sbom专题

Gartner发布SBOM软件物料清单创新洞察:SBOM的三种标准、五个应用场景及实施成功的四个关键

软件物料清单可提高软件供应链中专有代码和开源代码的可见性、透明度、安全性和完整性。为了实现这些优势,软件工程领导者应在整个软件交付生命周期中集成 SBOM。 主要发现 软件供应链中专有和开源依赖关系缺乏可见性和透明度,加剧了安全和合规风险。 软件工程团队通常缺乏工具、实践和标准来系统地发现和共享整个组织内易受攻击的软件包的详细信息。 保持软件物料清单 (SBOM) 数据与相应的软件工

从欧盟弹性法案看软件物料清单(SBOM)

随着网络安全意识的提升和相关法规的推动,SBOM在国际上网络安全实践中的重要性日益凸显。 例如:美国国土安全部(DHS)的 “软件供应链评估工具包”(SCAT)就鼓励软件供应商提供SBOM,以帮助买方评估软件的安全性;美国医疗器械上市FDA认证中,SBOM已成为重要的审核维度;欧盟网络安全局(ENISA)也在其发布的多份报告中强调了SBOM在提高网络安全透明度和促进供应链安全中的作用。 美国相

医疗器械软件如何生成符合FDA要求的SBOM文件?

在当今这个高度互联的世界,医疗器械的安全性和可靠性对于保障公众健康至关重要。FDA作为美国食品和药物的主要监管机构,长期以来一直致力于确保医疗器械的安全性和有效性。 2023年9月27日,美国食品和药品监督管理局(后续简称FDA)发布了《医疗器械的网络安全指南:质量体系需考虑的因素和上市前需提交的材料》。医疗器械产品设备进入美国市场前,需提交用于证明设备有效性及安全性的材料(即上市前提交材料)。

「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解

CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。 1. 概览 OWASP CycloneDX是一个全栈物料清单(BOM)标准,为降低网络风险提供先进的供

软件物料清单(SBOM)生成指南 .pdf

如今软件安全攻击技术手段不断升级,攻击数量显著增长。尤其是针对软件供应链的安全攻击,具有高隐秘性、追溯难的特点,对企业软件安全威胁极大。 同时,软件本身也在不断地更新迭代,软件内部成分安全性在持续变化浮动。如果软件内部组件来源、开源许可等信息的安全态势不清晰,将无法及时洞察到安全威胁,导致风险加剧。 软件物料清单(SBOM)的价值由此凸显。 国际上,已经很多国家把SBOM作为网络设备上市的安

「 网络安全常用术语解读 」SBOM主流格式SPDX详解

SPDX(System Package Data Exchange)格式是一种用于描述软件组件(如源代码)的规范,它提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。SPDX最初由Linux基金会于2010年发起,是一个跨行业的合作项目,旨在促进软件供应链的透明度和合规性。本文将介绍SPDX格式的背景、应用现状及主要内容。 1. 背景 SPDX(Syste

【解读】保障软件供应链安全:SBOM推荐实践指南(含指南获取链接)

2023年11底,美国NSA(National Security Agency)、CISA(Cybersecurity and Infrastructure Security Agency)等多个政府机构部门组成的ESF(Enduring Security Framework,持久安全框架)工作组联合发布了《保障软件供应链安全:SBOM推荐实践指南》(Securing the Software

JFrog----SBOM清单包含哪些:软件透明度的关键

文章目录 SBOM清单包含哪些:软件透明度的关键引言SBOM清单的重要性SBOM清单包含的核心内容SBOM的创建和管理结论 软件物料清单(SBOM)是一个在软件供应链安全中越来越重要的组成部分。它基本上是一份清单,详细列出了在特定软件产品或服务中使用的所有组件,包括开源和专有软件。下面是一篇围绕SBOM清单包含内容的技术文章。 SBOM清单包含哪些:软件透明度的

SBOM 指南: 是什么及其作用

在软件开发的动态格局中,过去十年见证了两次重新定义了行业轨迹的变革性转变。首先是广泛采用开源软件组件,为开发人员提供大量预先构建的模块,以简化他们的工作。第二个是与DevOps文化的拥抱,自动化和加速软件构建和交付过程。总之,这些转变带来了前所未有的效率和速度。然而,他们也引入了复杂性的迷宫,软件组成变得越来越复杂和不透明。  这种复杂性,再加上现代开发周期无情的步伐,产生了一种迫切需要的解