fbpx
维基百科

軟體供應鏈

十二月 12, 2023

軟體供應鏈(英語:software supply chain)是將製造業供應鏈概念用在軟體開發上,是指在軟體制品(software artifact)開發過程中,所需要的元件(component)、函式庫、工具和流程[1]

軟體供應商在開發軟體時,會整合开源软件商业软件的元件。軟體材料表(software bill of material,SBOM)[2]中列出軟體工件開發時需要的元件[3]。軟體材料表類似食品中的成份英语Ingredient標籤,成份標籤說明食品的成份,因此在選擇食品時,可以避開過敏物質。在選擇軟體時可以利用軟體材料表,避開會造成損害的軟體。

材料表(物料清單,bill of material,BOM)是在製造業就已形成的概念,也是供应链管理的一部份[4]。製造業利用材料表來追蹤製造時所需要的各種部件。若某部件有缺陷,透過材料表可以找出受影響的產品。

用途 编辑

軟體材料表對於軟體供應商以及軟體使用者都有幫助。軟體供應商會在開源軟體元件以及商業軟體元件中挑選適合的元件,整合成軟體。軟體材料表可以讓軟體供應商確認各個元件都是最新的,出現新的漏洞時,可以快速反應[5]。軟體使用者,可以用軟體材料表進行漏洞以及授權的分析,以評估此一產品的風險。

一些公司會用Excel來管理軟體材料表,不過用Excel呈現的軟體材料表有其風險以及問題。若軟體材料表集合起來放在存儲庫中,成為其他自動化系統中的一部份,其他的應用程式可以查詢其中的資料,其助益會更大。在軟體包資料交換規範英语Software Package Data Exchange(SPDX)開放標準中,有提到自動化軟體材料表流程的需求。

軟體材料表的格式有三種,軟體包資料交換規範(SPDX)是ISO/IEC 5962:2021指定的格式,此外還有NIST提出的SWID,以及OWASP提出的CycloneDX[6]

瞭解軟體供應鏈,產出軟體材料表,以及來分析漏洞,這些都是風險管理中重要的成份[7][8][9]

立法 编辑

美國曾經提出Cyber Supply Chain Management and Transparency Act of 2014[10],要求政府機關在購買新產品時,需要取得產品的軟體材料表,其中也針對「所有美國政府會使用的軟體、韌體及產品」,都要有軟體材料表。此法案後來沒有通過,不過也讓政府單位注意此一議題,也帶動之後的相關法案,例如Internet of Things Cybersecurity Improvement Act of 2017[11][12]

美國在2021年5月12日發佈有關提昇美國網路安全的行政命令(Executive Order on Improving the Nation’s Cybersecurity)[13],要求國家標準技術研究所在90天內訂定指引,其中包括有許多主題的標準、程序或是準則,目的是「強化軟體供應鏈的安全性」,其中也包括了「提供採購者所有產品的軟體材料表(SBOM)」。也強制美國國家電信暨資訊管理局英语National Telecommunications and Information Administration(NTIA)在60天內發佈「軟體材料表中的基本元素」。

NTIA在2021年7月12日發佈軟體材料表中的基本元素[14],其中也「說明讓軟體供應鏈更加透明的軟體材料表使用案例,並且列出後續演進的選項。」基本元素包括以下三類:資料欄位(每一個軟體元件的基線資訊)、是否支援自動化(是否可以用機器可讀以及人工可讀的格式產出軟體材料表),實務及流程(組織產生軟體材料表的時機,以及產生方式)。其中的「支援自動化」也有列出需要「自動生成」,可以使用軟體成份分析(software composition analysis,SCA)的方案來達成[15]

