随着供应链日益复杂,固件相关攻击的风险也随之增加。固件是控制设备硬件的软件,它嵌入在从计算机、智能手机到路由器和工业控制系统等各种设备中。由于固件对设备的正常运行至关重要,因此也成为攻击者的主要目标。
现在,假设您是一家大型公司的首席信息官 (CIO),您的职责是管理公司所有产品的软件供应链安全。您不仅需要跟踪每个组件的依赖关系和来源,还需要掌握它们的作者、维护者以及上次更新时间。此外,您还需要了解所有已知的漏洞和正在使用的许可证。最后,您还需要能够对每个组件进行身份验证。
幸运的是,有一种工具可以帮助我们解决这个问题:软件物料清单 (SBOM)。SBOM 是一个机器可读文件,其中包含有关依赖关系、来源、作者、维护和更新历史的信息。
软件物料清单 (SBOM) 列出了设备中使用的所有软件组件及其版本号和其他相关信息。SBOM 的核心理念在于,通过准确了解产品中包含的软件,可以更轻松地识别任何潜在的安全漏洞。这对于固件安全尤为重要,因为固件通常是产品中最关键且最脆弱的部分之一。此外,要求供应商提供 SBOM 有助于确保他们遵守最佳的安全和质量控制规范。因此,虽然实施 SBOM 并不能彻底解决固件安全问题,但它确实有助于提升整体安全态势。通过要求供应商提供 SBOM,我们可以朝着确保设备免受恶意攻击迈出重要一步。
AMI 认为 SBOM 在供应链固件安全方面具有巨大潜力,并鼓励更广泛的社区支持这项计划。目前为止,反响令人鼓舞,许多公司都看到了其价值。AMI 很高兴能与供应链合作伙伴一起进入概念验证的下一阶段。我们正在寻找充满热情、富有创新精神的合作伙伴,共同推动项目取得成功。
如果您有兴趣与我们合作,请通过ami.com/contact联系我们。我们期待您的来信!
资源
相关行政命令:我们为什么必须这样做:
- https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
- https://www.ntia.doc.gov/files/ntia/publications/sbom_minimum_elements_report.pdf
Ripple20:我们为什么要做这件事。
谁在使用SBOM?为什么?
提供了关于行业概念验证的实用信息,以及更多通用的SBOM信息。
将 SBOM 与二进制文件关联起来的方法/工具:
- https://github.com/hughsie/python-uswid(LVFS/Redhat/Richard Hughes 的嵌入式 coSWID 标签解决方案)
- https://www.ietf.org/archive/id/draft-ietf-sacm-coswid-21.txt
概念验证
- https://toml.io/en/v1.0.0
- https://en.wikipedia.org/wiki/CBOR
- https://www.ntia.gov/files/ntia/publications/ntia_sbom_sharing_exchanging_sboms-10feb2021.pdf(广告和发现)
烦恼
SBOM 工具信息:
