软件物料清单 ( SBOMs ) 是至关重要的网络安全工具,因为它们帮助企业定位、评估并降低软件风险。它们能够跟踪产品整个生命周期的软件更新和漏洞。
现代软件是利用来自不同来源的代码片段和方法构建的,包括开源和商业解决方案。应用程序的软件组件和依赖关系在一种称为软件物料清单 ( SBOM ) 的工具中详细描述 ( NTIA, 2021 ) 。SBOM 对于管理和理解当代软件供应链的复杂性至关重要,可以将其比作食品标签上的配料清单。软件包及其内容通过 SBOM 唯一标识,这是一种正式的、机器可读的元数据,其中也可能包含有关软件包内容的信息,例如版权和许可信息。
现代软件日益复杂,并容易受到编程错误和黑客攻击的影响,这导致了严重的安全隐患和兼容性问题。此外,由于人工智能的应用和开发速度的迅速加快,网络威胁不断找到演化、变得更加复杂和增多的方法。当我们不仅关注自身的代码库,还依赖于 70–80% 的开源软件以及其他供应商的第三方软件组件时,识别和解决安全漏洞就变得更加困难。然而,一些工具可以协助处理数据保护工作。
最近发生的一些高调事件凸显了 SBOM 在网络安全中的需求。例如,CrowdStrike 软件中的一个编程缺陷影响了全球超过 850 万台 Windows 计算机,造成了数十亿美元的损失。著名的 Linux 数据压缩程序 XZ Utils 被发现包含一个后门,这是 2024 年初一次复杂的国家级攻击的一部分。2021 年,93% 的云环境容易受到零日漏洞 Log4Shell 的攻击。在 FireEye 于 2020 年 12 月发现的 SUNBURST 攻击中,有害代码被嵌入到 SolarWinds 的 Orion 软件中。
据 CISA 高级顾问与策略师 Allan Friedman 表示,“一个充满活力的 SBOM 工具和解决方案生态系统将成为构建一个更加透明的软件驱动世界的关键。” 他指出,“软件中的漏洞是网络安全中的主要风险,已知的漏洞利用是不法分子实施各种危害的主要途径。通过将 SBOM 作为软件安全的关键要素,我们可以降低软件供应链的风险,并更快、更高效地响应新的风险。”
政府在全国范围内推动将网络安全整合到提供给政府的产品中,并将网络安全责任从机构转移到供应商和集成商,这一点在对 SBOM 的重视中得到了体现。
到 2025 年 2 月,陆军采购或开发的几乎所有新软件都必须具备 SBOM。为了确保供应链安全,陆军选择采用 SBOM 方法而非自我声明。这是因为 SBOM 提供了有关系统可能对网络构成风险的关键信息,并能协助组织尽可能地降低这些风险。
SBOM 在网络安全中扮演了重要角色,并且与私营和公共领域的 “零信任” 政策相契合。Cybeats 首席技术官兼联合创始人 Dmitry Raidman 表示,“经过验证的 SBOM 的一个显著优势在于其在网络安全和下游客户风险缓解方面的应用,例如电力分配厂、医院或水处理设施。行业研究表明,平均代码库包含 70–80%,在某些情况下甚至超过 90% 的开源软件组件,其中许多至少存在一个漏洞,有些漏洞如 Log4j 则极易被利用。因此,理解并持续监控代码组件及其漏洞至关重要。” 他指出,从供应商处收集 SBOM 并投资于处理和监控其资产漏洞生命周期管理的解决方案的公司,将在未来更好地应对网络安全挑战,确保其关键系统和基础设施的安全、保障性和韧性。
SBOM 可以帮助企业实时跟踪漏洞,并维持准确的软件清单。持续的安全性需要不断的漏洞生命周期监控。为了检测和解决已知漏洞,而不仅仅依赖于供应商发布的安全通告( 后者由供应商自行决定披露哪些漏洞 ),SBOM 可以提供对所使用精确软件版本的透明度,从而全面了解威胁态势。此外,它有助于管理和量化商业软件许可。组织可以将 SBOM 数据与 NIST NVD 和 CISA KEV 等数据库进行比对,以在发现新 CVE 时找出并优先处理受影响的系统,并且如果漏洞在其运营和环境中不构成风险,也可以记录其发现。
