鑽石舞台

Log4j 廣泛應用於各種應用程序中如 Minecraft、運行蘋果 iCloud 和 Amazon Web Services 的基礎設施服務器等不一而足，其中的漏洞可導致攻擊者控制運行該工具的設備。它是繼 SolarWinds、REvil和Urgent/11 等一系列軟件供應鏈攻擊後的又一最新案例。

在面對這些安全威脅時，開發人員還仍然需要快速高效地交付應用程序，從而導致對第三方代碼和開源庫如Log4j 的使用更加頻繁。為了避免犧牲安全性，組織機構越來越依靠可生成軟件物料清單的技術。

和企業中的任何物料一樣，SBOM 定義了製成品的組件，因此如果檢測到問題，可解決根本原因並將破壞最小化。SBOM 被視作軟件供應鏈的根本，它們可使開發人員構建更安全的應用程序，為安全團隊提供威脅情報並使IT部門維護更加彈性的環境。

SBOM 的三個「D」

SBOMs 在軟件開發生命周期 (SDLC) 的三個不同階段即開發、交付和部署提供了寶貴的洞察。

開發 (Develop)：對於必須按照業務和預算前進的組織機構而言，從零開始構建程序代價高昂、耗時並不切實際。近五年來，物聯網項目所使用的自研代碼已縮減到50%，且這個比例將繼續縮減。

開發人員必須使用第三方和開源組件迎頭趕上，而且雖然將組件測試集成到工作流中是一種最佳實踐，但開發人員經常會信任這些組件。在這個階段生成SBOM使得開發團隊對這些組件的可見性提高，因此能夠發現已知漏洞 (Nday) 或0day 漏洞，並確保所使用的項目是受到許可的更新版本。

例行分析組件並生成SBOM 可使開發團隊了解是否符合質量和安全標準，同時主動管理組件庫。

交付 (Deliver)：新冠肺炎疫情期間網絡犯罪活動的激增使人們聚焦安全，因此軟件開發團隊和廠商相當於在槍口下交付符合更嚴苛標準的產品。當前使用的太多軟件都可成為潛伏在第三方代碼中的未知漏洞的獵物，因此必須徹底檢查新產品，滿足質量保證標準。Osterman Research 分析商用現成軟件後發現，所有程序中都包含開源組件和漏洞；85%的程序所使用的開源組件中包含嚴重漏洞。

在發布和部署前，應該對編譯軟件進行安全保證檢查，生成SBOM。在這個階段，掃描可識別開源軟件的使用並檢查需要修復或緩解的漏洞。這是保證上市軟件儘可能安全以及不含已知漏洞的關鍵步驟，它成為要求只是時間問題。

為應對近年來發生的供應鏈網絡安全事件，美國總統在2021年發布網絡安全行政令，將SBOM視作有效的網絡安全工具。該行政令強制要求和聯邦政府有往來的軟件廠商需要提供SBOM，並將此作為最佳實踐指南的一部分通過NIST推薦給所有企業。同時，很多行業開始要求廠商在交付關鍵產品如醫療設備和基礎設施控制時提供SBOM。

部署 (Deploy)：由於辦公室打印機、關鍵系統等均通過物聯網連接，因此找到並利用漏洞就是一個更大的攻擊面。隨着更多進程變得數字化，很多企業都向需要運行數字化的軟件增加了預算；Gartner 預測稱，2022年企業軟件的支出將接近6700億美元，每年增長11.5%。

軟件開發人員和廠商雖然一直都在改進安全軟件交付實踐，但企業網絡安全團隊是確保商業軟件安全部署的最終負責人。他們必須信任、驗證並生成自己的SBOM。

通過分析所購軟件，信息安全團隊可了解所在組織機構已經在使用或者正在考慮使用的軟件，從而改進安全態勢，做出更加智能的決策並提高對Log4j 等漏洞的威脅響應速度。

好在，由於軟件成分分析（SCA）技術的存在，任何組織機構均可創建SBOM。SCA工具可通過源代碼分析或二進制分析生成SBOM。二進制SCA工具分析編譯代碼，即組織機構交付和部署的實際製成軟件。這樣，無需訪問源代碼和掃描應用程序中的軟件組件、庫和程序包即可生成SBOM。

隨着供應鏈攻擊的頻率和複雜度不斷提高，SBOM在識別並緩解組織機構開發、交付或部署的軟件中的安全風險能力不可被低估。