软件物料清单

2021年5月，美国白宫发布了《关于改善国家网络安全的行政命令》。该文件提出了一些与我们在过去的技术雷达中展示的项目相关的技术要求，例如零信任架构以及使用安全策略即代码的自动合规性扫描。该文档的大部分内容都致力于提高软件供应链的安全性。特别引起我们注意的一项是要求政府软件应包含机器可读的软件物料清单(SBOM),它被定义为“包含构建软件使用的各种组件的详细信息和供应链关系的正式记录”。换句话说，它不仅应该详细说明交付的组件，还应该详细说明用于交付软件的工具和框架。这一秩序有可能开启软件开发透明和开放的新时代。这无疑会对以软件为生的我们产生影响。即使不是全部，今天生产的绝大部分软件产品都包含或在构建过程中使用了开源组件。通常，消费者无法得知哪个版本的软件包可能会影响其产品的安全性。于是他们不得不依赖零售供应商提供的安全警报和补丁。该行政命令确保向消费者提供所有组件的明确描述，使他们能够实施自己的安全控制方案。由于SBOM是机器可读的,这些控制可以自动化。从这一举措我们感受到了向拥抱开源软件的转变，在享受开源的同时我们也会实际解决它带来的安全风险。