软件物料清单

在2021年5月，美国白宫发布了关于改善国家网络安全的行政命令．该文件提出了几个与我们在过去的雷达中提到的项目相关的技术要求，例如零信任体系结构和自动合规扫描使用安全策略代码．该文件的大部分内容都致力于提高软件供应链的安全性。特别引起我们注意的一项要求是政府软件必须包含机器可读的内容软件物料清单(SBOM)，定义为“包含在构建软件中使用的各种组件的细节和供应链关系的正式记录。”换句话说，它不仅应该详细说明交付的组件，还应该详细说明用于交付软件的工具和框架。这一秩序有可能在软件开发中开创一个透明和开放的新时代。这无疑会对我们这些以生产软件为生的人产生影响。今天生产的许多软件产品(如果不是所有的话)包含开源组件，或者在构建过程中使用它们。通常，消费者无法知道哪个包的哪个版本可能会对其产品的安全性产生影响。相反，它们必须依赖零售供应商提供的安全警报和补丁。该行政命令将确保所有组件的显式描述对消费者可用，使他们能够实现自己的安全控制。由于SBOM是机器可读的，所以这些控制可以自动化。我们意识到这一举动也代表着一种转变，即拥抱开源软件，并切实解决它所带来的安全风险和好处。