以SBOM 为基础的 云原生应用安全治理 董毅@悬镜安全 一瓶“牛奶”——你会喝吗？ 安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度 软件物料清单 • 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面 发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 SBOM的应用现状 云原生基于“责任自负”的开源世界 云原生开源应用漏洞 OpenSCA扫描结果 h********r-main p********s-main c**********a-main 云原生时代下的软件供应链攻击

Compliance ValidationManual Guided SBOM Generation github.com/DEMCON/cmake-sbomSBOMs generation include(sbom) sbom_generate( OUTPUT ${CMAKE_INSTALL_PREFIX}/sbom-${GIT_VERSION_PATH}.spdx LICENSE MIT TARGETS app EXPORT "${targets_export_name}" RUNTIME DESTINATION "bin" ) sbom_add(TARGET app) sbom_finalize()Automatic SBOM Generation for your dependencies github.com/tipi-build/cmake-tipi-providerBuild

Difficult to track or report on all dependencies Solution 8: Produce a Software Bill of Materials (SBOM) •Organize and list 3rd party dependencies as individual, named packages •Produce Software Bill Bill of Materials (SBOMs) •Two common formats: SPDX and CycloneDXA Software Bill of Materials (SBOM) is a formal record containing the details and supply chain relationships of various components used in or proprietary, free or paid, and the data can be widely available or access-restricted. Source: SBOM FAQ (Cybersecurity and Infrastructure Security Agency)Benefits of SBOMs accrue to both software suppliers

• Software Bill of Materials (SBOM) o Vulnerability management o Compliance and reporting o Supply chain transparency • Cybersecurity Bill of Materials (CBOM) o SBOM + Cybersecurity items o Usually Usually interchangeable with SBOM www.chpk.medium.comIs regulatory compliance enough? Software Development in Medical Devices 18 ❖ Standards are generic, high level, no specificity and prescriptiveness ❖

modules transition ○ Cannot declare dependencies anyway! 36CPS and software bills of materials (SBOM) ● SBOM is a hot topic ○ Ensuring software transparency ○ Managing open-source software and third-party security vulnerabilities ○ Complying with legal and regulatory requirements ● CPS would enable easier SBOM creation 37Problem: Not in scope for ISO C++ standard ● Lots of people don’t understand that ●

• 实时态势管理，发现基于事件的错误配置； • 汇总并找到Kubernetes RBAC中的过度权限； • 防止部署不合规的工作负载，减少潜在爆炸 半径； • 扫描漏洞并为运行的容器生成SBOM。 OpenSIL的目标不是取代UEFI，而是集成在 其他主固件中，比如核心启动、重启、Forti- BIOS，可以与主固件静态链接，绕过任何主 固件协议。 Google、AWS（亚马逊）、Meta（Face- 0发布，版本特性更新如下： • 支持使用Vulnerability Exploitability Exchange（VEX）对检测到的漏洞进行 过滤； • 支持为虚拟机镜像生成CycloneDX和SPDX 等格式的SBOM（软件物料清单）； • 支持嵌套JAR路径； • 支持通过分析文件内容来识别dpkg和Go模 块的许可证类型； • 支持使用自定义的Docker socket。 全球开源态势洞察｜第十期 06

AVC(应用安全漏洞 相关性)，主要是把SAST和 IAST来源的漏洞信息，聚合进 行分析，进一步确认漏洞的真 实性，提供给用户最佳的修复 优先级建议。 加强安全能力融合 引入新技术 引入SBOM提升软件供应链的 安全性和透明度； 引入BAS技术提升对安全能力 有效性的评估； 在IDE工具层引入安全检测， 将安全进一步左移； 持续提升计划 管理与技术并重 安全行业一直有“七

是两个此类工具。我们建议管理复杂基础设施的团队在为组织设计安全策略或选择安全分析工具时考虑这 项技术。 5. 自动合并依赖项更新 PR 试验 软件供应链的复杂性是一个重大风险，我们已经在一些文章中进行过讨论，例如 SBOM 与 SLSA。对于大多数 团队来说，致命弱点仍然是依赖项中存在漏洞，通常是来自于多层的间接依赖项。Dependabot 等工具可以通 过创建拉取请求（PR）来更新依赖项。不过，团队仍然需要制定工程纪律，以确保及时处理这些

Further, it has excellent capabilities such as RPM software package retrieval, metadata analysis, SBOM and supply chain analysis, and security and compliance risk analysis, providing one-stop access

2022年美团技术年货 如何应对开源组件风险？软件成分安全分析 （SCA）能力的建设与演进 作者：中文 1. 前言 SCA 概念出现其实很久了。简单来说，就是针对现有的软件系统生成粒度非常细 的 SBOM（Software Bill of Materials 软件物料单）清单，然后通过风险数据去匹 配有没有存在风险组件被引用。目前，市面上比较出色的商业产品包括 Synopsys 的 Blackduck 体系，覆盖从引入 - 开发 - 编译 - 部 署 - 使用的全生命流程，做到真正意义上的 Secure-by-Default。 从纵向来看，我们需要在研发流程的框架下尽可能全地理清整个系统的 SBOM 级的 数据依赖情况。同时从横向来看，我们还需要保证目前收集到的组件相关的风险数据 和极限数据所覆盖的技术栈足够的全面和准确。恰好这两部分能力是 SCA 能力中比 较核心的两个能力，也就说明了