近两年，软件供应链有非常多安全事件，包括软件供应链的各个阶段开发、构建、交付、使用等每个环节都有很多的软件供应链的安全事件发生。在 2023龙蜥操作系统大会全面建设安全生态分论坛上，阿里云技术专家郑耿、周彭晨分享了龙蜥社区在构建SBOM基础能力方面所做的努力，也深入探讨了龙蜥社区在建立健全 SBOM能力所必须开展的相关工作，并基于软件供应链各个阶段出现的签名服务短板，提出了专门服务于软件供应链的统一签名服务。以下为分享原文：01 软件物料清单（SBOM）提到SBOM就不得不提一下软件供应链的概念，上图是引用CNCF软件供应链白皮书。软件供应链和传统供应链是一个非常好的类比，如从原件的生产到工厂

更多网络安全干货内容：点此获取———————“我们发现，软件系统间接依赖中存在的漏洞数量，是直接依赖的三倍以上。”Snyk《2020年开源安全状况报告》中讲到。开源软件中的绝大多数安全漏洞都存在于间接依赖关系中，而不是存在于直接加载的组件之中，这将导致软件安全不可控性增强。开源软件的泛用，使得大多数公司对采购软件的安全性和合规性，处于更加未知或模糊的状态。因此，为了更好地制定第三方软件安全风险管理决策，就需要清晰洞察软件内部组成成分。而SBOM（软件物料清单）就是其中的“灵丹妙药”，其最具价值的方面，就是提升软件内部成分的可见性。Capterra软件市场服务公司调查发现：已有将近一半（49%）

SBOM（软件物料清单）通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM正迅速获得发展势头，作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM的主要支持者之一是微软，该公司早在2021年10月就发布了针对他们这一代的方法。今年早些时候，该公司开源了其用于在Windows、macOS和Linux上生成SBOM的工具。在本文中，您将学习如何开始使用该项目来索引代码的依赖项。它生成与SPDX兼容的文档，列出项目中的文件、包和关系。SPDX（软件包数据交换）是ISO接受的SBOM标准，因此您可以将生成的报告直接传递到其他生态系统工具。微软最初以Salus的名

一、SBOM的发展趋势数字时代，软件已经成为维持生产生活正常运行的必备要素之一。随着容器、中间件、微服务、DevOps等技术理念的演进，软件行业快速发展，但同时带来软件设计开发复杂度不断提升，软件供应链愈发复杂，软件整体透明度下降，软件供应链安全防护难度不断加大。由于缺少对软件资产的最小要素管理，每当环境中出现新的漏洞时，我们通常需要花费大量时间和精力来检测环境中运行的应用程序和服务的真正影响。如果我们可以枚举我们使用和生产的所有软件组件，并且轻松地分发和使用它，那么就可以极大地提高对软件资产的精细管理，以及对突发漏洞的影响面快速定位分析。SBOM可以帮助我们解决以上问题。开源社区十多年前开源

在CloudNativeSecurityCon上，云原生计算基金会的首席技术官ChrisAniszczyk在TheNewStackMakers播客的这一集中强调了2023年正在形成几个趋势：随着GitHub的Codespaces平台通过集成到GitHub服务中获得认可，云IDE（或集成开发环境）将变得成熟。软件物料清单(SBOM)将继续成熟。GitOps和OpenTelemetry：今年，KubeCon提交的关于GitOps的话题非常多。OpenTelemetry是CNCF中第二受欢迎的项目，仅次于Kubernetes。平台工程很火。Aniszczyk将CNCF项目Backstage列为他正在

评估软件物料清单（SBOM）是否实用，主要考量：是否符合标准规范、是否能全面精准识别软件成分信息，以及是否具备“互操作性”。01/ 互操作性SBOM是静态文档。所以，如果企业使用SBOM只是为了检查软件，除此之外什么也不做，那么从软件SBOM中获得的价值就非常有限。SBOM的使用，重点在于发挥它的“互操作性”，让其加入到软件供应链的风险管理中去。接下来，将为大家详细展开：“可操作性”的SBOM，在软件供应链安全风险管理中的三大应用方向：集中管理、风险定位、安全告警。1. 集中管理随着社会分工的细化，以及技术的复杂化，企业为满足高效高质完成产品迭代的需求，将大部分软件的研发和方案编写、实施交给了

文章目录SBOM是什么SBOM的作用和好处SBOM的实施SBOM的范围同步发表于个人站点：http://panzhixiang.cn/article/2022/11/17/63.htmlSBOM是什么SBOM全称是SoftwareBillofMaterials,中文是软件物料清单。做个类比，可以把SBOM简单地理解为软件的配料清单，就像我们买雀巢的速溶咖啡的时候，外包装上会有的配料清单。美国电信管理局（NTIA）去年发布了一项规定，其中一个要求是政府采购的软件必须要包含SBOM，也就是说如果你想把你的软件卖给政府，必须附带这个软件的配料清单。可以参考SBOM。这也就导致了SBOM这个概念一下子

文章目录SBOM是什么SBOM的作用和好处SBOM的实施SBOM的范围同步发表于个人站点：http://panzhixiang.cn/article/2022/11/17/63.htmlSBOM是什么SBOM全称是SoftwareBillofMaterials,中文是软件物料清单。做个类比，可以把SBOM简单地理解为软件的配料清单，就像我们买雀巢的速溶咖啡的时候，外包装上会有的配料清单。美国电信管理局（NTIA）去年发布了一项规定，其中一个要求是政府采购的软件必须要包含SBOM，也就是说如果你想把你的软件卖给政府，必须附带这个软件的配料清单。可以参考SBOM。这也就导致了SBOM这个概念一下子

在CloudNativeSecurityCon上，云原生计算基金会的首席技术官ChrisAniszczyk在TheNewStackMakers播客的这一集中强调了2023年正在形成几个趋势：随着GitHub的Codespaces平台通过集成到GitHub服务中获得认可，云IDE（或集成开发环境）将变得成熟。软件物料清单(SBOM)将继续成熟。GitOps和OpenTelemetry：今年，KubeCon提交的关于GitOps的话题非常多。OpenTelemetry是CNCF中第二受欢迎的项目，仅次于Kubernetes。平台工程很火。Aniszczyk将CNCF项目Backstage列为他正在

在CloudNativeSecurityCon上，云原生计算基金会的首席技术官ChrisAniszczyk在TheNewStackMakers播客的这一集中强调了2023年正在形成几个趋势：随着GitHub的Codespaces平台通过集成到GitHub服务中获得认可，云IDE（或集成开发环境）将变得成熟。软件物料清单(SBOM)将继续成熟。GitOps和OpenTelemetry：今年，KubeCon提交的关于GitOps的话题非常多。OpenTelemetry是CNCF中第二受欢迎的项目，仅次于Kubernetes。平台工程很火。Aniszczyk将CNCF项目Backstage列为他正在