Linux基金会发布软件材料清单 (SBOM) 状态和网络安全准备报告

Linux 基金会的新数据探讨了 SBOM 的进展和采用，以解决网络安全问题

加利福尼亚州旧金山——2022 年 2 月 1 日——Linux 基金会是一个通过开源实现大规模创新的非营利组织，它与 OpenSSF、SPDX 和 OpenChain 合作，今天宣布了一系列研究项目中的第一个，以了解确保软件供应链安全的挑战和机遇。“软件材料清单状态和网络安全准备”报告了组织 SBOM 的准备程度和与网络安全努力相关的采用程度。这项研究紧随美国政府关于改善国家网络安全的行政命令和最近的白宫开源安全峰会之后。与此同时，全球越来越认识到识别软件组件和帮助加快对新发现的软件漏洞的响应的重要性。

“SBOM 不再是可有可无的。我们的 Linux 基金会研究团队透露，78%的组织预计在 2022 年生产或使用 SBOM。”Linux 基金会执行董事 Jim Zemlin 说。“随着新的 ISO 标准（5962）或白宫行政命令的发布，企业加快了 SBOM 的采用，这不仅提高了他们的软件质量，他们也更好地防范了新的开源漏洞披露（如与 log4j 相关的漏洞）带来的敌对攻击。”

SBOM 是一种正式的、机器可读的元数据，它唯一地标识一个软件组件及其内容；它还可能包括版权和许可数据。SBOM 被设计成在组织之间共享，并且特别有助于提供软件供应链中参与者交付的组件的透明度。许多关注应用程序安全性的组织正在将 SBOM 作为其网络安全战略的基石。

报告分析了调查参与者的主要发现，包括：

• 82%的人熟悉软件物料清单（SBOM）这个术语

• 76%的员工积极处理 SBOM 的需求

• 47%正在生产或消费 SBOM

• 78%的组织预计在 2022 年生产或消费 SBOM，比前一年增加 66%

此外，受访者还透露了生产 SBOM 的三大好处：

• 51%的人表示，开发人员更容易理解应用程序中组件之间的依赖关系

• 49%的用户表示更容易监控组件的漏洞

• 44%的人指出，管理许可证遵从性更容易。

Linux 基金会的研究人员还透露，额外的行业共识和政府政策将有助于推动 SBOM 的采用和实施。研究人员指出：

• 62%的人正在寻求更好的行业共识，如何将 SBOM 的生产/消费整合到他们的 DevOps 实践中

• 58%的人希望就将 SBOM 整合到他们的风险和合规流程中达成共识

• 53%的人希望业界能就 SBOM 的发展和改进达成更好的共识

• 全世界 80%的组织都知道白宫关于改善网络安全的行政命令

• 76%的人认为行政命令的直接后果是改变

最后，研究参与者揭示了他们用来对开发人员将使用的开源软件组件进行优先排序的最重要的属性：安全性排名最高，其次是许可遵从性。

Linux 基金会研究部在 2021 年第三季度对组织 SBOM 的准备和采用进行了全球范围的实证研究。共有来自世界各地的 412 家机构参与了 65 个问题的调查。该报告的作者是 Linux 基金会研究部副总裁 Stephen Hendrick。Linux 基金会也优先研究帮助集体理解网络安全挑战的范围，这是一系列核心研究项目中的第一个，探索与实施网络安全最佳实践和标准采用相关的重要问题，从 SBOM 准备情况的研究开始。

Linux 基金会支持大量的开放源码 SBOM 和安全相关的计划，包括开源安全基金会^[1]（OpenSSF）、SPDX^[2]（ISO/IEC 5962^[3]）、sigstore^[4]、Let"s Encrypt^[5]、in-toto^[6]、The Update Framework^[7]（TUF）、Uptane^[8]和OpenChain（ISO 5230）^[9]。

额外资源

• 下载软件材料清单状态和网络安全准备报告^[10]

• 请观看2 月 1 日的网络研讨会^[11]，了解软件材料在网络安全准备中的作用

• 加入 6 个OpenSSF 工作小组^[12]中的一个，以帮助提高开源安全性

• 阅读SPDX 作为 SBOM 的 ISO 标准^[13]

• 获得关于生成免费软件材料清单的免费培训^[14]

• 获得安全软件开发专业人员的认证^[15]

参考资料

[1] 开源安全基金会: https://openssf.org/

[2] SPDX: https://spdx.dev/

[3] ISO/IEC 5962: https://www.iso.org/standard/81870.html

[4] sigstore: https://www.sigstore.dev/

[5] Let"s Encrypt: https://letsencrypt.org/

[6] in-toto: https://in-toto.io/

[7] The Update Framework: https://theupdateframework.io/

[8] Uptane: https://uptane.github.io/

[9] OpenChain（ISO 5230）: https://www.openchainproject.org/

[10] 软件材料清单状态和网络安全准备报告: https://www.linuxfoundation.org/tools/the-state-of-software-bill-of-materials-sbom-and-cybersecurity-readiness

[11] 2 月 1 日的网络研讨会: https://www.youtube.com/watch?v=_Dfz-nYEzvQ

[12] OpenSSF 工作小组: https://github.com/ossf

[13] SPDX 作为 SBOM 的 ISO 标准: https://www.linuxfoundation.org/featured/spdx-becomes-internationally-recognized-standard-for-software-bill-of-materials/

[14] 免费培训: https://training.linuxfoundation.org/training/generating-a-software-bill-of-materials-sbom-lfc192/?utm_source=openssf&utm_medium=pr&utm_campaign=lfc192

[15] 认证: https://www.edx.org/professional-certificate/linuxfoundationx-secure-software-development-fundamentals?utm_medium=partner-marketing&utm_source=press&utm_campaign=openssf&utm_content=pressrelease-securedevelopmentpc

声明：本文来自LFAPAC，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。