为了帮助评估 SBOM 组件信息与不同威胁特征和模式的匹配情况,美国国家安全局 ( NSA ) 支持使用 AI/ML 引擎及相关 “数据湖”。有效 SBOM 管理的一个关键组成部分是漏洞跟踪和分析,这包括从国家漏洞数据库 ( NVD ) 以及其他漏洞数据源提供每日更新。
在事件响应和威胁情报中,SBOM 至关重要。它们帮助安全团队在网络事件中迅速识别受损的应用组件,并确定可行的缓解方案和供应商更新。
根据 Verizon 2025 DBIR 报告,漏洞是导致数据泄露的主要原因之一。与 2024 年相比,利用漏洞获得初始访问权限并引发安全漏洞的攻击者增加了 34%。意识薄弱和补丁策略不足是影响这一数字的重要因素。基于风险的补丁管理表明,并非所有漏洞都需要立即修复。团队可以将 SBOM 与漏洞威胁情报 ( VTI ) 结合,特别是在存在已知漏洞利用以缓解风险的情况下,对威胁进行优先级排序。
在 GRC(治理、风险管理与合规)方面,SBOM 有助于确保在整个采购生命周期内的合规性和监管准备,并帮助避免购买无维护和不安全的产品。组织需要证明其在整个软件供应链生命周期中监控和管理风险,以符合关于安全软件开发的新政府法规。SBOM 为遵从 FDA、NIST、PCI DSS、PCI SSF、EU CRA、RED、ETSI EN 303 645、BSI TR-03183、EO 14028 以及即将出台的美国 DoD 采购要求提供了文档依据。
据 CISA 所述,“软件物料清单” ( SBOM ) 已成为软件安全和软件供应链风险管理的关键组成部分。随着企业越来越依赖第三方组件和复杂系统,软件供应链安全已成为首要责任。漏洞管理必须贯穿整个软件生命周期,从设计到部署再到运营,以应对各种安全威胁。这个涵盖面广的策略,有时被称为 “向左转移甚至更重要的向右转移”,确保漏洞始终能够被识别、评估和降低。
2019 年,医疗技术领域启动了一项概念验证,以评估 SBOM 在管理医疗设备中的运营和网络风险的能力。设备制造商 ( MDM ) 和医疗保健提供商 ( HDO ) 通过生成、交换和应用数据来改进安全流程,展示了 SBOM 的可行性。到 2025 年,随着数字风险环境的不断增加,所有行业都必须采用 SBOM,以促使他们构建和使用的软件产品在网络安全和透明度方面得到提升。
这并不仅仅局限于软件。随着团队在其产品中嵌入 AI 模型和语言流水线,人工智能软件物料清单 ( AI SBOM ) 变得必不可少。AI SBOM 列出了每个模型文件、训练数据集、代理以及外部推理服务,为产品安全团队提供了传统 SBOM 那样清晰的库存,直到代码的最后一行。Dmitry Raidman 解释说,AI SBOM 提供了 “智能功能的 X 光视图”,使团队能够准确了解在生产中运行的内容、其训练方式,以及他们从供应商收到或交付给客户的内容。
硬件物料清单 ( HBOM ) 对于物理组件起着同样的作用。它记录了每个芯片、板卡、传感器和固件版本,使安全和采购团队能够在产品投产前检测出仿冒部件和未经审核的替换品。黎巴嫩报道的一起长期计划的寻呼机硬件供应链攻击强调了 HBOM 透明度和验证的重要性;被篡改的寻呼机被秘密引入并随后被利用,这显示出当硬件来源不明时,单个被篡改的设备如何成为更大范围妥协的前哨。
加密物料清单 ( CBOM ) 记录了产品中的每种算法、协议、库和证书,为安全团队提供了关于加密所在位置的清晰地图。随着 CRYSTALS Dilithium 等量子安全标准的到来,你必须准确知道 RSA 2048 位或 ECC P-256 仍在哪些地方保护数据,以便及时安排向后量子加密的升级。Dmitry Raidman 总结道:“CBOM 是你的迁移路线图。当具备量子能力的攻击者即将来临时,如果你无法更换易受攻击的密码算法,甚至可能连它们是否存在都不清楚。”
在未来的数字环境中,SBOM、HBOM 和 CBOM 对于风险管理将至关重要。尽管 “BOM” 的采用周期仍处于初期阶段,但在硬件安全、软件安全和优化方面实现更多的透明度和问责制,将惠及公共和私营部门。
