供应链攻击日益严重,微软开源 SBOM 生成工具


微软近日将其用于公司内部的 SBOM(Software Bill of Materials,软件物料清单)生成工具开源,以帮助技术行业和 IT 决策者更好地了解其工具的安全性以及软件供应链的依赖关系。

SBOM 的核心是建立一个软件所使用的组件之间在供应链关系上的明确记录,它是一个机器可读的文件,列出了产品中的所有组件,其中也包括所有的开源项目,这就有点像是食品包装上的成分表。通过这个 “成分表” 可以清楚的了解产品上下游之间的关系。

近些年网络安全问题频频发生,最近一起备受关注的漏洞事件应该就是去年年底 Log4j 中的远程代码执行漏洞,让依赖该项目的全球开发者加班加点修复这个问题。不过即便这件事情影响范围极广,在圈子里闹得沸沸扬扬,也依然有企业对此事不太了解的情况发生。因此,SBOM 对于一家企业的重要性自然不言而喻。

微软开发的这个工具名为 Salus,可在 Windows、Linux 和 Mac 平台上使用,并能根据 SPDX 规范生成 SBOM。微软将 Salus 定位为「通用的、经过企业验证的 SBOM 生成器」,可以轻松集成到软件构建的工作流程中。

Salus 创建的文档包含四个主要部分,包括文档创建信息(其中包含软件名称、SPDX 许可证、SPDX 版本、文档创建者和创建时间)、组成软件的文件列表、构建软件时使用的软件包列表,以及 SBOM 不同元素之间的关系列表。

在功能上,Salus 能够自动检测 NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、容器内的 Linux 软件包、Gradle、Ivy 和 GitHub 公共仓库。除此之外,Salus 还可以参考其他 SBOM 文件,以获取更加完整的依赖关系。

微软表示:

开放 Salus 的源代码是促进我们社区内合作和创新的重要一步,我们相信这将使更多的组织能够生成 SBOM,并为其发展作出贡献。

项目已托管至 GitHub 平台,地址如下:https://github.com/microsoft/sbom-tool


相關推薦

2024-07-21

赏金计划。该社区由 15,000 多成员组成,在整个 OSS AI/ML 供应链中寻找有影响力的漏洞。 “我们发现供应链中用于构建支持 AI 应用程序的机器学习模型的工具容易受到独有的安全威胁。这些工具是开源的,每月被下载数千次

2022-12-06

的安全性。最近的研究报告显示,恶意镜像已经成为软件供应链攻击中的攻击手段。而软件物料清单(SBOM)是应对软件供应链攻击的工具之一。 什么是SBOM 软件物料清单 (SBOM) 是一份正式记录,其中包含用于构建软件的各种组件

2023-03-22

赖开源软件而引入的 10 大安全和运营风险。 “尽管软件供应链严重依赖 OSS,但该行业缺乏一致的方式来理解和衡量 OSS 的风险。OSS 中的风险管理从许可证管理开始,然后演变为 CVE,但我们仍然缺乏包含安全、法律和应用程序

2023-04-22

组织在云原生开发方面面临的具体安全风险;包括其软件供应链面临的风险,以及如何降低这些风险以保护其应用程序和 IT 环境。该报告基于对全球 600 名 DevOps、工程和安全专业人士的调查,揭示了组织在云原生采用过程中面

2023-02-25

组件及其许可证、版本、和补丁状态。这是通过抵御软件供应链攻击来了解和降低业务风险的基本策略”。且开源组件的 SBOM 允许组织快速查明有风险的组件,并适当地确定修复的优先级。 下载完整报告。

2023-09-14

遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它来提交恶意代码。 路线图列出了四个关键优先事项,包括:确立 CISA 在支持开源软

2022-03-16

vue-cli 的依赖项 node-ipc 包正在以反战为名进行供应链投毒,该包在 npm 每周有上百万下载量。 知名技术网站 V2ex 的一条爆出了这个问题,用户  在使用 npm 构建前端项目时,启动项目后桌面自动创建了一个《 WITH-LOVE-FROM-AMERICA.t

2024-10-22

心耗电量的 5 到 20 倍,这将给本已紧张的劳动力和电力供应链带来压力。 目前,由生成式 AI 驱动的数据中心电力需求正在延长燃煤电厂的寿命。摩根士丹利估计,如果这一趋势持续下去,从现在到 2030 年,全球温室气体排放

2023-08-04

集性和用户输入的不可预测性,这种漏洞就会被放大。 供应链漏洞。LLM 应用程序生命周期可能会受到易受攻击的组件或服务的影响,从而导致安全攻击。使用第三方数据集、预训练的模型和插件会增加漏洞。 敏感信息泄露

2023-08-18

钥密码学是为防范传统计算机而设计的,将无法抵御量子攻击。幸运的是,随着最近包括 Dilithium 算法在内的公钥量子弹性加密技术的标准化,我们现在有了一条明确的途径来确保安全密钥免受量子攻击。 根据介绍,这一开源

2023-10-09

服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已经为最近被攻击利用的libwebp安全漏洞分配了新的最高CVE编号(CVE-2023-5129)。这个零日漏洞在两周前修补过。【VMware Ari

2023-02-10

理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。 Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor

2022-08-24

OS 组件中发现了一个可以远程触发的内存损坏漏洞,允许攻击者执行拒绝服务 (DoS) 攻击,或者在极端情况下执行远程代码执行 (RCE)。 微软的一名研究人员在今年 4 月下旬向谷歌报告了该漏洞。谷歌将其分配为 CVE-2022-2587,CVSS

2023-11-02

者不利,也对地球不利,因为这些过时的电脑将增加我们日益堆积的有毒电子垃圾。” 也有人提出了或许可以转用其他操作系统的想法。对此,Gutterman 则解释称,虽然开源社区一直都有在努力支持被其他厂商放弃的硬件,但对