是否存在其他防護(hù)手段，保證此漏洞無法有效利用等。：軟件包括一個漏洞組件；軟件廠商發(fā)現(xiàn)，漏洞不會影響編譯軟件；例如，有關(guān)代碼沒有包含在編譯器里；例如，存在相關(guān)代碼，但沒有使用或暴露；：軟件包括一個漏洞組件；軟件廠商發(fā)現(xiàn)，漏洞不會影響編譯軟件；例如，有關(guān)代碼沒有包含在編譯器里；例如，存在相關(guān)代碼，但沒有使用或暴露；廠商提交一個VEX，聲明組件“不受影響”，不需要采取行動；客戶把SBOM數(shù)據(jù)、漏洞數(shù)據(jù)、VEX數(shù)據(jù)集成到一起，做出基于風(fēng)險的決策。不受影響—無需對此漏洞進(jìn)行補(bǔ)救；受影響—建議采取措施來修復(fù)或解決此漏洞；已修復(fù)—表示這些產(chǎn)品版本包含針對漏洞的修復(fù)；調(diào)查中—尚不清楚這些產(chǎn)品版本是否受到漏洞影響。將在以后的版本中提供更新。2.3價值——用例2.3價值——用例傳送傳送許可證和授權(quán)信息許可管理需要將不同的許可證和許可證類型與組件關(guān)許可管理需要將不同的許可證和許可證類型與組件關(guān)聯(lián)起來 需要一種方法來評估由具有不同許可證的不同組件合成的組裝商品的實際效果常見用例2：跟蹤授權(quán)（允許使用組件的副本或功能）常見用例1：管理所包含組件的軟件許可（包括對使用或重新分發(fā)的限制）高可信流程需要需要有關(guān)組件的譜系和出處的信息 有關(guān)信息包括但不限于：如何構(gòu)建和打包組件、誰創(chuàng)建和修改了組件、組件的監(jiān)管鏈需要相關(guān)組件、不同的關(guān)系類型和可能不同的供應(yīng)商信息的附加屬性。二進(jìn)制分析工具確定組件內(nèi)容以確定許可證要求軟件組成分析工具二進(jìn)制分析工具確定組件內(nèi)容以確定許可證要求軟件組成分析工具SWIDSPDX總體介紹價值與用例組成要素數(shù)據(jù)字段實踐流程格式與工具

生命周期常見問答知產(chǎn)與保密選擇與決策行業(yè)實踐發(fā)展趨勢133.1組成要素——數(shù)據(jù)字段：基線屬性3.1組成要素——數(shù)據(jù)字段：基線屬性SBOMSBOM基線屬性：SBOM系統(tǒng)的必要元素。作者許可證信息姓名時間戳其他組件關(guān)系姓名生命周期SBOM基線屬性組件名稱組件版本關(guān)系唯一SBOM的主要目的：唯一且明確地識別軟件組件及其依賴關(guān)系。作者不一定是供應(yīng)商；時間戳即SBOM最后一次更新的日期和時間；供應(yīng)商名稱也可為其標(biāo)識符；組件名稱由供應(yīng)商或作者定義；建議使用語義版本控制版本字符串；組件哈希值是組件的固有標(biāo)識符，可由數(shù)字簽名代替；和組件14唯一標(biāo)識符和組件14默認(rèn)的關(guān)系類型是包含（includes）3.1組成要素——數(shù)據(jù)字段：其他屬性3.1組成要素——數(shù)據(jù)字段：其他屬性PAGEPAGE15原因缺乏有關(guān)組件組成的第一手知識。原因缺乏有關(guān)組件組成的第一手知識。當(dāng)SBOM的作者不是軟件組件的供應(yīng)商時，作者可能缺乏生成某些屬性所需的信息或可見性。創(chuàng)建SBOM（和組件）的時間點不同，大致為：預(yù)構(gòu)建、構(gòu)建或打包時以及構(gòu)建后。應(yīng)對總是提供所有的基線屬性。但需明確定義區(qū)分“無斷言（no assertation）”(即數(shù)據(jù)缺失)，和“沒有值（novalue）”SBOM)或者，SBOM格式可以允許缺少基線屬性，并將缺失某幾項屬性視為默認(rèn)值（）。除了基線屬性外，SBOM可能還需要附加元素和組件屬性以三大用例為例，和對組件進(jìn)行分組的機(jī)制；可能是通過生產(chǎn)線或已實現(xiàn)的技術(shù)進(jìn)行分組（）。除了基線信息，除了基線信息，SBOM還會包含其他未確定屬性、附加元素等其他信息。附加元素和組件屬性未確定屬性PAGEPAGE16組成要素——數(shù)據(jù)字段：SBOM格式除了基線屬性之外，作者還應(yīng)該遵守其選擇的除了基線屬性之外，作者還應(yīng)該遵守其選擇的SBOM格式的規(guī)范。SBOM有三種格式，分別是：SPDX、CycloneDX和SWID。下表為將基線組件信息對應(yīng)到現(xiàn)有格式屬性SPDXCycloneDXSWID作者姓名Creator:metadata/authors/author<Entity>@role(tagCreator),@name時間戳Created:metadata/timestamp<Meta>供應(yīng)商名稱PackageSupplier:Supplierpublisher<Entity>@role(softwareCreator/publisher),@name組件名稱PackageName:name<softwareIdentity>@name版本字符串PackageVersion:version<softwareIdentity>@version組件哈希值PackageChecksum:PackageVerificationCode:Hash“alg”<Payload>/../<File>@[hash-algorithm]:hash唯一標(biāo)識符SPDXDocumentNamespaceSPDXID:bom/serialNumbercomponent/bom-ref<softwareIdentity>@tagID關(guān)系Relationship:DESCRIBESCONTAINS(Inherentinnestedassembly/subassemblyand/ordependencygraphs)<Link>@rel,@href3.1組成要素——數(shù)據(jù)字段：組件關(guān)系3.1組成要素——數(shù)據(jù)字段：組件關(guān)系PAGEPAGE17開發(fā)開發(fā)SBOM組件中的一級組件。SBOM知的嵌套關(guān)系?；€關(guān)系屬性定義了一種單一類型的關(guān)系：包含（或包含于）。上游組件（通常稱為依賴項）包含在下游組件中。有的SBOM格式支持不同類型的關(guān)系。SBOMSBOM當(dāng)供應(yīng)商未提供SBOM，需要SBOM關(guān)系斷言屬性關(guān)系斷言屬性未知無 表示沒有直接的上游關(guān)。根據(jù)供應(yīng)商的定義，該組件沒有上游組件。表示至少有一個直接的上游關(guān)系；可能是也可能不是其他關(guān)系。已知關(guān)系會列出來。已知 表示已知并列出了完整直接游關(guān)集。部分已知SBOM概念圖SBOM概念圖下面提供一個下面提供一個SBOM示例來進(jìn)一步說明上一節(jié)中描述的關(guān)系。SBOM概念圖組件名稱供應(yīng)商組件名稱供應(yīng)商名稱版本字符串作者哈希值UID關(guān)系A(chǔ)pplicationAcme1.1Acme0x123234主要|--BrowserBob2.1Bob0x223334包含于|--CompressionEngineCarol3.1Acme0x323434包含于|--BufferBingo2.2Acme0x423534包含于組件名稱供應(yīng)商名稱版本字符串作者哈希值UID關(guān)系關(guān)系斷言ApplicationAcme1.1Acme0x123234主要已知|--BrowserBob2.1Bob0x223334包含于部分已知|--CompressionEngineCarol3.1Acme0x323434包含于無|--BufferBingo2.2Acme0x423534包含于未知3.2組成要素——自動化支持3.2組成要素——自動化支持PAGEPAGE19國際參與公開制定國際參與公開制定通用句法機(jī)器可讀人類可讀互操作性自動化支持包括自動化生成和機(jī)器可讀性，允許跨軟件生態(tài)系統(tǒng)進(jìn)行擴(kuò)展，特別是跨組織邊界。使用SBOM數(shù)據(jù)則需要使用可預(yù)測的實現(xiàn)工具和數(shù)據(jù)格式。用于生成并使用用于生成并使用的數(shù)據(jù)格式SWID（SoftwareIdentification）CycloneDXSPDX（SoftwarePackageDataeXchange）某些機(jī)構(gòu)希望將SBOM有的漏洞管理實踐中；策略的合規(guī)性。當(dāng)出現(xiàn)可與現(xiàn)有格式兼容的新標(biāo)到主動維護(hù)，則將其剔除。3.3組成要素——實踐流程3.3組成要素——實踐流程SBOM不僅是結(jié)構(gòu)性數(shù)據(jù)集；在將其集成到安全開發(fā)生命周期時，組織機(jī)構(gòu)應(yīng)遵循SBOM使用機(jī)制的實踐流程。在任何要求提供SBOM的策略、合同或約定中，都應(yīng)當(dāng)明確提出多個元素。頻率當(dāng)軟件組件以新版本或發(fā)布的形式更新，那么必須創(chuàng)建新的SBOM來體現(xiàn)該軟件的新版本。其中包括集成已更新組件或依賴項的軟件版本。深度SBOM應(yīng)當(dāng)包含所有主要（頂層）組件，并列出其中包含的所有傳遞依賴項。

