目前位置: 首頁 > 最新消息
:::

最新消息

軟體物料清單SBOM發展趨勢 [趨勢新知]
種類:其他公告  發布單位:產業技術司  發布日期:2024-02-07 16:30
作者:楊淳安/資策會MIC

一、SBOM發展背景

過去常聽到的物料清單(Bill of Materials, BOM)多用於生產製造業領域,根據維基百科定義,物料清單是指為了製造最終產品所使用的文件,內容記載著原物料、加工流程、半成品與成品數量等資訊,通常作為生產雙方聯繫或公司內部溝通的文件。軟體物料清單(Software Bill of Materials, SBOM)則記載著軟體成分組成、版本、供應鏈關係等相關資訊,透過資訊揭露,讓軟體品質檢核能更加透明化,保障採購方的權益。

二、SBOM基本定義與技術概要

美國國家電信暨資訊管理局(National Telecommunications and Information Administration, NTIA)根據美國總統拜登發布之《改善國家網路安全》行政命令,建立最低標準SBOM基本規範,總共涵蓋七大規範內容:供應商名稱、軟體套件名稱、套件版本、其他可識別套件之ID、軟體供應鏈關係、SBOM產表作者以及SBOM產表時間。為了建立機器可讀的資料格式,NTIA進一步要求SBOM必須符合SPDX、SWID或CycloneDX任一格式,透過標準化格式及自動化比對功能,可避免各軟體廠商使用不同的SBOM而無法互相檢驗。

三、SBOM發展趨勢

(一)趨勢一、SBOM將促使被動更新逐步走向主動檢驗

根據雲原生基金會調查顯示,2022年全球約88%企業在開發部署過程中會使用容器,其中,又有過半數以上企業會使用K8s管理容器的調度。然而,容器與K8s是開源軟體,程式碼易藏有漏洞,導致近五成企業擔心使用容器與K8s帶來的資安風險。因此,開源社群Docker於2022年推出容器映像檔自動附帶SBOM功能,藉由檢驗容器成分與漏洞掃描,降低軟體供應鏈威脅。K8s開源專案亦致力於推動安全機制,依循Docker作法自動產出SBOM。

(二)趨勢二、軟體定義萬物下,SBOM可能成為具產業共識資安標準

所謂軟體定義(Software-Defined)是指運用軟體賦能硬體,實現軟體高度整合,例如:軟體定義汽車(Software-Defined Vehicle)指運用軟體升級汽車功能和滿足個人化需求、軟體定義萬物(Software-Defined Everything)指軟體控制各產業、各類型的硬體裝置。當產業領域結合SBOM時,可用於檢視汽車軟體漏洞,協助業者自動化管理資安風險,實現自動化基礎設施安全,帶來產業的創新應用。

四、結論與建議

在SBOM發展背景與技術方面,美國政府為了回應國際頻傳的重大資安事件,發布《改善國家網路安全》行政命令,NTIA也根據行政命令制定最低標準的SBOM,以及SPDX、SWID和CycloneDX等三種標準且機器可讀的格式,希望藉此有系統地推動SBOM。

點閱數19
更新日期:2020-04-28

回上一頁 回首頁