SBOM (Biểu kê vật liệu Software ) đóng vai trò là yếu tố nền tảng trong việc đảm bảo tính toàn vẹn của các thành phần phần mềm—có nguồn gốc từ những nỗ lực phát triển phần mềm sớm nhất để ghi lại các phụ thuộc nguồn mở vào những năm 1990. SBOM giúp các tổ chức theo dõi các thành phần trong ngăn xếp ứng dụng phần mềm của họ và duy trì sự tuân thủ các quy định của ngành. Khi hệ sinh thái phần mềm ngày càng phức tạp, việc áp dụng các định dạng SBOM chuẩn hóa trở nên cần thiết để cải thiện tính bảo mật và khả năng tương tác.
- Định nghĩa SBOM
- Tiêu chuẩn SBOM là gì?
- Định dạng SBOM là gì?
- Các thành phần chính của SBOM
- Định dạng SPDX SBOM
- Định dạng SBOM của CycloneDX
- Định dạng CycloneDX so với SPDX
- Khám phá thẻ SWID
- Tầm quan trọng của Software Danh mục vật liệu
- So sánh các định dạng SBOM
- Các định dạng khác liên quan đến SBOM
- Kết thúc
- Các bước tiếp theo
Định nghĩa SBOM
MỘT Software Bill of Materials (SBOM) là một danh mục toàn diện của tất cả các thành phần trong một ứng dụng phần mềm, bao gồm các thành phần phần mềm độc quyền, mã nguồn mở và của bên thứ ba. Nó cung cấp siêu dữ liệu chi tiết như tên phần mềm, phiên bản, nhà cung cấp, thông tin giấy phép và hàm băm mật mã để xác minh.
Bằng cách cung cấp khả năng hiển thị đầy đủ vào các phụ thuộc phần mềm, SBOM nâng cao tính minh bạch của chuỗi cung ứng, cho phép vulnerability detection và hỗ trợ tuân thủ quy định. Họ giúp các tổ chức giảm thiểu rủi ro bảo mật, hợp lý hóa việc kiểm toán và cải thiện phản ứng sự cố bằng cách xác định và giải quyết các mối đe dọa tiềm ẩn trong hệ sinh thái phần mềm của họ.
Tiêu chuẩn SBOM là gì?
Tiêu chuẩn SBOM (danh sách vật liệu phần mềm) đảm bảo tính nhất quán và khả năng tương tác giữa các ngành và tổ chức khác nhau bằng cách cung cấp một khuôn khổ thống nhất để ghi lại các thành phần phần mềm. Các tiêu chuẩn này giúp các doanh nghiệp hợp lý hóa việc quản lý lỗ hổng, tuân thủ các yêu cầu quy định đang thay đổi và tạo điều kiện cho sự hợp tác liền mạch giữa các nhà sản xuất phần mềm, nhà cung cấp và người dùng cuối.
Bằng cách áp dụng các định dạng SBOM chuẩn hóa, các tổ chức có thể cải thiện tính bảo mật của chuỗi cung ứng phần mềm , giảm nguy cơ giả mạo phần mềm và tăng cường tính minh bạch tổng thể của phần mềm.
Định dạng SBOM là gì?
Định dạng SBOM là các lược đồ chuẩn hóa, có thể đọc bằng máy được sử dụng để cấu trúc và chia sẻ dữ liệu chứa trong SBOM. Các định dạng này xác định cách các chi tiết thành phần phần mềm được thể hiện và trao đổi giữa các hệ thống.
Các định dạng SBOM được sử dụng rộng rãi nhất bao gồm SPDX và CycloneDX , cả hai đều hỗ trợ tự động hóa, khả năng tương tác và khả năng truy xuất trong suốt vòng đời phần mềm. Các định dạng này cho phép cải thiện vulnerability detection , tuân thủ quy định và quản lý rủi ro chuỗi cung ứng bằng cách đảm bảo ghi chép nhất quán các thành phần phần mềm.