已知的未知對于在SBOM中未列舉出完整依賴項的實例，SBOM作者必須明確識別出“已知的未知“。即明確區(qū)分不含其它依賴項的組件和所含依賴項未知及不完整的組件。參見關(guān)系斷言。分發(fā)和交付及時地向所需方提供SBOM，并設(shè)置恰當(dāng)?shù)脑L問權(quán)限。共享SBOM數(shù)據(jù)可分為：如何獲悉SBOM的存在和可用性（宣傳或發(fā)現(xiàn)）；SBOM是如何被具有權(quán)限（訪問）的人員檢索或獲得。

訪問控制 必須指定相關(guān)術(shù)語，包括將SBOM數(shù)據(jù)集成到用戶安全工具中的費(fèi)用和空間?？赏ㄟ^許可、合約或其它現(xiàn)有機(jī)制來約束軟件本身的使用和權(quán)益。 容錯空間 SBOM客戶應(yīng)當(dāng)明確容忍偶然的無心之過，允許遺漏和錯誤，以此鼓勵SBOM數(shù)據(jù)更新。 20總體介紹價值與用例組成要素格式與工具SWID

生命周期常見問答知產(chǎn)與保密選擇與決策行業(yè)實踐發(fā)展趨勢21概述概述當(dāng)前，國際上較為流行的SBOM格式共3種，SPDX當(dāng)前，國際上較為流行的SBOM格式共3種，SPDXSWIDSPDXSPDXSPDXSPDX是一個由Linux開源項目。軟件、系統(tǒng)和工具的供應(yīng)商、集成商，基金會等代表參與。工作由三個小組完成：技術(shù)團(tuán)隊、法律團(tuán)隊和外展團(tuán)隊。2012年由ISO定義并在2015年被更新為 ISO/IEC19770-2:2015。SWID標(biāo)簽文件包含有關(guān)軟件產(chǎn)品特定版本的描述性信息。CycloneDX是一種輕量級SBOM格式，由CycloneDXCore管理，起源于\h社區(qū)。224.1SPDX概述4.1SPDX概述2010年，SPDX格式發(fā)布1.0版本，于2021年8月成為國際標(biāo)準(zhǔn)（ISO/IEC5962:2021），支持在軟件開發(fā)的過程中自動生成，目前已有5種文檔格式，支持4種語言，設(shè)有許可證表達(dá)式。2010年，SPDX格式發(fā)布1.0版本，于2021年8月成為國際標(biāo)準(zhǔn)（ISO/IEC5962:2021），支持在軟件開發(fā)的過程中自動生成，目前已有5種文檔格式，支持4種語言，設(shè)有許可證表達(dá)式。支持CI/CD集成以生成SPDX文檔為 Maven構(gòu)建環(huán)境自支持CI/CD集成以生成SPDX文檔為 Maven動 生 成SPDX文檔 234.1SPDX的廣泛使用4.1SPDX的廣泛使用英特爾、微軟、西門子、索尼、新思科技、英特爾、微軟、西門子、索尼、新思科技、VMware和WindRiver在內(nèi)的眾多公司已經(jīng)使用SPDX傳達(dá)SBOM信息，以確保全球軟件實現(xiàn)合規(guī)和安全開發(fā)。ocuenae:PX-Toov.0SPDXID:SPDXRef-DOCUMENTDocumentComment:<text>Thisdocumentwas