相關條目 编辑

參考資料 编辑

  1. ^ For Good Measure Counting Broken Links: A Quant’s View of Software Supply Chain Security (PDF). USENIX ;login. [2022-07-04]. (原始内容 (PDF)于2022-12-17). 
  2. ^ Software Bill of Materials. ntia.gov. [2021-01-25]. (原始内容于2022-11-30). 
  3. ^ [Part 2] Code, Cars, and Congress: A Time for Cyber Supply Chain Management. [2015-06-12]. (原始内容于2015-06-14). 
  4. ^ Code, Cars, and Congress: A Time for Cyber Supply Chain Management. [2015-06-12]. (原始内容于2014-12-30). 
  5. ^ Software Bill of Materials improves Intellectual Property management. Embedded Computing Design. [2015-06-12]. (原始内容于2018-08-25). 
  6. ^ 安全軟體開發有新實踐指引,NIST SSDF正受資安業者關注. iThome. 2022-10-20 [2023-11-02]. 
  7. ^ Appropriate Software Security Control Types for Third Party Service and Product Providers (PDF). Docs.ismgcorp.com. [2015-06-12]. (原始内容 (PDF)于2023-01-19). 
  8. ^ Top 10 2013-A9-Using Components with Known Vulnerabilities. [2015-06-12]. (原始内容于2019-10-06). 
  9. ^ Cyber-security risks in the supply chain (PDF). Cert.gov.uk. [2020-07-28]. (原始内容于2023-06-06). 
  10. ^ H.R.5793 - 113th Congress (2013-2014): Cyber Supply Chain Management and Transparency Act of 2014 - Congress.gov - Library of Congress. 4 December 2014 [2015-06-12]. (原始内容于2022-12-16). 
  11. ^ Internet of Things Cybersecurity Improvement Act of 2017 (PDF). [2020-02-26]. (原始内容 (PDF)于2023-01-19). 
  12. ^ Cybersecurity Improvement Act of 2017: The Ghost of Congress Past. 17 August 2017 [2020-02-26]. (原始内容于2022-12-16). 
  13. ^ Executive Order on Improving the Nation's Cybersecurity. The White House. 2021-05-12 [2021-06-12]. (原始内容于2021-05-15) (美国英语). 
  14. ^ The Minimum Elements For a Software Bill of Materials (SBOM). NTIA.gov. 2021-07-12 [2021-12-12]. (原始内容于2023-06-05) (美国英语). 
  15. ^ NTIA Releases Minimum Elements for a Software Bill of Materials. NTIA.gov. 2021-07-12 [2022-03-22]. (原始内容于2022-11-22) (美国英语). 