Các thành phần chính của SBOM
Để có hiệu quả, SBOM phải chứa các thành phần chính cung cấp tính minh bạch hoàn toàn cho một gói phần mềm. NTIA (Cơ quan quản lý thông tin và viễn thông quốc gia) của Hoa Kỳ định nghĩa bảy thành phần tối thiểu cho SBOM :
- Chi tiết nhà cung cấp: Xác định thực thể chịu trách nhiệm về phần mềm.
- Tên Software và thành phần: Xác định thành phần phần mềm.
- Thông tin phiên bản: Chỉ định chi tiết bản phát hành của thành phần.
- Tên tác giả: Cá nhân hoặc tổ chức (nhưng không phải công cụ) đã tạo báo cáo SBOM.
- Mối quan hệ thành phần: Mô tả sự phụ thuộc và tương tác giữa các thành phần phần mềm.
- Dấu thời gian: Một phần của siêu thông tin SBOM chỉ rõ ngày và giờ báo cáo được tạo.
- Các Mã định danh duy nhất khác: Cung cấp thông tin bổ sung để xác định các thành phần phần mềm
Các thành phần thiết yếu khác bao gồm:
- Loại SBOM: Cung cấp bối cảnh về cách thức và lý do tại sao cần có báo cáo SBOM.
- Thông tin giấy phép: Xác định quyền sử dụng phần mềm.
- Băm mật mã: Đảm bảo tính toàn vẹn và xác thực của các thành phần.
Định dạng SPDX SBOM
Định dạng Software Package Data Exchange (SPDX) , do Linux Foundation phát triển, là một tiêu chuẩn SBOM được sử dụng rộng rãi được thiết kế để tạo điều kiện tuân thủ giấy phép nguồn mở và theo dõi thành phần phần mềm. Nó cung cấp một cách có cấu trúc để ghi lại các thành phần phần mềm và siêu dữ liệu liên quan của chúng, khiến nó trở thành một công cụ thiết yếu cho tính minh bạch và bảo mật của phần mềm.
Ngoài ra, SPDX là định dạng đã nhận được chứng nhận ISO (Tổ chức tiêu chuẩn hóa quốc tế), khiến nó trở thành định dạng đáp ứng các yêu cầu về tiêu chuẩn hóa và đảm bảo chất lượng.
Tài liệu định dạng SPDX chứa một số thành phần chính:
Thông tin gói hàng
Mô tả gói, có thể bao gồm một hoặc nhiều tệp – bao gồm mã nguồn, tệp nhị phân, tài liệu, v.v. Các loại thông tin khác bao gồm thông tin chi tiết về tác giả gốc, nguồn, URL tải xuống, tổng kiểm tra và bản quyền tổng quan .
Siêu dữ liệu cấp độ tệp
Chi tiết về các tệp cụ thể, chẳng hạn như giấy phép, tổng kiểm tra, người đóng góp tệp, v.v.
Thông tin cấp phép khác
Đảm bảo quản lý sở hữu trí tuệ bằng cách chỉ định giấy phép phần mềm.
Software Danh sách phụ thuộc
Ghi lại hệ thống phân cấp các phụ thuộc của phần mềm.
Chú thích và Mối quan hệ
Cung cấp siêu dữ liệu bổ sung và thiết lập mối quan hệ giữa các hiện vật phần mềm.
Định dạng SPDX hỗ trợ nhiều định dạng, cho phép linh hoạt dựa trên trường hợp sử dụng và khả năng tương thích của công cụ:
- Thẻ/Giá trị (.spdx): Định dạng dựa trên văn bản đơn giản
- JSON (.spdx.json): Định dạng nhẹ, có thể đọc bằng máy
- YAML (.spdx.yml): Định dạng tuần tự hóa dữ liệu thân thiện với con người
- RDF/XML (.spdx.rdf): Một định dạng có cấu trúc để biểu diễn dữ liệu ngữ nghĩa
- Bảng tính (.xls): Định dạng bảng hữu ích cho việc phân tích thủ công
SPDX được các công ty công nghệ lớn, các cơ quan quản lý và cộng đồng phần mềm nguồn mở áp dụng rộng rãi. Nó thường được sử dụng cho:
- Quản lý giấy phép phần mềm nguồn mở: Giúp các tổ chức theo dõi và tuân thủ các yêu cầu cấp phép nguồn mở.