Creator:Organization:ExampleCodeInspect()Creator:Person:JaneDoe()Created:2010-01-29T18:30:22ZCreatorComment:<text>ThiscreatedusingSPDX2.0usingpackagehasbeenshippedinlicensesfromthewebsite.</text>##ExternalDocumentReferencesExternalDocumentRef:ocuenedoo.2##CreationInformationCreaor:Too:LceneFnd-1.0

sourceandbinaryform.LicenseListVersion:1.19##AnnotationsAnnotator:Person:JaneDoe()AnnotationDate:2010-01-29T18:30:22ZAnnotationComment:<text>Documentlevel 244.1SPDX優(yōu)勢與工具4.1SPDX優(yōu)勢與工具將許可證與SPDX許可證列表中包含的許可證進(jìn)行匹配語言使用語言使用變換查看對比檢索導(dǎo)入轉(zhuǎn)換合并支持JavapythongolangJavaScript25用于表示發(fā)行版光盤映像文件、容器、軟件包、二進(jìn)制文件、源文件、補(bǔ)丁、嵌入在其他文件中的代碼片段能夠?qū)εc復(fù)雜系統(tǒng)相關(guān)的文檔進(jìn)行邏輯劃分和鏈接4.24.2概述PAGEPAGE26起源于OWASP社區(qū)，CycloneDX是一種輕量級SBOM格式，于2021年成為第三種通用格式納入NTIA文件中，側(cè)重于網(wǎng)絡(luò)安全風(fēng)險管理，尤其適用于依賴服務(wù)的現(xiàn)代軟件。4.24.2工具與特點PAGEPAGE27支持硬件作為組件可與VEXCDXCPE、SWID和PURL識別可用于描述微服務(wù)架構(gòu)、面向服務(wù)的架構(gòu)（SOA）、功能即服務(wù)、n層架構(gòu)、演員模型、系統(tǒng)的系統(tǒng)等服務(wù)結(jié)合SPDX許可證ID和表達(dá)式可裝配組件SBOM，支持SBOM可表示組件譜系4.3SWID概述4.3SWID概述PAGEPAGE28識別和描述已安裝補(bǔ)丁，該補(bǔ)丁對軟件產(chǎn)品進(jìn)行增量更改。識別和描述已安裝補(bǔ)丁，該補(bǔ)丁對軟件產(chǎn)品進(jìn)行增量更改。軟件識別（SWID）標(biāo)簽旨在為組織提供一種方式來跟蹤其軟件，2012年由ISO給出定義，并在補(bǔ)丁標(biāo)簽SWID標(biāo)簽補(bǔ)丁標(biāo)簽SWID標(biāo)簽在軟件產(chǎn)品安裝過程中被添加到終端，并在軟件產(chǎn)品卸載時同步刪除。在此生命周期中，給定SWID標(biāo)簽的存在直接對應(yīng)于該標(biāo)簽描述的軟件產(chǎn)品的存在。主標(biāo)簽識別和描述軟件產(chǎn)品，安裝在計算設(shè)備上。主標(biāo)簽識別和描述軟件產(chǎn)品，安裝在計算設(shè)備上。語料庫標(biāo)簽識別和描述處于預(yù)安裝狀態(tài)的可安裝軟件產(chǎn)品。補(bǔ)充標(biāo)簽為其他語料庫標(biāo)簽識別和描述處于預(yù)安裝狀態(tài)的可安裝軟件產(chǎn)品。補(bǔ)充標(biāo)簽為其他SWID標(biāo)簽提供附加信息。4.3SWID與軟件生命周期4.3SWID與軟件生命周期PAGEPAGE29SWID定義的四種標(biāo)簽類型基于軟件的生命周期，標(biāo)簽可以定義產(chǎn)品名稱、版本和其他詳細(xì)信息，標(biāo)簽可以明確地鏈接到其他標(biāo)簽來表示依賴關(guān)系。SWID定義的四種標(biāo)簽類型基于軟件的生命周期，標(biāo)簽可以定義產(chǎn)品名稱、版本和其他詳細(xì)信息，標(biāo)簽可以明確地鏈接到其他標(biāo)簽來表示依賴關(guān)系。構(gòu)建組件時自動生成加密哈希實現(xiàn)軟件相關(guān)信息關(guān)聯(lián)，包括補(bǔ)丁、更新、配置設(shè)置、漏洞等構(gòu)建組件時自動生成加密哈希實現(xiàn)軟件相關(guān)信息關(guān)聯(lián)，包括補(bǔ)丁、更新、配置設(shè)置、漏洞等未來發(fā)展方向未來發(fā)展方向PAGEPAGE30●●需要時，指明創(chuàng)建SPDX時的已知漏洞，以及這些漏洞何時/何地/如何在更新或補(bǔ)丁中被修復(fù)，或被確定在交付軟件中不可利用●增強(qiáng)譜系和上下游關(guān)系的表示，以支持監(jiān)管鏈●●更豐富的交互間關(guān)系集與完整性檢查識別當(dāng)前無法由SPDX表示的用例，并在即將發(fā)布的規(guī)范中添加元素以支持這些用例 納入社區(qū)和CycloneDX納入社區(qū)和CycloneDX行業(yè)工作組的反饋，以指導(dǎo)該格式標(biāo)準(zhǔn)的未來方向目前正在開發(fā)多個擴(kuò)展對現(xiàn)有漏洞擴(kuò)展的審計、制定和增強(qiáng)通過每年發(fā)布的版本不斷完善核心規(guī)范IETF正在對一種更輕量級的表示法CoSWID進(jìn)行標(biāo)準(zhǔn)化，這是一種基于簡明二進(jìn)制對象表示法的SWID標(biāo)簽信息，用來支持受限的物聯(lián)網(wǎng)用例01.總體介紹5.3使用SBOM02.價值與用例5.4驗證SBOM01.總體介紹5.3使用SBOM02.價值與用例5.4驗證SBOM03.組成要素06.常見問答04.格式與工具07.知產(chǎn)與保密05.生命周期08.選擇與決策5.1生成SBOM09.行業(yè)實踐5.2交付SBOM10.發(fā)展趨勢SBOM生命周期可分為4個階段，存在于軟件生命周期中的開發(fā)、部署和運(yùn)行階段，有所相關(guān)又有所不同。SBOM生命周期可分為4個階段，存在于軟件生命周期中的開發(fā)、部署和運(yùn)行階段，有所相關(guān)又有所不同。生成SBOM階段。生成SBOM

