禁止使用 nuclei 这类动态扫描工具（除非所有的模板都过一遍，这个工作量太大），因为它可能执行恶意脚本。而 trivy 这类静态扫描工具不会执行脚本，往往更安全。

SBOM是什么

SBOM（Software Bill of Materials，软件物料清单）是一份详细的、结构化的清单，它记录了软件的所有组成部分及其关系，就像一份“食材清单”。

它的核心内容包括：

1. 组件清单：列出软件中包含的所有开源和第三方库、框架、模块等。
2. 版本信息：每个组件的精确版本号。
3. 依赖关系：组件之间是如何相互依赖和集成的。
4. 供应商/作者信息：组件的来源和版权信息。
5. 许可证信息：每个组件对应的使用许可证。

主要目的与作用：

• 安全风险管理：当某个开源组件被曝出安全漏洞（例如 Log4j 漏洞）时，SBOM 能帮助企业快速、准确地判断自己的产品是否受影响，并迅速定位需要修复的部分，大幅提升供应链安全。
• 合规性管理：帮助企业管理开源许可证，避免法律风险。
• 软件透明度和可追溯性：提高软件供应链的可见性，特别是在政府、金融、医疗等监管严格的领域，SBOM 正逐渐成为强制性或推荐性要求。

常见格式标准：

• SPDX：由 Linux 基金会主导，功能全面，是国际标准（ISO/IEC 5962）。
• CycloneDX：由 OWASP 主导，专注于安全应用场景，轻量且对安全工具有良好支持。
• SWID Tags：更侧重于软件安装的标识和库存管理。

简单来说，SBOM 是数字化时代的“软件成分表”，它让复杂的软件变得透明、可管理，是应对日益严峻的软件供应链安全挑战的关键基础设施。

上一篇 « 下一篇 »