- Kiểm tra bảo mật: Cung cấp thông tin chi tiết về các thành phần phần mềm để phát hiện lỗ hổng và quản lý rủi ro.
- Tuân thủ quy định: Đảm bảo tuân thủ các tiêu chuẩn của ngành và các yêu cầu pháp lý liên quan đến tính minh bạch của phần mềm.
- Theo dõi nguồn gốc Software : Thiết lập nguồn gốc rõ ràng của các thành phần phần mềm để nâng cao trách nhiệm giải trình.
Bằng cách tận dụng định dạng SPDX, các tổ chức có thể tăng cường bảo mật chuỗi cung ứng, hợp lý hóa các nỗ lực tuân thủ và có được khả năng hiển thị tốt hơn vào hệ sinh thái phần mềm của mình.
Định dạng SBOM của CycloneDX
Được phát triển bởi OWASP Foundation, định dạng CycloneDX cung cấp BOM (Bill of Materials) đầy đủ, bao gồm SBOM, và được thiết kế với sự nhấn mạnh mạnh mẽ vào bảo mật, quản lý lỗ hổng và tính minh bạch toàn diện của phần mềm. Nó cung cấp một mô hình đối tượng theo quy định mô tả hiệu quả các mối quan hệ phức tạp giữa các thành phần phần mềm, dịch vụ và sự phụ thuộc.
Các tính năng chính của định dạng CycloneDX bao gồm:
Biểu diễn siêu dữ liệu mở rộng
Thu thập thông tin chi tiết về nhà cung cấp, thông tin cấp phép, tác giả, công cụ, quy trình sản xuất, v.v.
Thiết kế tập trung vào bảo mật
Cho phép xác định lỗ hổng chính xác, phân tích khả năng khai thác và hỗ trợ các trường hợp sử dụng VEX.
Ánh xạ phụ thuộc và thành phần
Thể hiện cả mối quan hệ trực tiếp và gián tiếp giữa các thành phần phần mềm và dịch vụ.
Nhiều định dạng tuần tự hóa
Hỗ trợ JSON, XML và Protocol Buffers (protobuf), đảm bảo khả năng tương thích rộng rãi với các công cụ bảo mật.
Tuân thủ và Chuẩn hóa
Tích hợp với các tiêu chuẩn bảo mật như OWASP ASVS, MASVS, SCVS và SAMM, cung cấp khuôn khổ có thể đọc được bằng máy để theo dõi việc tuân thủ.
Với kiến trúc mạnh mẽ và phương pháp tiếp cận hướng đến bảo mật, CycloneDX được áp dụng rộng rãi trong các ứng dụng tập trung vào an ninh mạng để quản lý lỗ hổng và giám sát bảo mật. Điều này khiến định dạng CycloneDX trở thành một công cụ thiết yếu để quản lý rủi ro chuỗi cung ứng phần mềm.
Định dạng CycloneDX so với SPDX
| Tính năng | SPDX | Lốc xoáyDX |
| Tập trung | Tuân thủ giấy phép nguồn mở và sở hữu trí tuệ | Bảo mật ứng dụng và phân tích chuỗi cung ứng |
| Tính năng | Siêu dữ liệu toàn diện cho các thành phần phần mềm | Nhẹ, thân thiện với người dùng, tập trung vào dữ liệu thành phần thiết yếu và đánh giá bảo mật |
| Trường hợp sử dụng | Cấp phép nguồn mở (ban đầu), kiểm toán tuân thủ và xuất xứ phần mềm | Quản lý lỗ hổng, phân tích chuỗi cung ứng phần mềm và giám sát bảo mật |
| Sự áp dụng | Các công ty công nghệ lớn và nhóm tuân thủ | Các nhà cung cấp công cụ bảo mật và các công ty an ninh mạng, nhóm DevSecOps |
Khám phá thẻ SWID
Ứng dụng thẻ SWID
Để quản lý phần mềm đúng cách, doanh nghiệp phải duy trì kho phần mềm chính xác của các thiết bị được quản lý, hỗ trợ các chức năng kinh doanh, công nghệ thông tin và an ninh mạng cấp cao hơn. Kho phần mềm chính xác giúp các tổ chức:
- Quản lý việc tuân thủ các thỏa thuận cấp phép phần mềm bằng cách theo dõi cài đặt và sử dụng, tránh chi phí không cần thiết.
