最新消息

作者:楊淳安/資策會MIC

一、SBOM發展背景

過去常聽到的物料清單(Bill of Materials, BOM)多用於生產製造業領域，根據維基百科定義，物料清單是指為了製造最終產品所使用的文件，內容記載著原物料、加工流程、半成品與成品數量等資訊，通常作為生產雙方聯繫或公司內部溝通的文件。軟體物料清單(Software Bill of Materials, SBOM)則記載著軟體成分組成、版本、供應鏈關係等相關資訊，透過資訊揭露，讓軟體品質檢核能更加透明化，保障採購方的權益。

二、SBOM基本定義與技術概要

美國國家電信暨資訊管理局(National Telecommunications and Information Administration, NTIA)根據美國總統拜登發布之《改善國家網路安全》行政命令，建立最低標準SBOM基本規範，總共涵蓋七大規範內容：供應商名稱、軟體套件名稱、套件版本、其他可識別套件之ID、軟體供應鏈關係、SBOM產表作者以及SBOM產表時間。為了建立機器可讀的資料格式，NTIA進一步要求SBOM必須符合SPDX、SWID或CycloneDX任一格式，透過標準化格式及自動化比對功能，可避免各軟體廠商使用不同的SBOM而無法互相檢驗。

三、SBOM發展趨勢

(一)趨勢一、SBOM將促使被動更新逐步走向主動檢驗

根據雲原生基金會調查顯示，2022年全球約88%企業在開發部署過程中會使用容器，其中，又有過半數以上企業會使用K8s管理容器的調度。然而，容器與K8s是開源軟體，程式碼易藏有漏洞，導致近五成企業擔心使用容器與K8s帶來的資安風險。因此，開源社群Docker於2022年推出容器映像檔自動附帶SBOM功能，藉由檢驗容器成分與漏洞掃描，降低軟體供應鏈威脅。K8s開源專案亦致力於推動安全機制，依循Docker作法自動產出SBOM。

(二)趨勢二、軟體定義萬物下，SBOM可能成為具產業共識資安標準

所謂軟體定義(Software-Defined)是指運用軟體賦能硬體，實現軟體高度整合，例如：軟體定義汽車(Software-Defined Vehicle)指運用軟體升級汽車功能和滿足個人化需求、軟體定義萬物(Software-Defined Everything)指軟體控制各產業、各類型的硬體裝置。當產業領域結合SBOM時，可用於檢視汽車軟體漏洞，協助業者自動化管理資安風險，實現自動化基礎設施安全，帶來產業的創新應用。

四、結論與建議

在SBOM發展背景與技術方面，美國政府為了回應國際頻傳的重大資安事件，發布《改善國家網路安全》行政命令，NTIA也根據行政命令制定最低標準的SBOM，以及SPDX、SWID和CycloneDX等三種標準且機器可讀的格式，希望藉此有系統地推動SBOM。