## 以SBOM为基础的 云原生应用安全治理 董毅@悬镜安全 ## 一 瓶“牛奶”——你会喝吗？  ## 安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度  ## 软件物料清单 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 - 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 - SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 ## 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； 在云原生应用的开发端及运营端均发挥作用。 ## 实践现状 ## SBOM的应用现状

Difficult to track or report on all dependencies Solution 8: Produce a Software Bill of Materials (SBOM) • Organize and list 3 $ ^{rd} $ party dependencies as individual, named packages • Produce Software Bill of Materials (SBOMs) • Two common formats: SPDX and CycloneDX A Software Bill of Materials (SBOM) is a formal record containing the details and supply chain relationships of various components used or proprietary, free or paid, and the data can be widely available or access-restricted. Source: SBOM FAQ (Cybersecurity and Infrastructure Security Agency) Benefits of SBOMs accrue to both software suppliers

Compliance Validation # Manual Guided SBOM Generation github.com/DEMCON/cmake-sbom  cmake-sbom Public Watch 4 main 2 branches Code 三 README.rst ## CMake SBOM generation This project provides a CMake module that helps generating (Produce (Build)) an NTIA-compliant Software Bill of Materials (SBOM) in SPDX for an arbitrary CMake and C/C++; and • generate a SBOM in SPDX format, based on install artifacts. The version extraction helps to get the version in the application and SBOM right. The SBOM contains the files you mention

store作为镜像存储后端（取代传统classic store路径下的graph driver体系）。这项底层革新极大增强了Docker对多架构镜像（Multi-platform）以及软件供应链安全元数据（Attestations, SBOM, Provenance）的本地支持原生性。 本章内容 快速上手 o 通过一个简单的Web应用例子，带你快速体验Docker的核心流程：构建镜像、运行容器。 什么是 Docker 介绍 Docker 解锁了对 OCI Image Index 和 Attestations（例如原生的 provenance 来源证明与 SBOM 软件物料清单）的全量本地支持。读者在执行类似 docker buildx build –provenance=mode=min –sbom=true 甚至使用后续审查工具（如 docker buildx imagetools inspect）时，其元数据能够与镜像 构建多种系统架构支持的 Docker 镜像 供应链安全与存储后端前瞻：现代软件供应链中，镜像来源证明（Provenance，在BuildKit中默认以mode=min添加）和软件物料清单（SBOM，可通过–sbom=true显式开启）已经成为极其重要的构建产出。这些Attestations数据会作为manifest附着在镜像索引(Image Index)上。正是基于此诉求，自Docker Engin

store作为镜像存储后端（取代传统classic store路径下的graph driver体系）。这项底层革新极大增强了Docker对多架构镜像（Multi-platform）以及软件供应链安全元数据（Attestations, SBOM, Provenance）的本地支持原生性。 本章内容 快速上手 o 通过一个简单的Web应用例子，带你快速体验Docker的核心流程：构建镜像、运行容器。 什么是 Docker 介绍 Docker 解锁了对 OCI Image Index 和 Attestations（例如原生的 provenance 来源证明与 SBOM 软件物料清单）的全量本地支持。读者在执行类似 docker buildx build –provenance=mode=min –sbom=true 甚至使用后续审查工具（如 docker buildx imagetools inspect）时，其元数据能够与镜像 构建多种系统架构支持的 Docker 镜像 供应链安全与存储后端前瞻：现代软件供应链中，镜像来源证明（Provenance，在BuildKit中默认以mode=min添加）和软件物料清单（SBOM，可通过–sbom=true显式开启）已经成为极其重要的构建产出。这些Attestations数据会作为manifest附着在镜像索引(Image Index)上。正是基于此诉求，自Docker Engine

store作为镜像存储后端（取代了传统的经典存储引擎如 overlay2 graph driver）。这项底层革新极大增强了Docker对多架构镜像（Multi-platform）、以及软件供应链安全元数据（Attestations，SBOM，Provenance）的本地支持原生性。 本章内容 快速上手 o 通过一个简单的Web应用例子，带你快速体验Docker的核心流程：构建镜像、运行容器。 什么是 Docker 介绍 Docker Docker 解锁了对 OCI Image Index 和 Attestations （例如原生的 provenance 来源证明与 SBOM 软件物料清单）的全量本地支持。读者在执行类似 docker buildx build –provenance=mode=min –sbom=true 甚至使用后续审查工具（如 docker buildx imagetools inspect）时，其元数据能够与镜像 构建多种系统架构支持的 Docker 镜像 供应链安全与存储后端前瞻：现代软件供应链中，镜像来源证明（Provenance，在BuildKit中默认以mode=min添加）和软件物料清单（SBOM，可通过–sbom=true显式开启）已经成为极其重要的构建产出。这些Attestations数据会作为 manifest 附着在镜像索引(Image Index)上。正是基于此诉求，自Docker Engine

modules transition ☐ Cannot declare dependencies anyway! ## CPS and software bills of materials (SBOM) • SBOM is a hot topic ☐ Ensuring software transparency • Managing open-source software and third-party security vulnerabilities Complying with legal and regulatory requirements • CPS would enable easier SBOM creation ## Problem: Not in scope for ISO C++ standard ## • Lots of people don’t understand that

Software Bill of Materials (SBOM) ☐ Vulnerability management ☐ Compliance and reporting ☐ Supply chain transparency ## • Cybersecurity Bill of Materials (CBOM) ☐ SBOM + Cybersecurity items ☐ Usually Usually interchangeable with SBOM  www.medicaldevicehq.com www.chpk.medium.com ## Software Development in Medical Devices

： • 实时态势管理，发现基于事件的错误配置； - 汇总并找到Kubernetes RBAC中的过度权限； • 防止部署不合规的工作负载，减少潜在爆炸半径； • 扫描漏洞并为运行的容器生成SBOM。  ## Nutanix推出Kubernetes 0发布，版本特性更新如下： - 支持使用Vulnerability Exploitability Exchange（VEX）对检测到的漏洞进行过滤； - 支持为虚拟机镜像生成CycloneDX和SPDX等格式的SBOM（软件物料清单）； • 支持嵌套JAR路径; - 支持通过分析文件内容来识别dpkg和Go模块的许可证类型； - 支持使用自定义的Docker socket。 ![Image](/up

对不同软件检测出来的结果进行关联分析，从而使结果更准确。例如 AVC(应用安全漏洞相关性)，主要是把SAST和IAST来源的漏洞信息，聚合进行分析，进一步确认漏洞的真实性，提供给用户最佳的修复优先级建议。 ## 引入新技术 引入SBOM提升软件供应链的安全性和透明度； 引入BAS技术提升对安全能力有效性的评估； 在IDE工具层引入安全检测，将安全进一步左移； ## 管理与技术并重 安全行业一直有 “七分管理，三分技术” 的