SBOM是软件供应链中的一个重要概念，全称为“软件物料清单”。SBOM列出了软件中使用的所有组件和库，以及它们的版本和依赖关系。SBOM的重要性在于，它能够在一定程度上帮助企业更好地管理软件供应链，确保软件的安全性和可靠性。

  企业在使用开源软件时，虽然可以节省成本，但也存在很大的风险。开源软件的质量和稳定性无法保证，可能存在漏洞和安全隐患，给企业带来软件安全风险；其次，开源软件的维护和更新需要企业自行承担，如果企业没有专业开发人员进行维护，可能会导致软件无法正常运行，直接影响企业的业务。

  开发人员往往无法完全熟悉软件的内部构成，并且关于软件组件的供应链极为复杂，软件的安全水平很难得到保障，导致软件供应链攻击事件层出不穷，开源组件在某种程度上成为了安全人员的“噩梦”。

  SBOM最核心的价值就是提升软件透明度，通过完整的清单显示软件中所有第三方的组件以及漏洞、许可风险，来提升软件透明度。

  正因为有了SBOM的存在，企业可以管理所有软件，方便资产盘点，管控漏洞和许可风险，真正做到行之有效的资产安全。

  企业发现新的风险预警的时候，可以迅速定位风险影响的范围，提升响应速度。同时，实时更新的SBOM，能更快的发现风险，比常规的安全应急手段更有效。

  根据企业使用组件的情况结合当前组件所有版本的风险情况，建立符合企业自身的组件安全基线，为后续建立企业自身的安全组件库垫底基础。

  SBOM不仅仅包括软件中所有组件的组成信息，也应包括各个环节中的其他信息，企业可以从SBOM中知道企业当前所有软件的配置信息，建立企业自身的安全配置规则。

  SBOM涉及软件供应链中的各个环节，可以清晰的展示每个内部流程中的详细情况，通过对比每个环节里详细的SBOM信息，快速定位问题，帮企业的安全人员建立安全管控机制。

  开源组件安全及合规管理平台（简称 SourceCheck），是开源网安提供的软件成分分析SCA产品，用于第三方组件安全管控，包括企业组件使用管理，组件使用合规性审计，新漏洞感知预警，开源代码知识产权审计等，支持对源码及发布包检测，是 OWASP Top10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

  开源软件引入时，对其许可证传染性、兼容性、其他违规风险进行合规性审计，是否违规侵权，商业闭源的需要注意的几点等。

  开源软件的漏洞检测、识别记录、漏洞修复及风险管理，包括后续新漏洞的感知预警，明确对自身业务影响。

  规范开源软件的引入流程，明确安全评估责任机制，建立安全的企业内部开源库。

  企业合作，需要出示安全检测报告，证明软件没有合规性和安全性问题，形成问责追踪机制。企业兼并对第三方代码评估审计等。

  国家项目里对自主知识产权的要求，开源成分不能超过30%，金融、央企等加强风险防控等，相关领域软件知识产权纠纷司法鉴定等。

  分析企业中应用或者容器中组件的引入情况，组件的漏洞安全问题，组件的许可合规问题以及组件的升级安全版本是什么。

  通过一系列黑白名单，策略规则等机制有效对企业研发流程的各个卡口进行相对有效监控，进行风险预警和管控，降低软件供应链风险。

  通过集成IDE、SCM、CLPackage等研发流程中各项环节，实现供应链风险管控流程的自动化。

  开源网安SBOM计划依托开源网安在软件安全领域的技术和经验，旨在通过开放软件物料清单分析服务助力中国百万企业快速摸清软件家底，构建软件供应链安全生态。返回搜狐，查看更加多

上一篇：【48812】新点软件发布“数智化物料办理解决方案” 下一篇：惠龙易通货主版