使用SBOM SBOM納入公司全流程的方式，監(jiān)測漏洞，機(jī)密性要求一般存在于運(yùn)維階段。交付SBOM

發(fā)現(xiàn)階段。

驗證SBOM

軟件實體解析依賴項解析完整性真實性一般存在于軟件交付、運(yùn)維階段。325.1生成——流程與階段5.1生成——流程與階段SBOM的生成包括生成流程、方式與階段，不同的場景下，組織可以通過多樣、自動化的工具，在軟件開發(fā)生命周期的不同階段生成SBOM，并通過源代碼或二進(jìn)制文件的方式交付。SBOM的生成包括生成流程、方式與階段，不同的場景下，組織可以通過多樣、自動化的工具，在軟件開發(fā)生命周期的不同階段生成SBOM，并通過源代碼或二進(jìn)制文件的方式交付。一般性工作流程模型生成階段——構(gòu)建前（源碼級SBOM）適用：對保障性和安全性要求高。生成方法：作為版本控制系統(tǒng)一部分，或由挖掘產(chǎn)品構(gòu)建管道輸入的工具創(chuàng)建源碼級SBOM。特點：生成階段——構(gòu)建前（源碼級SBOM）適用：對保障性和安全性要求高。生成方法：作為版本控制系統(tǒng)一部分，或由挖掘產(chǎn)品構(gòu)建管道輸入的工具創(chuàng)建源碼級SBOM。特點：有助于關(guān)鍵組件的識別及在創(chuàng)建產(chǎn)品之前查找漏洞；便于構(gòu)建到源文件的追溯；可能會呈現(xiàn)并不包含在最終可執(zhí)行文件中的脆弱源碼。獲取可交付軟件中的組件數(shù)據(jù) 將組件數(shù)據(jù)導(dǎo)入結(jié)構(gòu)化的SBOM將組件數(shù)據(jù)導(dǎo)入結(jié)構(gòu)化的SBOM格式驗證SBOM以確保格式有效且包含“基線”屬性驗證SBOM以確保格式有效且包含“基線”屬性5.1生成——階段5.1生成——階段“構(gòu)建前”的源碼級SBOM目前在實踐中采用較少，“構(gòu)建時”和“構(gòu)建后”已大量應(yīng)用于行業(yè)實踐，且開始適應(yīng)軟件容器化交付。“構(gòu)建前”的源碼級SBOM目前在實踐中采用較少，“構(gòu)建時”和“構(gòu)建后”已大量應(yīng)用于行業(yè)實踐，且開始適應(yīng)軟件容器化交付。生成階段——構(gòu)建時生成階段——構(gòu)建時自動化生成需確定構(gòu)建過程中生成的的格式自動化生成需確定構(gòu)建過程中生成的的格式件特征無人工輸入錯誤自動化簽名可審計性強(qiáng)構(gòu)建管道/工廠中生成需要額外的資源集成管道構(gòu)建管道方法易用性高軟件工廠方法可解決多開發(fā)系統(tǒng)的SBOM一致性問題生成應(yīng)匯總并識別來自所有層的所有軟件的信息應(yīng)包括容器間依賴關(guān)系、構(gòu)建時間、簽名等生成階段——構(gòu)建后適用：非自動化生成方式生成方法：填寫接近工程過程的組件數(shù)據(jù)；填寫已知的未知情況、統(tǒng)一標(biāo)識符等；使用代碼分析工具可掃描上游供應(yīng)商組件的SBOM特點：商業(yè)組件識別能力不足；5.1生成——組件范圍5.1生成——組件范圍PAGEPAGE35無論SBOM生成的階段、軟件交付的方式如何，SBOM中組件的范圍都是相同的，在SBOM中應(yīng)當(dāng)明確“已知的已知”和“已知的未知”。具體內(nèi)容軟件物料清單中的組件范圍其他外部服務(wù)調(diào)用軟件物料清單中的組件范圍其他外部服務(wù)調(diào)用依賴項軟件本身的組件運(yùn)行時依賴項、操作系統(tǒng)、動態(tài)鏈接庫、更新程序、共享庫、安裝程序部署的其他軟件、安裝程序本身應(yīng)用程序調(diào)用Internet服務(wù)、自動更新服務(wù)創(chuàng)建軟件的工具

非基線要外部服務(wù)調(diào)用枚舉可以簡化動態(tài)測試，解決網(wǎng)絡(luò)檢測警報問題，可以合理化網(wǎng)絡(luò)權(quán)限建立。求，尚在外部服務(wù)調(diào)用枚舉可以簡化動態(tài)測試，解決網(wǎng)絡(luò)檢測警報問題，可以合理化網(wǎng)絡(luò)權(quán)限建立。發(fā)展中。最佳實踐需標(biāo)注清楚是否已含 在SBOM中。5.1生成——責(zé)任分配5.1生成——責(zé)任分配PAGEPAGE36在宏觀經(jīng)濟(jì)意義上，SBOM的使用對社會各方具有廣泛效益，供應(yīng)商是擁有其組件的高質(zhì)量權(quán)威信息，并且生成和共享這些信息的成本相對較低，對生成SBOM負(fù)有主要責(zé)任。外部效應(yīng)：一項經(jīng)濟(jì)活動對非當(dāng)事人的第三者所產(chǎn)生的影響具有正向/負(fù)向效應(yīng)是，經(jīng)濟(jì)活動主體將不會承擔(dān)全部成本或占有全部收益?？扑苟ɡ恚杭醋畹统杀痉▌t，所有理性的選擇最終都會選擇成本最低的那一個選項。5.2交付——流程5.2交付——流程PAGEPAGE37SBOM的交付主要通過點對點的方式，從供應(yīng)商到消費(fèi)者進(jìn)行傳遞。供應(yīng)商交付SBOM需要特定的流程，以在正確的時間將SBOM數(shù)據(jù)傳輸給正確的人。SBOM的交付主要通過點對點的方式，從供應(yīng)商到消費(fèi)者進(jìn)行傳遞。供應(yīng)商交付SBOM需要特定的流程，以在正確的時間將SBOM數(shù)據(jù)傳輸給正確的人。供應(yīng)商共享“宣傳”消費(fèi)者獲取“發(fā)現(xiàn)供應(yīng)商共享“宣傳”消費(fèi)者獲取“發(fā)現(xiàn)”供應(yīng)商傳輸/訪問SBOM消費(fèi)者獲取SBOM“宣傳”是作者告知消費(fèi)者如何訪問SBOM的機(jī)制，消費(fèi)者要么通過一個常用存儲地址訪問，要么通過某種形式的公告；“發(fā)現(xiàn)”是指消費(fèi)者了解SBOM位置的方式，由消費(fèi)者使用，用于了解SBOM的存在以及如何訪問它的機(jī)制。它的一個重要目標(biāo)就是自動化發(fā)現(xiàn)SBOM；“訪問”是指使用“發(fā)現(xiàn)”的方法連接到SBOM。5.2交付——共享方式5.2交付——共享方式PAGEPAGE38為適應(yīng)各種軟件和設(shè)備生態(tài)系統(tǒng)的多樣性，行業(yè)內(nèi)也設(shè)計出現(xiàn)了多種SBOM共享機(jī)制。為適應(yīng)各種軟件和設(shè)備生態(tài)系統(tǒng)的多樣性，行業(yè)內(nèi)也設(shè)計出現(xiàn)了多種SBOM共享機(jī)制。URL當(dāng)SBOM被用于操作部署時，它可能會作為一個URL被包含在產(chǎn)品資料或產(chǎn)品包裝中，或者作為制造商使用說明(MUD)的一部分。SBOM可以在搜索引擎中被搜索到，也可以通過一個公開的URL從設(shè)備本身檢索到。共享SBOM示共享SBOM示例當(dāng)下游開發(fā)人員使用SBOM時，軟件包可能會包含一份寫清楚SBOM具體地址的清單。軟件包管理工具和容器也有關(guān)于清單信息地址的指南。用來說明許可要求和包裝內(nèi)容。發(fā)布/訂閱系統(tǒng)另一種共享SBOM的方法是通過發(fā)布或訂閱系統(tǒng)。這種情況下，消費(fèi)者可通過訂閱供應(yīng)商的服務(wù)來獲取即將發(fā)布的更新。5.2交付——傳輸機(jī)制5.2交付——傳輸機(jī)制訪問是指用“發(fā)現(xiàn)”的方法傳輸SBOM。這個過程首先是要檢索SBOM的位置和訪問方法。根據(jù)SBOM所在的位置，可以將傳輸機(jī)制進(jìn)行簡單劃分，但不同的機(jī)制并不是相互排斥的。此方法適用于制造商擁有 01SBOM，但缺乏自動化基礎(chǔ)設(shè)施共享它。