十二月 12, 2023
軟體供應鏈, 英語, software, supply, chain, 是將製造業的供應鏈概念用在軟體開發上, 是指在軟體制品, software, artifact, 開發過程中, 所需要的元件, component, 函式庫, 工具和流程, 軟體供應商在開發軟體時, 會整合开源软件及商业软件的元件, 軟體材料表, software, bill, material, sbom, 中列出軟體工件開發時需要的元件, 軟體材料表類似食品中的成份, 英语, ingredient, 標籤, 成份標籤說明食品的成份, 因此在. 軟體供應鏈 英語 software supply chain 是將製造業的供應鏈概念用在軟體開發上 是指在軟體制品 software artifact 開發過程中 所需要的元件 component 函式庫 工具和流程 1 軟體供應商在開發軟體時 會整合开源软件及商业软件的元件 軟體材料表 software bill of material SBOM 2 中列出軟體工件開發時需要的元件 3 軟體材料表類似食品中的成份 英语 Ingredient 標籤 成份標籤說明食品的成份 因此在選擇食品時 可以避開過敏物質 在選擇軟體時可以利用軟體材料表 避開會造成損害的軟體 材料表 物料清單 bill of material BOM 是在製造業就已形成的概念 也是供应链管理的一部份 4 製造業利用材料表來追蹤製造時所需要的各種部件 若某部件有缺陷 透過材料表可以找出受影響的產品 目录 1 用途 2 立法 3 相關條目 4 參考資料用途 编辑軟體材料表對於軟體供應商以及軟體使用者都有幫助 軟體供應商會在開源軟體元件以及商業軟體元件中挑選適合的元件 整合成軟體 軟體材料表可以讓軟體供應商確認各個元件都是最新的 出現新的漏洞時 可以快速反應 5 軟體使用者 可以用軟體材料表進行漏洞以及授權的分析 以評估此一產品的風險 一些公司會用Excel來管理軟體材料表 不過用Excel呈現的軟體材料表有其風險以及問題 若軟體材料表集合起來放在存儲庫中 成為其他自動化系統中的一部份 其他的應用程式可以查詢其中的資料 其助益會更大 在軟體包資料交換規範 英语 Software Package Data Exchange SPDX 開放標準中 有提到自動化軟體材料表流程的需求 軟體材料表的格式有三種 軟體包資料交換規範 SPDX 是ISO IEC 5962 2021指定的格式 此外還有NIST提出的SWID 以及OWASP提出的CycloneDX 6 瞭解軟體供應鏈 產出軟體材料表 以及來分析漏洞 這些都是風險管理中重要的成份 7 8 9 立法 编辑美國曾經提出Cyber Supply Chain Management and Transparency Act of 2014 10 要求政府機關在購買新產品時 需要取得產品的軟體材料表 其中也針對 所有美國政府會使用的軟體 韌體及產品 都要有軟體材料表 此法案後來沒有通過 不過也讓政府單位注意此一議題 也帶動之後的相關法案 例如Internet of Things Cybersecurity Improvement Act of 2017 11 12 美國在2021年5月12日發佈有關提昇美國網路安全的行政命令 Executive Order on Improving the Nation s Cybersecurity 13 要求國家標準技術研究所在90天內訂定指引 其中包括有許多主題的標準 程序或是準則 目的是 強化軟體供應鏈的安全性 其中也包括了 提供採購者所有產品的軟體材料表 SBOM 也強制美國國家電信暨資訊管理局 英语 National Telecommunications and Information Administration NTIA 在60天內發佈 軟體材料表中的基本元素 NTIA在2021年7月12日發佈軟體材料表中的基本元素 14 其中也 說明讓軟體供應鏈更加透明的軟體材料表使用案例 並且列出後續演進的選項 基本元素包括以下三類 資料欄位 每一個軟體元件的基線資訊 是否支援自動化 是否可以用機器可讀以及人工可讀的格式產出軟體材料表 實務及流程 組織產生軟體材料表的時機 以及產生方式 其中的 支援自動化 也有列出需要 自動生成 可以使用軟體成份分析 software composition analysis SCA 的方案來達成 15 相關條目 编辑可重现构建 軟體包資料交換規範 英语 Software Package Data Exchange 工具鏈 供应链攻击 代码签名 清单文件 相依性地狱 數位供應鏈安全參考資料 编辑 For Good Measure Counting Broken Links A Quant s View of Software Supply Chain Security PDF USENIX login 2022 07 04 原始内容存档 PDF 于2022 12 17 Software Bill of Materials ntia gov 2021 01 25 原始内容存档于2022 11 30 Part 2 Code Cars and Congress A Time for Cyber Supply Chain Management 2015 06 12 原始内容存档于2015 06 14 Code Cars and Congress A Time for Cyber Supply Chain Management 2015 06 12 原始内容存档于2014 12 30 Software Bill of Materials improves Intellectual Property management Embedded Computing Design 2015 06 12 原始内容存档于2018 08 25 安全軟體開發有新實踐指引 NIST SSDF正受資安業者關注 iThome 2022 10 20 2023 11 02 Appropriate Software Security Control Types for Third Party Service and Product Providers PDF Docs ismgcorp com 2015 06 12 原始内容存档 PDF 于2023 01 19 Top 10 2013 A9 Using Components with Known Vulnerabilities 2015 06 12 原始内容存档于2019 10 06 Cyber security risks in the supply chain PDF Cert gov uk 2020 07 28 原始内容存档于2023 06 06 H R 5793 113th Congress 2013 2014 Cyber Supply Chain Management and Transparency Act of 2014 Congress gov Library of Congress 4 December 2014 2015 06 12 原始内容存档于2022 12 16 Internet of Things Cybersecurity Improvement Act of 2017 PDF 2020 02 26 原始内容存档 PDF 于2023 01 19 Cybersecurity Improvement Act of 2017 The Ghost of Congress Past 17 August 2017 2020 02 26 原始内容存档于2022 12 16 Executive Order on Improving the Nation s Cybersecurity The White House 2021 05 12 2021 06 12 原始内容存档于2021 05 15 美国英语 The Minimum Elements For a Software Bill of Materials SBOM NTIA gov 2021 07 12 2021 12 12 原始内容存档于2023 06 05 美国英语 NTIA Releases Minimum Elements for a Software Bill of Materials NTIA gov 2021 07 12 2022 03 22 原始内容存档于2022 11 22 美国英语 取自 https zh wikipedia org w index php title 軟體供應鏈 amp oldid 79710484, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。