- Đảm bảo tuân thủ các chính sách của tổ chức, giảm thiểu dấu vết phần mềm và bề mặt tấn công.
- Xác minh các bản cập nhật và bản vá để giảm thiểu các lỗ hổng đã biết và các mối đe dọa mạng.
- Đánh giá cấu hình theo chính sách bảo mật để củng cố hệ thống và giảm các hướng tấn công.
- Lên kế hoạch đầu tư cho việc nâng cấp phần mềm và thay thế hệ thống cũ.
Trong khi một số nhà cung cấp cung cấp các công cụ để quản lý giấy phép, cập nhật, bản vá và theo dõi cấu hình, các doanh nghiệp thường dựa vào nhiều công cụ để quản lý các sản phẩm phần mềm khác nhau. Sự phân mảnh này làm tăng nguy cơ lỗi của con người và hạn chế tài nguyên, hạn chế khả năng duy trì quản lý phần mềm tích cực của tổ chức. Cần có một cơ chế thống nhất để cung cấp cái nhìn toàn diện về tất cả phần mềm trên toàn doanh nghiệp, bất kể nhà cung cấp nào.
Thẻ SWID (Nhận dạng Software ) , theo định nghĩa của tiêu chuẩn ISO/IEC 19770-2:2015, giải quyết nhu cầu này bằng cách cung cấp một cách minh bạch để theo dõi phần mềm được cài đặt trên các thiết bị được quản lý. Các tệp Thẻ SWID chứa siêu dữ liệu mô tả về một bản phát hành phần mềm cụ thể và tuân theo vòng đời trong đó chúng được thêm vào trong quá trình cài đặt và bị xóa khi gỡ cài đặt. Vòng đời này đảm bảo rằng sự hiện diện của Thẻ SWID tương ứng trực tiếp với sự hiện diện của sản phẩm phần mềm mà nó mô tả.
NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) khuyến nghị áp dụng tiêu chuẩn Thẻ SWID và nhiều cơ quan tiêu chuẩn, bao gồm TGC (Nhóm máy tính đáng tin cậy) và IETF (Lực lượng đặc nhiệm kỹ thuật Internet), đã tích hợp Thẻ SWID vào các tiêu chuẩn của họ.
NIST tiếp tục thúc đẩy SWID Tags để áp dụng rộng rãi hơn trong cộng đồng phần mềm và để tích hợp vào dữ liệu tham chiếu an ninh mạng và nội dung tự động hóa bảo mật. Ngoài ra, NIST đã kết hợp dữ liệu SWID Tag vào NVD (Cơ sở dữ liệu lỗ hổng quốc gia) và SCAP (Giao thức tự động hóa nội dung bảo mật) phiên bản 1.3, tăng cường theo dõi lỗ hổng và quản lý bảo mật.
Bằng cách kết hợp Thẻ SWID vào khuôn khổ tự động hóa bảo mật, doanh nghiệp có thể cải thiện việc theo dõi hàng tồn kho phần mềm, đánh giá lỗ hổng, giám sát tuân thủ và tình hình an ninh mạng tổng thể.