通過電子郵件或類似的“外帶”機(jī)制將SBOM直接提供給接收方

SBOM儲存在運(yùn)行軟件的設(shè)備上02當(dāng)SBOM備上時，可以使用多個協(xié)議中的某一個進(jìn)行檢索。SBOM儲存在運(yùn)行軟件的設(shè)備上0203SBOM儲存在軟件消費(fèi)者自有的存儲庫中SBOM可以被發(fā)布到公共或私人網(wǎng)站、數(shù)據(jù)庫、或其他可供軟件消費(fèi)者使用的共03SBOM儲存在軟件消費(fèi)者自有的存儲庫中享存儲庫中。 395.3使用SBOM—歸檔存儲5.3使用SBOM—歸檔存儲獲取到SBOM之后，具體使用場景分為獲取到SBOM之后，具體使用場景分為將SBOM數(shù)據(jù)匯入工作流程和歸檔儲存SBOM文件。將SBOM數(shù)據(jù)匯入工作流程SBOM的最佳實踐將SBOM數(shù)據(jù)匯入工作流程SBOM的最佳實踐是數(shù)據(jù)匯入企業(yè)工作流程，包括采購、資產(chǎn)管理、漏洞管理以及總體風(fēng)險管理和合規(guī)管理。在這種情況下，SBOM作為一個可以解析、提取和加載(ETL)到自動化進(jìn)程或系統(tǒng)中的數(shù)據(jù)集，比作為一個獨立的文件更加有用。

內(nèi)部開發(fā)的工具（如腳本）使用Python腳本等方法從指定的SBOM字段中提取數(shù)據(jù)并將其加載到外部數(shù)據(jù)平臺和工作流程中。從SBOM中提取數(shù)據(jù)開源軟件工具開源的包或依賴管理系統(tǒng)提供相應(yīng)的工具；用于生成列表甚至依賴樹的命令。商業(yè)工具供應(yīng)商管理平臺、配置管理系統(tǒng)、軟件保障平臺和軟件資產(chǎn)管理系統(tǒng)。405.3使用SBOM—持續(xù)檢測漏洞5.3使用SBOM—持續(xù)檢測漏洞各SBOM的最大價值來源之一是：不論供應(yīng)商在管理何種漏洞，終端用戶都能夠同步監(jiān)控漏洞。我們稱之為SBOM“信任但驗證”的能力。供應(yīng)商檢測漏洞所需的時間

