中国首个数字供应链SBOM格式,为何DSDX值得你的关注?
2023-10-20 15:8:32 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

数字时代,万物可编程,数字技术已是新一代信息技术的灵魂,正通过云服务、IT 托管服务等方式颠覆着传统产品供应关系,成为数字经济发展的基础设施。随着软件供应链正向数字供应链跃迁式演进,数字供应链安全涵盖了数字应用安全、基础设施服务安全以及供应链数据安全。
以数字供应链安全全流程治理与运营的视角,“供应链引入、生产链、供应链交付运营”是数字供应链安全的三大环节。而SBOM(Software Bill of Materials,软件物料清单)作为建立数字供应链的安全基线,是数字供应链安全的核心关键部分,将在辅助安全设计评审,交叉安全测试和动态发布等环节发挥重要作用,为企业用户提供了一个明确、统一的视角,在复杂的数字供应链中实现更高的透明度和可信度,从而满足安全性和合规性的要求。

DSDX——国内首个SBOM格式

DSDX(Digital Supply-chain Data Exchange)SBOM格式由OpenSCA社区主导发起,汇聚开源中国、电信研究院、中兴通讯等权威研究机构、甲方用户、安全厂商多方力量,共同适配中国企业实战化应用实践场景。作为国内首个数字供应链安全SBOM格式,DSDX目标是成为数字供应链安全治理与运营的核心技术抓手,以助力行业及产业从软件供应链安全向数字供应链安全过渡升级。

01DSDX 清单有什么?

  • SBOM 清单信息:清单名称、ID、创建者、清单版本、创建阶段、创建时间等
  • 项目基本信息:项目名称、宿主环境信息、运行时环境信息、EAR 信息
  • 组件信息:组件名称、ID、厂商、组件来源、组件类型、置信度、校验码、语言、依赖关系、依赖数量、依赖路径等
  • 代码文件信息:名称、ID、校验码、路径、相似文件来源、相似度
  • 代码片段信息:ID、来源文件 ID、校验码、代码片段位置、相似代码片段来源、相似度
  • 依赖树信息:以 K-V 形式保存的项目完整依赖关系图
  • 备注信息:其他备注信息
现有的国际SBOM格式依赖于软件供应链,而如今数字供应链扩大了原有软件供应链的内涵,不仅囊括数字应用,还包括基础设施环境和供应链数据。数字供应链安全更是涵盖数字应用安全、基础设施服务安全以及供应链数据安全。
基于此,DSDX重点引入了运行环境信息和供应链流转信息,加强了清单间的互相引用,并实现最小集/扩展集的灵活应用,深度支持代码片段信息的存储及追踪,为企业用户提供整个数字供应链基础设施视角的落地治理实践。

解读 一

DSDX 组件信息

适用于数字应用的微服务场景,多个微服务承载着不同的业务需求,每一个微服对应一个SBOM,共同组成为业务系统量身定制的的数字供应链SBOM。

由组件作为最小重复单元,结构更加简洁;

不同SBOM之间可以通过DSDX ID进行关联

解读二

DSDX 代码片段信息

提供了代码文件/片段相似度及来源信息的描述,从而辅助分析代码片段中是否引入开源组件、是否有已知的安全漏洞、对应的开源许可证、对源代码进行溯源分析等。

代码文件/片段相似度及来源信息描述;

可以作为外部链接被DSDX引用,节省清单篇幅

02 DSDX 亮点是什么?

DSDX汇聚了甲方用户实践经验与安全厂商技术应用视角,针对性适配中国企业实战化应用实践场景,其核心特点在于全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。

  • 全场景覆盖:覆盖数字供应链全场景,涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖,提供更加透明化的SBOM管理;

  • 强大兼容性:兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;

  • 供应链数据溯源:涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;

  • 强自身安全性:物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改等保护机制。

03 DSDX 如何应用?

DSDX通过与悬镜源鉴SCA开源威胁管控平台深度联动,可全面提升企业数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及安全管理水平。

  • 开源应用组件级资产测绘:DSDX可以生成全面兼容、安全可溯源的软件物料清单,精细化识别开源软件组件及其构成和依赖关系,输出透明化的数字应用组件资产及风险清单。

  • 许可证合规性管理:基于DSDX记录的开源软件许可证信息,进一步实现许可证条款解读、兼容性分析等,帮助企业确保自身遵守许可证相关条款,规避潜在的知识产权等法律问题或处罚,避免后续公司业务自身权益受到损害。

  • 提升软件质量:基于DSDX提供的组件信息,识别出过时或废弃的组件,鼓励开发团队使用最新且安全的库,从而提高整体的软件质量。

  • 安全事件应急响应:DSDX中包含了详尽的软件组成成分,安全团队可以通过DSDX分析软件风险,并进行持续监控;在有供应链安全事件发生时,安全团队也能根据DSDX快速定位第三方组件中已知漏洞的影响范围,并针对性地对修复措施进行优先级排序,加速供应链攻击事件应急响应速度。

SCA技术是数字供应链开源治理的关键入口,DSDX为代表的SBOM格式将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用。深度支持DSDX的源鉴SCA,针对性适配中国企业实战化应用实践场景,为供应链上下游企业用户提供安全新方案与整体建设新思路,保障数字供应链下开源资产的安全引入及安全管控,助力行业及产业从软件供应链安全向数字供应链安全过渡升级。

推荐阅读

关于“悬镜安全”

悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网:www.xmirror.cn


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647788860&idx=1&sn=821e42777d74060b256982a2197c1d46&chksm=8770856bb0070c7dd5db5139b3bde15bb69025363260c54b7a14049e13fd069babf973c079c4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh