在“軟件供應鏈攻擊”成為家喻戶曉的詞句之際，最近在 Apache Log4J中發現的漏洞給開發人員和軟件消費者敲響了警鐘：盲目信任第三方軟件的時代已經結束。

Log4J 中的漏洞用于從 Minecraft 到運行 Apple 的 iCloud 和 Amazon Web Services 的基礎設施服務器等應用程序，允許攻擊者控制運行此日志記錄實用程序某些版本的設備。這是一系列軟件供應鏈攻擊中的最新一次，包括 SolarWinds、REvil 和 Urgent/11。

面對這些安全威脅，開發人員不斷地被迫以速度和效率交付應用程序，這導致更多地使用第三方代碼和開源庫，例如 Log4J。為了避免犧牲安全性，組織越來越依賴能夠生成軟件物料清單 (SBOM) 的技術，該清單對軟件應用程序的內容及其包含的任何相關漏洞進行編目。

與企業中的任何物料清單一樣，SBOM 定義了成品的組成部分，因此如果檢測到問題，可以修復根本原因，同時最大限度地減少中斷。SBOM 被公認為軟件供應鏈安全的基礎；它們允許開發人員構建更安全的應用程序，為安全團隊提供威脅情報，并使 IT 部門能夠維護更具彈性的環境。

SBOM 的三個“D”

SBOM 在軟件開發生命周期 (SDLC) 的三個不同階段（開發、交付和部署）提供有價值的見解，如下所述。

開發：從頭開始構建程序是昂貴的、耗時的，并且對于必須以業務速度和預算進行移動的組織來說根本不切實際。在過去的五年中，物聯網項目內部開發代碼的使用率已縮減至 50%，沒有理由認為它不會繼續進一步下降。

最終設計中的軟件代碼百分比。（來源：VDC Research）

開發人員必須使用第三方和開源組件來跟上進度，雖然將組件測試集成到工作流中是一種最佳實踐，但開發人員通常會繼續信任。在此階段生成 SBOM 可以讓開發團隊對這些組件有更多的了解，因此他們可以發現任何可能潛伏的已知（N 日）或零日漏洞，并確保他們使用的是許可和更新版本的程序。

定期分析組件并生成 SBOM 可以讓開發團隊確信他們正在滿足質量和安全標準，同時使他們能夠主動管理他們的組件庫。

交付：在 Covid 大流行期間出現的網絡犯罪激增使安全成為焦點，因此軟件開發團隊和供應商都在提供符合更嚴格標準的產品。今天使用的太多軟件可能會成為潛伏在其第三方代碼中的未知漏洞的犧牲品，因此需要徹底檢查新產品以符合質量保證標準。當 Osterman Research 分析商業現成軟件時，發現所有程序都有開源組件和漏洞；85% 的開源組件存在嚴重漏洞。

在發布和部署之前，編譯后的軟件應通過安全保證檢查以生成 SBOM。在這個階段，掃描可以識別開源的使用并檢查需要修復或緩解的任何漏洞。這是確保向市場發布的軟件盡可能安全且沒有已知漏洞的關鍵步驟，全面要求它只是時間問題。

為應對最近的供應鏈網絡攻擊而發布的2021 年總統網絡安全行政命令將 SBOM 列為有效的網絡安全工具。該命令要求最終與聯邦政府合作的軟件供應商的 SBOM 將作為其通過美國商務部國家標準與技術研究所向所有企業推薦的最佳實踐指南的一部分。與此同時，許多行業在交付醫療設備和基礎設施控制等關鍵產品時已經開始需要 SBOM。

部署：從辦公室打印機到現在通過物聯網 (IoT) 連接的關鍵系統的一切，發現和利用漏洞的攻擊面要大得多。隨著越來越多的流程數字化，公司正在將越來越多的預算投入到運行它們所需的軟件上。Gartner 預測，到 2022 年，企業軟件支出將接近6700 億美元，每年增長 11.5%。

軟件開發人員和供應商正在改進交付安全軟件的實踐，但企業網絡安全團隊最終要負責確保部署的商業軟件是安全的。他們必須信任，但要驗證并生成自己的 SBOM。

通過分析購買的軟件，信息安全團隊可以了解他們的組織已經使用或考慮使用的軟件。這可以幫助他們改善安全狀況，做出更明智的決策，并在出現另一個漏洞（例如 Log4j）時加快威脅響應速度。

幸運的是，借助軟件組合分析 (SCA) 技術，幾乎任何組織都可以創建 SBOM。這些工具可以通過源代碼或二進制分析生成 SBOM。二進制 SCA 工具分析編譯后的代碼，即組織交付和部署的實際完成的軟件。這給了他們一個優勢，因為他們可以在不訪問源代碼的情況下運行，并掃描應用程序中的軟件組件、庫和包以生成 SBOM。

隨著供應鏈攻擊的頻率和復雜程度不斷提高，在識別和減輕組織開發、交付或部署的軟件中的安全風險方面，SBOM 提供的價值不容小覷。

審核編輯 黃昊宇