這對于如果漏洞檢測是作為軟件開發(fā)管道中靜態(tài)分析的一部分，并且軟件并不是每天都信任但驗證 從檢測到漏洞到供應(yīng)商修復(fù)漏洞所需的時間如果供應(yīng)商知道存在嚴(yán)重漏洞并正在努力修復(fù)，但信任但驗證從檢測到漏洞到供應(yīng)商修復(fù)漏洞所需的時間如果供應(yīng)商知道存在嚴(yán)重漏洞并正在努力修復(fù)，但沒有通知消費(fèi)者這些漏洞存在，供應(yīng)商發(fā)布修復(fù)更新所需的時間。供應(yīng)商發(fā)布修復(fù)更新所需的時間。在沒有SBOM或信息披露通知的情況下，消費(fèi)者無法在發(fā)布修正更新之前實施補(bǔ)5.3使用SBOM—持續(xù)檢測漏洞5.3使用SBOM—持續(xù)檢測漏洞PAGEPAGE42各SBOM之間的最大區(qū)別和最大價值來源之一是：不論供應(yīng)商在管理何種漏洞，終端用戶都能夠同步監(jiān)控漏洞。優(yōu)點這種的能力可以持續(xù)監(jiān)控供應(yīng)商軟件依賴項的漏洞狀態(tài)，通過縮小消除態(tài)勢感知方面的差距生成保障連續(xù)性。對SBOM組件并行監(jiān)控或帶外監(jiān)控各SBOM之間的最大區(qū)別和最大價值來源之一是：不論供應(yīng)商在管理何種漏洞，終端用戶都能夠同步監(jiān)控漏洞。優(yōu)點這種的能力可以持續(xù)監(jiān)控供應(yīng)商軟件依賴項的漏洞狀態(tài)，通過縮小消除態(tài)勢感知方面的差距生成保障連續(xù)性。對SBOM組件并行監(jiān)控或帶外監(jiān)控為消費(fèi)者創(chuàng)建了態(tài)勢感知，并提高了供應(yīng)商對易受攻擊組件進(jìn)行安全補(bǔ)救的透明度。供應(yīng)商負(fù)責(zé)任的供應(yīng)商可能會在不刪除易受攻擊依賴項的同時，采取一些步驟修復(fù)其中的安全問題。比如通過限制函數(shù)調(diào)用或刪除子組件修復(fù)。消費(fèi)者消費(fèi)者須承認(rèn)和接受VEX文件中列舉的有效補(bǔ)救措施，而不是要求一個“干凈掃描”，不包含任何CVE。5.3使用SBOM—機(jī)密性要求5.3使用SBOM—機(jī)密性要求PAGEPAGE43消費(fèi)者是中間供應(yīng)商消費(fèi)者是中間供應(yīng)商SBOMSBOMSBOM不論SBOM是由供應(yīng)商或開源社區(qū)或其他作者生成或提供，其許可狀態(tài)都應(yīng)該明確化，最好在不論SBOM是由供應(yīng)商或開源社區(qū)或其他作者生成或提供，其許可狀態(tài)都應(yīng)該明確化，最好在SBOM內(nèi)部列舉。供應(yīng)商和承包商的軟件交付物適用于SBOM供應(yīng)商和承包商的軟件交付物適用于SBOMSBOMSBOMSBOM。開源軟件供應(yīng)商提供的SBOM一部分，此類SBOM5.4驗證SBOM-完整性與真實性5.4驗證SBOM-完整性與真實性PAGEPAGE44SBOM用戶可能會考慮驗證SBOMSBOM用戶可能會考慮驗證SBOM數(shù)據(jù)的來源并確保其未被修改。軟件的完整性和真實性通常是通過簽名和公鑰基礎(chǔ)設(shè)施來支持的。鼓勵供應(yīng)和請求SBOM的用戶探索簽署SBOM和驗證篡改檢測。——這類機(jī)制應(yīng)允許簽名既定軟件的每個組件，并允許用戶判斷簽名是否合法。完整性和真實性是很多政府機(jī)構(gòu)的優(yōu)先考慮事項，尤其是在國家安全領(lǐng)域。SBOM信息越完整，能提供的價值就越大。SBOM信息的真實性更是用戶和監(jiān)管部門關(guān)注的重點。SBOM信息越完整，能提供的價值就越大。SBOM信息的真實性更是用戶和監(jiān)管部門關(guān)注的重點。正在進(jìn)行的開源工作致力于解決開發(fā)環(huán)境中遇到的簽名元數(shù)據(jù)優(yōu)先級的問題。在今天，某些SBOM數(shù)據(jù)用戶可能還會堅持要求獲取SBOM正在進(jìn)行的開源工作致力于解決開發(fā)環(huán)境中遇到的簽名元數(shù)據(jù)優(yōu)先級的問題。在今天，某些SBOM數(shù)據(jù)用戶可能還會堅持要求獲取SBOM5.4驗證SBOM—軟件實體解析5.4驗證SBOM—軟件實體解析SBOM驗證包括格式驗證和組件驗證，常用的驗證方法是軟件實體解析，其執(zhí)行方法和名稱分配方法依具體情景和使用方法而異，用于證明SBOM的完整性和真實性。軟件實體解析執(zhí)行方法

通過查找的方式手動執(zhí)行使用腳本和人工判斷的組合自動執(zhí)行由甲方自有的或獲得商業(yè)許可的軟件實體解析引擎自動執(zhí)行

使用別名或偽標(biāo)識符手動分配名稱使用別名或偽標(biāo)識符自動分配名稱在沒有權(quán)威的外部標(biāo)識符的情況下，利用供應(yīng)商和組件級別的實體解析來制定組件名稱

軟件實體解析名稱分配在可能的情況下指定供應(yīng)商的組件在包括這些許可組件的軟件產(chǎn)品中命名一致。在可能的情況下

如果使用商業(yè)SWID在發(fā)行版、服務(wù)包和補(bǔ)丁的命名上不同于開源組件。相同版本的商業(yè)軟件可能在其組成和安全配置文件方面存在顯著不同，如果使用商業(yè)SWID在發(fā)行版、服務(wù)包和補(bǔ)丁的命名上不同于開源組件。455.4驗證SBOM—軟件實體解析5.4驗證SBOM—軟件實體解析PAGEPAGE46完整的軟件實體解析還包括對軟件組件依賴關(guān)系的解析，即軟件依賴項解析。完整的軟件實體解析還包括對軟件組件依賴關(guān)系的解析，即軟件依賴項解析。傳遞性依賴解析如果SBOM僅僅提供直接軟件依賴，完整傳遞性依賴解析如果SBOM僅僅提供直接軟件依賴，完整的軟件實體解析需要解析那些直接依賴關(guān)系，以對軟件交付物中所有傳遞依賴項進(jìn)行分類。因為易受攻擊的往往是傳遞依賴項，而且映射不是最新，也是不完整的。傳遞依賴項解析可使用開源工具或決方案來實現(xiàn)。軟件類別的監(jiān)管需求供的。除包括一個或多個由容器交付的軟件的SBOM外還應(yīng)以容器作為頂級清單，提供容器中所有組件的SBOM。定性的風(fēng)險接受程度應(yīng)該是“已知的未知”，并且可信需求的軟件功能監(jiān)管鏈需求。PAGEPAGE47總體介紹價值與用例組成要素格式與工具生命周期常見問答SBOM

