这些组件的最大风险是安全漏洞,因为它们可能包含隐藏的缺陷或弱点,如果被恶意行为者利用,可能会导致严重的安全漏洞。此外,第三方组件有自己的一套许可条款和条件,这为其使用增加了另一层复杂性。
使用 SBOM 保护 SDLC
为了降低风险,我们决定使用软件物料清单 (SBOM)。它是构成我们产品的所有组件和依赖项的综合清单。它包括每个组件的名称、版本、许可证、哈希值和漏洞等信息。
SBOM 帮助我们识别和降低安全风险、遵守许可义务并跟踪软件供应链的变化。更具体地说,我们使用由 OWASP 开发的CycloneDX格式,这是一种开放标准,可实现与其他工具和平台的互操作性和集成。CycloneDX 的设计注重安全用例,同时简洁、准确且易于阅读。
在 Kontent.ai,作为我们安全 SDLC的一部分,SBOM 文件会不断生成并扫描已知漏洞。这一自动化流程让我们能够很好地了解所使用的第三方组件,并通过及早发现漏洞在增强网络安全方面发挥着至关重要的作用。得益于安全团队和开发团队之间的紧密合作,我们可以防止易受攻击的依赖项进入生产环境。
建立信任和透明度
除了增强我们的应用程序安全性之外 通辽电话号码数据 使用 SBOM 还能为与客户的关系带来好处。对易受攻击的依赖项进行分类还使我们能够生成漏洞利用交换 (VEX) 记录。
VEX 是一种数据模型,它提供有关软件组件中漏洞可利用性的详细信息。它深入了解漏洞的潜在影响、漏洞的利用难易程度以及成功利用漏洞必须满足哪些条件。这使我们能够对已识别的漏洞做出更明智和优先的响应。
我们很高兴地宣布,我们现有的客户现在可以按需获取我们的 SBOM 和 VEX。您可以使用我们的 API 将我们的 SBOM 和 VEX 数据集成到您自己的仪表板、报告或工作流程中。如果您对此功能感兴趣,请随时通过 [email protected] 与我们联系。
通过共享这些信息,我们旨在提高我们产品的透明度,并为我们的客户提供有关我们软件安全性的见解和保证。
我们期望 SBOM 和 VEX 能很快成为合规框架的一部分,以应对严重的供应链黑客攻击和行政命令 14028“改善国家网络安全”,该命令直接谈到了利用 SBOM 的必要性。
随着我们在日益互联的数字环境中不断前进,SBOM 的使用不仅将变得更加普遍,而且在确保软件安全性和合规性方面也将变得更加重要。在 Kontent.ai,我们很自豪能够站在这一重要转变的前沿,不断努力为客户提供最安全、最透明、最值得信赖的软件解决方案。
