SCA技术进阶系列四DSDXSBOM
一、SBOM的发展趋势
数字时代,软件已经成为维持生产生活正常运行的必备要素之一。随着容器、中间件、微服务、DevOps等技术理念的演进,软件行业快速发展,但同时带来软件设计开发复杂度不断提升,软件供应链愈发复杂,软件整体透明度下降,软件供应链安全防护难度不断加大。
由于缺少对软件资产的最小要素管理,每当环境中出现新的漏洞时,我们通常需要花费大量时间和精力来检测环境中运行的应用程序和服务的真正影响。如果我们可以枚举我们使用和生产的所有软件组件,并且轻松地分发和使用它,那么就可以极大地提高对软件资产的精细管理,以及对突发漏洞的影响面快速定位分析。
SBOM可以帮助我们解决以上问题。
开源社区十多年前开源社区就注意到创建SBOM的必要性,年SPDX开放标准开始作为解决该问题的初步方案。
图一数字供应链下愈发复杂的应用资产SBOM是为了提升供应链透明度而记录其软件组成等信息的工程文件,对降低供应链维护和保障的工作量及难度意义重大。随着软件供应链安全成为