SBOMSBOM的創(chuàng)建及維護(hù)SBOM的分發(fā)與分享與SBOM知產(chǎn)與保密選擇與決策行業(yè)實踐發(fā)展趨勢6.1SBOM6.1SBOM的優(yōu)勢SBOMSBOM優(yōu)勢體現(xiàn)在很多應(yīng)用場景，例如，網(wǎng)絡(luò)攻擊事件應(yīng)答、漏洞管理及其他行業(yè)等。發(fā)生網(wǎng)絡(luò)攻擊事件時，SBOM可以提供什么幫助？答：當(dāng)某個組件存在缺陷或漏洞時，SBOM可以快速識別受漏洞組件影響的軟件，評估其使用情況，并推斷由此帶來的風(fēng)險。這使供應(yīng)商能夠發(fā)布補(bǔ)丁或提供其他補(bǔ)救方案；使消費(fèi)者能夠從供應(yīng)商處自行選擇對應(yīng)的緩解措施。SBOM還能識別不受影響的軟件，這樣就能把重點放在可能受影響的軟件上。漏洞管理，SBOM還能什么？ 答：SBOM使組織中從采購者到運(yùn)營者都能清晰認(rèn)識軟件的情況。SBOM提高可視性和問責(zé)制的優(yōu)點可以為用戶帶來更多的業(yè)務(wù)優(yōu)勢，如資產(chǎn)整合、許可認(rèn)定、審查新政策和法規(guī)的影響以及及時應(yīng)對不斷變化的商業(yè)環(huán)境。物料清單和透明度在其他方面還有什么幫助？答：物料清單對汽車業(yè)、食品業(yè)和傳統(tǒng)制造業(yè)的行業(yè)改革都有助力作用。其中許多原則由豐田公司在20世紀(jì)40年代開創(chuàng)，并在越來越多的行業(yè)中持續(xù)改進(jìn)。早在2013年，金融業(yè)就已經(jīng)開始嘗試實現(xiàn)軟件上下游透明度。SBOM劃承將經(jīng)驗證原則用于代軟開發(fā)。 486.2SBOM6.2SBOM的常見誤解與事實隨著隨著SBOM越來越廣泛地應(yīng)用到開放性行業(yè)（例如金融服務(wù)和醫(yī)療保健），由此產(chǎn)生的網(wǎng)絡(luò)效應(yīng)放大了SBOM提供的初始固定收益。由此產(chǎn)生了一些誤解和擔(dān)憂，這里給出部分問題的解答。SBOM會為黑客攻擊指明方向？事實：SBOM確實會給惡意人員提供一些信息，節(jié)約了惡意人員收集信息的時間，但是SBOM帶給防御方的好處遠(yuǎn)遠(yuǎn)超過它帶來的問題。SBOM在企業(yè)范圍內(nèi)提供額外的透明度和標(biāo)準(zhǔn)的、機(jī)器可讀的決策支持，為防御方提供了公平的競爭環(huán)境。SBOM無法提供有用的信息？ 事實：基線組件信息為生產(chǎn)、選擇和操作軟件的人員提供了許多示例。在被攻擊的階段，SBOM可以幫助企業(yè)在短時間內(nèi)了解他們是否被影響了，什么地方被影響了。基線組件信息提供了重要的透明度和可審計性。SBOM是否需要公開源代碼？事實：不需要。專有源代碼仍然屬于版權(quán)所有者，版權(quán)所有者可以自行決定共享或保密。因此不必?fù)?dān)心因暴露代碼而導(dǎo)致可能操作內(nèi)部信息，這些軟件組件只是“拼圖的碎片”，完全不能近似指代某個軟件程序的“完整拼圖。 496.2SBOM6.2SBOM的常見誤解與事實SBOM是否會暴露企業(yè)的知識產(chǎn)權(quán)/商業(yè)機(jī)密？事實：SBOM只是包含的軟件組件的清單，不會公開知識產(chǎn)權(quán)(IP)，也不會披露專利和算法實現(xiàn)。SBOM內(nèi)容和IP之間的關(guān)系：1、類似于食品成分表和配方，SBOM和軟件著作權(quán)是有區(qū)別的。2、第三方開源組件的IP屬于其各自的作者或版權(quán)所有者。3、要求披露組件許可條款的情況已經(jīng)越來越普遍。4、SBOM中不包含代碼，只包含組件引用。5、合同、法律協(xié)議或其他要求可能禁止披露某些組件。SBOM是否會增加軟件的許可證違規(guī)風(fēng)險？事實：不會。只要存在被許可的軟件，就會產(chǎn)生相應(yīng)的許可義務(wù)，這些義務(wù)與SBOM無關(guān)。SBOM提供了在其他方面可能會被隱藏的軟件清單。因此，SBOM曝光了潛在的許可證違規(guī)行為，促使人們有意識地減少此類違規(guī)行為。不存在支持SBOM擴(kuò)展性的生產(chǎn)和使用流程？事實：由于行業(yè)活動的融合，商業(yè)和開源工具的列表正在不斷增加。隨著跨部門采用率的提高，流程和集成也在共同發(fā)展。SBOM機(jī)器可讀性的提高進(jìn)一步實現(xiàn)了SBOM的可擴(kuò)展性。所有這些發(fā)展和創(chuàng)新的結(jié)合為SBOM的大規(guī)模實施提供了許多選擇。SBOM會增加軟件許可成本或授權(quán)承諾嗎？事實：不會。通過創(chuàng)建SBOM所獲得的軟件信息允許制造商解決可能潛伏在軟件程序中的未知許可承諾。這允許制造商通過授權(quán)費(fèi)或獲取更有利的許可條款來解決這些問題，從而避免罰款、訴訟和許可承諾，以防暴露軟件持者的有代。 506.3SBOM6.3SBOM的創(chuàng)建及維護(hù)SBOMSBOM流程中涉及到創(chuàng)建和維護(hù)環(huán)節(jié)的責(zé)任者和時間，以及SBOM列舉的組件依賴關(guān)系程度。創(chuàng)建和維護(hù)SBOM？ 答：SBOM由軟件生產(chǎn)商負(fù)責(zé)創(chuàng)建并維護(hù)。“生產(chǎn)商”包括制造商、供應(yīng)商和個人作者。理想情況下，生產(chǎn)商應(yīng)將其供應(yīng)商提供的SBOM整合起來；在沒有SBOM數(shù)據(jù)的情況下，生產(chǎn)商可能必須為某些組件生成SBOM數(shù)據(jù)。、更改或維護(hù)SBOM？ 答：組件的每個新版本都應(yīng)創(chuàng)建一個新SBOM。當(dāng)對組件做出修改，包括添加新的上游組件，那么組件的SBOM也需要進(jìn)行相應(yīng)修改才能有效。組件更改通常包括更新、升級、發(fā)布和補(bǔ)丁。理想情況下，對組件的更改由版本字符串的更改來表示。SBOM應(yīng)該列舉的依賴關(guān)系圖需要達(dá)到什么樣的程度？答：這取決于目標(biāo)受眾和溝通媒介。在SBOM機(jī)器可讀的情況下，最小可行模型是單一層級，目標(biāo)是在鏈條上循環(huán)往復(fù)。許多用例（如FDA醫(yī)療設(shè)備網(wǎng)絡(luò)安全管理）希望SBOM能夠盡可能完整，但他們也明白構(gòu)建完整的SBOM需要時間。對于大多數(shù)用例，SBOM越完整，能產(chǎn)生的價值就越大。 516.4SBOM6.4SBOM的分發(fā)和共享透明度使軟件供應(yīng)商和用戶都能做出更好的風(fēng)險決策。這意味著透明度使軟件供應(yīng)商和用戶都能做出更好的風(fēng)險決策。這意味著SBOM應(yīng)該在正確的時間被正確的實體訪問。SBOM作者必須公開其制作的SBOM嗎？答：無強(qiáng)制性要求。SBOM的制作和共享是兩件事。SBOM作者可以自行決定是否與相關(guān)方共享。SBOM是一種選擇而不是要求，供應(yīng)商可直接提供或通過互聯(lián)網(wǎng)向買家提供每種產(chǎn)品的SBOM。享SBOM數(shù)據(jù)？ 答：由于SBOM將供大量軟件使用，共享SBOM數(shù)據(jù)的方法依不同場景而異。但SBOM數(shù)據(jù)可以通過一系列可預(yù)測和可發(fā)現(xiàn)的方式進(jìn)行宣傳、共享和訪問控制，包括：b）c）d）（MUD））；f）OpenChain)。 注：共享機(jī)制與SBOMNTIASBOM有些軟件組件是由其他軟件組件本身組成的，SBOM能否體現(xiàn)這種層次結(jié)構(gòu)？答：SBOM可以提供分層信息。如果SBOM中包含的每個組件本身也包含組件，則包含其他組件的組件應(yīng)該有自己的SBOM。將每個軟件組件所提供的SBOM組合在一起形成的SBOM，包含了充分理解軟件及其各個部分所需的所層面信息這樣成的SBOM類似產(chǎn)品造的級材清單。 526.5與SBOM6.5與SBOM有關(guān)的其他內(nèi)容PAGEPAGE53SBOMSBOM流程中涉及到創(chuàng)建和維護(hù)環(huán)節(jié)的責(zé)任者和時間，以及SBOM列舉的組件依賴關(guān)系程度。SBOM與醫(yī)療器械安全制造商披露聲明（MDS2）有什么關(guān)聯(lián)?？答：MDS2為醫(yī)療設(shè)備制造商提供了一種向醫(yī)療保健提供者披露其醫(yī)療設(shè)備安全特性的手段。負(fù)責(zé)建立和修改最新版本的MDS2工作組是NTIA-SBOM多利益相關(guān)者過程的參與者。MDS2的SBOM部分是根據(jù)這些類似經(jīng)驗而創(chuàng)造出來的。SBOM與OpenC2有什么關(guān)聯(lián)？答：OpenC2是一種用于指揮和控制網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化語言。OpenC2的部分命令可以獲取設(shè)備的SBOM、分析SBOM，并根據(jù)分析采取適當(dāng)?shù)男袆?例如，連接、修補(bǔ)、沙箱或鎖定）。SBOM與與制造商使用說明（MUD）有什么關(guān)聯(lián)？答：制造商使用說明(MUD)描述了物聯(lián)網(wǎng)設(shè)備及其功能和需求。對這些描述的擴(kuò)展可以通過指向一個URL、指示適當(dāng)?shù)谋镜貦C(jī)制或指示聯(lián)系點，告知本地部署如何找到對應(yīng)的SBOM。SBOM與數(shù)字物料清單（DBOM）有什么關(guān)系？答：數(shù)字物料清單（DBOM）是共享包括供需成員間SBOM信息在內(nèi)的數(shù)據(jù)的認(rèn)證共同主干部分。OpenC2是一種用于OpenC2是一種用于機(jī)器對機(jī)器通術(shù)的命令和控制。通過提供機(jī)器對機(jī)器通信的通用語言，OpenC2不受供應(yīng)商和應(yīng)用程序的限制，進(jìn)而實現(xiàn)了各種網(wǎng)絡(luò)安全工具和應(yīng)用程序之間的互操作性而與開發(fā)它們的廠商、編程語言和實現(xiàn)的功能無關(guān)。OpenC2OpenC2的部分命令可以獲取設(shè)備的SBOM、分析SBOM，并根據(jù)分析采取適當(dāng)?shù)男袆?例如，連接、修補(bǔ)、沙箱或鎖定）。PAGEPAGE58總體介紹組成要素生命周期

