发布日期:2021年10月27日
2021年10月
评估
以理解它将如何影响您的企业为目标,值得探讨。
2021年5月,美国白宫公布了这份报告改善国家网络安全的行政命令.该文件提出了几个与我们在过去雷达中所介绍的项目相关的技术要求,例如零信任体系结构以及自动合规扫描使用安全策略作为代码.该文件的大部分内容致力于提高软件供应链的安全性。特别引起我们注意的一项是要求政府软件应该包含机器可读的内容软件物料清单(SBOM),定义为“包含构建软件中使用的各种组件的详细信息和供应链关系的正式记录”。换句话说,它不仅应该详细说明所提供的组件,还应该详细说明用于交付软件的工具和框架。这一秩序有可能在软件开发中迎来一个透明和开放的新时代。这无疑会对我们这些以制作软件为生的人产生影响。今天生产的许多(如果不是所有)软件产品都包含开源组件,或者在构建过程中使用它们。通常,消费者无法知道哪个包的哪个版本可能会对其产品的安全性产生影响。相反,他们必须依赖于零售供应商提供的安全警报和补丁。这一行政命令将确保消费者可以获得所有组件的明确描述,使他们能够实现自己的安全控制。由于SBOM是机器可读的,所以这些控制可以自动化。我们意识到,这一举动也代表着一种转向,即拥抱开源软件,并切实解决它所带来的安全风险和好处。
