加利福尼亞州舊金山——2022 年 2 月 1 日——Linux 基金會是一個通過開源實現(xiàn)大規(guī)模創(chuàng)新的非營利組織，它與 OpenSSF、SPDX 和 OpenChain 合作，今天宣布了一系列研究項目中的第一個，以了解確保軟件供應(yīng)鏈安全的挑戰(zhàn)和機遇。“軟件材料清單狀態(tài)和網(wǎng)絡(luò)安全準(zhǔn)備”報告了組織 SBOM 的準(zhǔn)備程度和與網(wǎng)絡(luò)安全努力相關(guān)的采用程度。這項研究緊隨美國政府關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令和最近的白宮開源安全峰會之后。與此同時，全球越來越認識到識別軟件組件和幫助加快對新發(fā)現(xiàn)的軟件漏洞的響應(yīng)的重要性。

　　“SBOM 不再是可有可無的。我們的 Linux 基金會研究團隊透露，78%的組織預(yù)計在 2022 年生產(chǎn)或使用 SBOM?！盠inux 基金會執(zhí)行董事 Jim Zemlin 說?！半S著新的 ISO 標(biāo)準(zhǔn)（5962）或白宮行政命令的發(fā)布，企業(yè)加快了 SBOM 的采用，這不僅提高了他們的軟件質(zhì)量，他們也更好地防范了新的開源漏洞披露（如與 log4j 相關(guān)的漏洞）帶來的敵對攻擊?！?/p>

　　SBOM 是一種正式的、機器可讀的元數(shù)據(jù)，它唯一地標(biāo)識一個軟件組件及其內(nèi)容；它還可能包括版權(quán)和許可數(shù)據(jù)。SBOM 被設(shè)計成在組織之間共享，并且特別有助于提供軟件供應(yīng)鏈中參與者交付的組件的透明度。許多關(guān)注應(yīng)用程序安全性的組織正在將 SBOM 作為其網(wǎng)絡(luò)安全戰(zhàn)略的基石。

　　報告分析了調(diào)查參與者的主要發(fā)現(xiàn)，包括：

　　82%的人熟悉軟件物料清單（SBOM）這個術(shù)語

　　76%的員工積極處理 SBOM 的需求

　　47%正在生產(chǎn)或消費 SBOM

　　78%的組織預(yù)計在 2022 年生產(chǎn)或消費 SBOM，比前一年增加 66%

　　此外，受訪者還透露了生產(chǎn) SBOM 的三大好處：

　　51%的人表示，開發(fā)人員更容易理解應(yīng)用程序中組件之間的依賴關(guān)系

　　49%的用戶表示更容易監(jiān)控組件的漏洞

　　44%的人指出，管理許可證遵從性更容易。

　　Linux 基金會的研究人員還透露，額外的行業(yè)共識和政府政策將有助于推動 SBOM 的采用和實施。研究人員指出：

　　62%的人正在尋求更好的行業(yè)共識，如何將 SBOM 的生產(chǎn)/消費整合到他們的 DevOps 實踐中

　　58%的人希望就將 SBOM 整合到他們的風(fēng)險和合規(guī)流程中達成共識

　　53%的人希望業(yè)界能就 SBOM 的發(fā)展和改進達成更好的共識

　　全世界 80%的組織都知道白宮關(guān)于改善網(wǎng)絡(luò)安全的行政命令

　　76%的人認為行政命令的直接后果是改變

　　最后，研究參與者揭示了他們用來對開發(fā)人員將使用的開源軟件組件進行優(yōu)先排序的最重要的屬性：安全性排名最高，其次是許可遵從性。

　　Linux 基金會研究部在 2021 年第三季度對組織 SBOM 的準(zhǔn)備和采用進行了全球范圍的實證研究。共有來自世界各地的 412 家機構(gòu)參與了 65 個問題的調(diào)查。該報告的作者是 Linux 基金會研究部副總裁 Stephen Hendrick。Linux 基金會也優(yōu)先研究幫助集體理解網(wǎng)絡(luò)安全挑戰(zhàn)的范圍，這是一系列核心研究項目中的第一個，探索與實施網(wǎng)絡(luò)安全最佳實踐和標(biāo)準(zhǔn)采用相關(guān)的重要問題，從 SBOM 準(zhǔn)備情況的研究開始。

　　Linux 基金會支持大量的開放源碼 SBOM 和安全相關(guān)的計劃，包括開源安全基金會[1]（OpenSSF）、SPDX[2]（ISO/IEC 5962[3]）、sigstore[4]、Let's Encrypt[5]、in-toto[6]、The Update Framework[7]（TUF）、Uptane[8]和OpenChain（ISO 5230）[9]。

　　額外資源

　　下載軟件材料清單狀態(tài)和網(wǎng)絡(luò)安全準(zhǔn)備報告[10]

　　請觀看2 月 1 日的網(wǎng)絡(luò)研討會[11]，了解軟件材料在網(wǎng)絡(luò)安全準(zhǔn)備中的作用

　　加入 6 個OpenSSF 工作小組[12]中的一個，以幫助提高開源安全性

　　閱讀SPDX 作為 SBOM 的 ISO 標(biāo)準(zhǔn)[13]

　　獲得關(guān)于生成免費軟件材料清單的免費培訓(xùn)[14]

　　獲得安全軟件開發(fā)專業(yè)人員的認證[15]