常見問答知產(chǎn)與保密選擇與決策行業(yè)實踐10.發(fā)展趨勢PAGEPAGE56知產(chǎn)與保密軟件的知識產(chǎn)權(quán)通過軟件協(xié)議彰顯，SBOM同樣也具有知識產(chǎn)權(quán)。當(dāng)供應(yīng)商不希望其SBOM被公開傳播時，還會對其SBOM制定保密協(xié)議。中間商在沿鏈條傳遞SBOM時同樣面臨兩類合規(guī)問題。軟件的知識產(chǎn)權(quán)通過軟件協(xié)議彰顯，SBOM同樣也具有知識產(chǎn)權(quán)。當(dāng)供應(yīng)商不希望其SBOM被公開傳播時，還會對其SBOM制定保密協(xié)議。中間商在沿鏈條傳遞SBOM時同樣面臨兩類合規(guī)問題。恰當(dāng)?shù)闹a(chǎn)與保密制度將SBOM視為享有專有所有權(quán)的軟件包附屬材料，受合約、談判、協(xié)議約束，而不是利用SBOM的版權(quán)來阻止SBOM的傳播與分享。“知識共享”是CreativeCommons在中國大陸地區(qū)的通用譯名，一般簡稱為CC。CC既是該國際組織的名稱縮寫，也是一種版權(quán)授權(quán)協(xié)議的統(tǒng)稱。在目前網(wǎng)絡(luò)上流行的授權(quán)許可證主要有BSD許可證及其系列、GNU系列、CopyLeft系列（這個概念包括前兩者）以及CC系列。其中，BSD和GNU恰當(dāng)?shù)闹a(chǎn)與保密制度將SBOM視為享有專有所有權(quán)的軟件包附屬材料，受合約、談判、協(xié)議約束，而不是利用SBOM的版權(quán)來阻止SBOM的傳播與分享。CreativeCommonsCC0許可證是SPDX的默認(rèn)值，按CC0許可證提供的SBOM允許附加保密協(xié)議，允許在談判達(dá)成的保密協(xié)議的許可范圍內(nèi)傳輸數(shù)據(jù)。PAGEPAGE57總體介紹組成要素生命周期常見問答

知產(chǎn)與保密選擇與決策行業(yè)實踐發(fā)展趨勢PAGEPAGE588SBOM的選擇與決策本節(jié)主要介紹本節(jié)主要介紹NTIA多利益相關(guān)方SBOM流程中出現(xiàn)的六個分類和三個維度。分類回退（-）初步共識增強(qiáng)（+）分類回退（-）初步共識增強(qiáng)（+）基本組件信息包含基礎(chǔ)組件信息屬性的核心子集