第14028号行政令发布两周年：美国SBOM现状

两年时间能带来多大的变化？2021年的这个时候，即使在安全语境下，软件物料清单（SBOM）这词儿也不那么常见。如今，全国各地乃至全世界的企业都在讨论SBOM。

SBOM的普及源于美国总统拜登在2021年5月12日颁布的14028号行政令（EO 14028）——美国网络安全领域的重要里程碑。EO 14028的主要目标是为美国政府的软件供应商设立安全必备条件，但其中提出的建议也难免引起了私营部门的注意。如今，两年过去，是该评估一下SBOM的现状和改善空间了。

(相关资料图)

SBOM常被称为软件的“成分表”，其实质就是软件应用程序或软件系统所用组件及其版本的清单。SBOM为软件供应链注入了透明度，可帮助企业管理与所用软件相关的风险。拜登的14028号行政令要求联邦承包商必须维护SBOM才可以与美国政府合作。不过，SBOM如今的用途显然远远超出了拿下美国政府订单的范畴。

民众对SBOM的认知已大大提高。提高到什么程度呢？确切数字难以获得，但Linux基金会2022年针对全球412家企业进行的一项调查研究发现：

• 82%的受访企业熟悉“软件物料清单”这个术语。

• 76%的受访企业积极参与解决SBOM需求。

• 47%生产或消费SBOM。

• 78%预计在2022年生产或消费SBOM，比上一年上升66%。

于是，SBOM的现状就是：已成为企业聚集多种软件依赖风险的重要工具，比如许可问题、漏洞风险、报废风险等。SBOM提供的可见性十分宝贵，所以越来越多的私营部门企业要求其合作伙伴维护SBOM，很多财富1000强公司如今也有了现行的SBOM项目。

但是，随着采用率上升，运营方面的挑战也日渐浮现。对某些企业而言，学习曲线颇为陡峭。如何维护、共享、实施和更新SBOM等问题困扰着安全主管。SBOM实施就是个假想敌，但很多企业仍难以搞清该从何处入手了解构建SBOM的基本要求。

关键所在：SBOM实施两年

实施SBOM的第一步就是界定范围。了解自身重要应用所处的位置，弄清哪里才是开始分析这些应用的最佳位置（开发、预生产或生产环境）。然后，设置自动扫描并收集数据的过程。你不会想要时不时人工扫描一次的。即时可见性和最新信息是确保SBOM能提供有用信息的关键。

下一步是用数据充实SBOM，比如通用漏洞与暴露（CVE）、许可、入侵指标（IOC）、信誉，以及提供风险可见性的其他因素。将SBOM数据与威胁数据相关联有助于企业识别风险并安排修复工作的轻重缓急。

SBOM存在哪些挑战？

两年来，越来越多的企业开始将SBOM用于获得可见性和信息，也用于漏洞管理，包括修复和排序环境中的漏洞。这一点就很具挑战性了，因为需要深入了解运行时实际用到了什么东西（相对于可降低优先级的）。此外，企业还需要了解各组件之间的依赖关系及其对软件应用或系统的影响。完整的软件供应链平台需要提供这些功能，供客户安排修复工作的轻重缓急。

随着越来越多的企业推进SBOM，自动化成了另一个考虑因素。创建SBOM、将风险映射到组件、确定优先级，以及进行修复，都无法以当今产品开发的规模和速度手动完成。不结合自动化，SBOM根本无法运转。

如今，SBOM已成为管理软件供应链风险的重要工具。过去两年来，对SBOM的认知和SBOM采用率都有了显著提升。未来两年，预计SBOM将会被真正重视自身安全战略的企业用作标准。如此，企业就可以管理与其所用软件相关的风险，保护自身声誉，改善自己的网络安全态势。

美国14028号行政令

https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

Linux基金会《软件物料清单（SBOM）现状与网络安全准备度》调研

https://www.linuxfoundation.org/press/press-release/the-linux-foundation-releases-the-state-of-software-bill-of-materials-sbom-and-cybersecurity-readiness-research

标签：