Tầm quan trọng của Software Danh mục vật liệu
SBOM đóng vai trò quan trọng trong việc đảm bảo tính minh bạch và trách nhiệm giải trình của phần mềm. Chúng cung cấp thông tin chi tiết về chuỗi cung ứng phần mềm, cho phép các tổ chức xác minh tính toàn vẹn của các thành phần phần mềm. Mức độ minh bạch này giúp giảm thiểu rủi ro giả mạo và sửa đổi trái phép phần mềm, từ đó củng cố niềm tin giữa nhà sản xuất phần mềm, nhà cung cấp và người dùng cuối.
Ngoài ra, SBOM hỗ trợ phản hồi sự cố và quản lý vòng đời phần mềm. Khi phát hiện ra lỗ hổng, việc có SBOM chi tiết cho phép các nhóm bảo mật nhanh chóng đánh giá tác động và triển khai các bản vá hiệu quả. Cách tiếp cận chủ động này giảm thiểu thời gian chết và đảm bảo rằng các hệ thống quan trọng vẫn an toàn trước các mối đe dọa mới nổi.
SBOM trong Bảo mật và Tuân thủ
SBOM là một công cụ quan trọng để đảm bảo bảo mật phần mềm và tuân thủ quy định. Bằng cách cung cấp một bản kiểm kê toàn diện về tất cả các thành phần phần mềm, SBOM cho phép các tổ chức theo dõi và quản lý các lỗ hổng hiệu quả hơn. Chúng cho phép các nhóm bảo mật chủ động xác định và giảm thiểu rủi ro, đảm bảo rằng tất cả các phụ thuộc của bên thứ ba và nguồn mở đều được cập nhật và không có các khai thác đã biết. Khả năng hiển thị này rất cần thiết vì các mối đe dọa mạng ngày càng tinh vi và lan rộng.
Các khuôn khổ quy định như NIST, ISO, Lệnh hành pháp 14028 và các hướng dẫn kỹ thuật khu vực khác yêu cầu các biện pháp bảo mật và minh bạch phần mềm chặt chẽ hơn, khiến SBOM trở thành yêu cầu thiết yếu để tuân thủ. Các tổ chức tận dụng SBOM có thể dễ dàng chứng minh việc tuân thủ các tiêu chuẩn này hơn, tránh được các hậu quả pháp lý và tài chính tiềm ẩn. Bằng cách duy trì SBOM chính xác và cập nhật, các doanh nghiệp có thể hợp lý hóa việc kiểm toán, giảm chi phí tuân thủ và đảm bảo rằng phần mềm đáp ứng các quy định của ngành.
So sánh các định dạng SBOM
Điểm mạnh và điểm yếu
Mỗi định dạng SBOM phục vụ những mục đích khác nhau, do đó việc lựa chọn định dạng phù hợp dựa trên nhu cầu cụ thể là điều cần thiết.
| Tính năng | Điểm mạnh | Điểm yếu |
| SPDX | Toàn diện và được sử dụng rộng rãi. Tập trung mạnh vào cấp phép và tuân thủ. | Có thể phức tạp đối với các dự án nhỏ hơn |
| Lốc xoáyDX | Được tối ưu hóa để quản lý bảo mật và lỗ hổng. | Ít chú trọng hơn vào chi tiết cấp phép |
| Thẻ SWID | Tích hợp vào phần mềm | Tiêu chuẩn hóa hạn chế trong các ngành công nghiệp |
Kết thúc
Hiểu và triển khai SBOM là rất quan trọng đối với bảo mật phần mềm hiện đại. Bằng cách tận dụng các định dạng như thẻ SPDX, CycloneDX và SWID, các tổ chức có thể tăng cường tính minh bạch của chuỗi cung ứng phần mềm và giảm thiểu rủi ro bảo mật.
Các bước tiếp theo
Đánh giá các hoạt động chuỗi cung ứng phần mềm hiện tại của tổ chức bạn và khám phá các định dạng SBOM phù hợp với nhu cầu bảo mật và tuân thủ của bạn.
Để tìm hiểu thêm về việc bảo mật chuỗi cung ứng phần mềm của bạn bằng các giải pháp SBOM mạnh mẽ, hãy truy cập giải pháp Bảo mật Supply Chain Software của OPSWAT .
