软件漏洞就像一座冰山。表面上看,软件开发团队非常了解其所开发的软件源代码,但大多数内容就像隐藏在水下的巨大冰山,对软件开发团队而言并不可见。典型的软件构建还包括来自外部软件库、开源项目和第三方供应商的各种源代码和对象,而其中的大部分内容对于软件产品开发团队是不透明的。
随着软件在当今产品中所占比重日益提高,现在比以往任何时候都更有必要了解其构建方式。软件在 EBOM 或 MBOM 中通常会表现为单个组件,而不会按软件构建方式进行任何细分。软件物料清单 (SBOM) 必须能够识别所建软件的所有组件和构建环境。SBOM 可识别并列出所构建软件产品的组件,包括各组件的重要元数据和各组件之间的关系结构。
保护企业远离漏洞的关键之一是确保各软件组件可以随时访问。通过不断比较 SBOM 和公布的漏洞数据库,SBOM 为识别软件产品中的潜在威胁和漏洞提供依据。如今,不论从事哪个行业,几乎都要能够识别和应对软件产品中的威胁和漏洞。
SBOM 的生成可纳入持续集成/持续部署 (CI/CD) 管道,作为一个完整的应用程序生命周期管理 (ALM) 流程进行管理。ALM 流程支持整个生命周期的全面跟踪。
软件威胁和漏洞管理需要识别风险和制定风险防范要求。风险管理要求可直接追溯到推动 SBOM 生成的元数据元素。将这种可追溯性与漏洞数据库验证相结合,可创建一个闭环解决方案,用于软件威胁和漏洞管理。