近日,OpenSCA新版本v1.0.8正式发布,重磅功能持续更新,满足用户更多需求。
- V1.0.8 更新内容
支持生成SPDX格式的软件物料清单
2. 构建详细软件物料清单,透明化供应链软件资产
2.1 软件物料清单介绍
软件物料清单(SBOM,Software Bills of Materials)是描述软件包依赖树的一系列元数据,包括供应商名称、组件名称、版本号、许可证信息、依赖关系等关键信息,通过这些关键信息来构建详细的物料清单,帮助企业或团队梳理并透明化软件供应链资产。目前业界主流的生成SBOM的格式有软件包数据交换 (SPDX)、软件标识 (SWID)标记和OWASP CycloneDX等。
OpenSCA本版本支持的SPDX是由Linux基金会运营的一项国际公认的软件物料清单开放标准(ISO/IEC 5962:2021)。SPDX通过梳理与软件相关的组件、许可证、版权和安全相关数据等元数据,来提高许可证合规性、供应链的透明度和安全性。
2.2 为什么需要SBOM
- 梳理、透明化软件资产
- 组件漏洞风险、许可证风险管控治理
- 提高软件供应链安全性,防止软件供应链攻击
2.3 使用OpenSCA自动化构建生成SBOM
通过使用OpenSCA自动化构建并生成应用程序的SBOM,在每次添加、删除依赖项或更改组件版本时自动更新SBOM以确保SBOM的准确性。
2.3.1 使用流程
访问OpenSCA开源项目,下载OpenSCA最新版本:
https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases
https://github.com/XmirrorSecurity/OpenSCA-cli/releases
具体使用流程,请参考OpenSCA使用攻略。
2.3.2 生成SPDX
支持生成 .spdx、.spdx.json、.spdx.xml文件格式的SPDX规范,以生成.spdx.json为例,将导出报告的文件格式后缀改为.spdx.json :
# Windows执行命令opensca-cli.exe -url https://opensca.xmirror.cn -token ${token} -path ${project_path} -out output.spdx.json
2.3.3 结果示例
图:生成SPDX结果示例
2.4 SBOM展望
SBOM已成为软件安全和软件供应链风险管理的关键组成部分,它可以帮助企业、团队或个人更全面地了解软件供应链以及其中可能存在的安全性、合规性和质量等风险,并快速识别和修复潜在的安全漏洞,进而提高软件供应链的安全性。
Gartner在2020年的“应用程序安全测试魔力象限”中预测:到2024年,至少一半的企业软件买家要求软件供应商必须提供详细的、定期更新的SBOM,同时60%的企业将为他们创建的所有应用程序和服务自动构建SBOM。
尽管SBOM对于许多企业来说依然很陌生,甚至在国内并未形成规范,但其需求却在不断增长,未来也会有越来越多的企业要求其供应商提供SBOM,SBOM的管理也将帮助软件公司在市场上保持一定的竞争力。
3. 参与和贡献,共建开源项目
感谢每一位开源社区成员对OpenSCA的支持和贡献。我们鼓励更多伙伴参与到OpenSCA开源项目的建设中来,成为开源贡献者,有任何建议都可以发在评论区或者Gitee、GitHub上OpenSCA项目的Issues中。让我们一起拥抱开源,共筑开源安全生态,促进开源产业健康发展。OpenSCA是悬镜安全旗下源鉴OSS开源威胁管控产品的开源版本,继承了源鉴OSS的多源SCA开源应用安全缺陷检测等核心能力。OpenSCA用开源的方式做开源风险治理,致力于做软件供应链安全的护航者,守护中国软件供应链安全。OpenSCA的代码会在GitHub和Gitee持续迭代,欢迎Star和PR,成为我们的开源贡献者,也可提交问题或建议至Issues。我们会参考大家的建议不断完善OpenSCA开源项目,敬请期待更多功能的支持。
GitHub:
https://github.com/XmirrorSecurity/OpenSCA-cli/releases
Gitee:
https://gitee.com/XmirrorSecurity/OpenSCA-cli/releases
OpenSCA官网:
https://opensca.xmirror.cn/
欢迎大家扫码联系小镜
加入OpenSCA社区技术交流群