【产通社,12月5日讯】乐鑫信息科技(上海)股份有限公司(Espressif Systems)认为,“软件物料清单(SBOM)”已经成为软件安全和软件供应链风险管理的关键组成部分,是确保联网设备安全性的关键,乐鑫现在提供了相关工具和解决方案,便于跟踪和分析这些信息。 SBOM是与应用程序相关的所有软件组件、依赖项和元数据的详尽清单。美国国家电信和信息管理局(NTIA)的SBOM FAQ对SBOM的官方定义如下: 软件物料清单(SBOM)是一个完整的、正式结构化的组件、库和模块列表,这些组件、库和模块是构建(即编译和链接)给定软件以及它们之间的供应链关系所需的。这些组件可以是开源的或专有的,免费的或付费的,可以广泛使用或限制访问。 每个组件的关键数据字段包括:供应商名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM数据作者、时间戳。 SBOM数据需要通过一致易懂的格式呈现,SPDX、CycloneDX等都是数据表示的格式。软件包数据交换(SPDX)是用于传递SBOM信息的开放标准,支持准确识别软件组件、明确映射组件关系,以及将安全和许可信息与每个组件关联起来。 ESP-IDF-SBOM是一个SBOM生成工具,为基于ESP-IDF的应用程序生成SPDX格式的SBOM。该工具还可以对比美国国家漏洞数据库(NVD),检查生成的SBOM中是否存在已知安全漏洞。 SBOM生成器工作流程大致如下: 从依赖组件中收集sbom.yml文件(manifest文件); 解析ESP-IDF构建系统生成的项目描述文件; 生成SPDX报告;扫描生成的SPDX报告,检查。 查询进一步信息,请访问官方网站http://www.espressif.com.cn/zh-hans/home。(张怡,产通发布)
|