邮电设计技术/2023/08——————————收稿日期:2023-07-031概述随着软件在社会经济生活中越来越广泛地应用,软件供应链安全问题日益引起人们的重视。为了实现软件的快速开发和应用,当前软件绝大部分都是采用组件组装而成,且随着开源文化的兴起,开源组件在软件中的使用比例迅速升高。开源组件的引入虽然加快了软件开发与迭代效率,同时也将开源的安全问题引入了软件供应链[1]。针对当前开源软件的大量使用,攻击者会通过网络工具、下载投毒、代码污染、漏洞利用等供应链攻击手段对企业的软件系统进行破坏性攻击[2]。近几年此类攻击事件频发,攻击手段多样,其中影响巨大的安全事件有SolarWinds攻击、RealtekWi-FiSDK漏洞、ApacheLog4j2漏洞等,这些事件都给企业和用户带来了重大的损失。为了解决上述软件供应链的安全问题,涌现出许多新的软件安全治理方法,其中一种基于软件物料清单(SoftwareBillofMaterials,SBOM)的软件治理方法得基于SBOM的软件安全治理实践PracticeofSoftwareSecurityGovernanceBasedonSBOM关键词:SBOM;软件供应链;安全治理;开源组件doi:10.12045/j.issn.1007-3043.2023.08.003文章编号:1007-3043(2023)08-0009-05中图分类号:TN915.08文献标识码:A开放科学(资源服务)标识码(OSID):摘要:当今高度信息化和数字化时代,软件已经成为人们生活和工作中不可或缺的重要组成部分。随着软件产业的快速发展和安全事件频繁发生,软件自身的安全问题已经成为当下亟待解决的重大问题。针对这一挑战,越来越多的企业和组织开始关注软件安全治理,其中基于SBOM的软件安全治理方案效果显著,得到了越来越多的关注和实践。Abstract:Intoday'shighlyinformationizedanddigitizedage,softwarehasbecomeanessentialandintegralpartofpeople'sdailylifeandwork.Duetothefastdevelopmentofthesoftwareindustry,andfrequentoccurrenceofsecurityincidents,softwaresecurityissueshavebecomeamajorproblemthaturgentlyneedstobesolved.Toaddressthischallenge,moreandmoreenterprisesandorganizationsarefocusingonsoftwaresecuritygovernance.Amongthem,thesoftwaresecuritygovernancesolutionbasedonSBOMhasshownsignificanteffectivenessandgainedmoreattentionandpractice.Keywords:SBOM;Softwaresupplychain;Securitygovernance;Open-sourcecomponent王戈1,2,郭新海1,2,刘安1,2,丁攀1,2,蓝鑫冲1...
