1. 概览

OWASP CycloneDX是一个全栈物料清单(BOM)标准,为降低网络风险提供先进的供应链功能。该规范支持:

  • 软件材料清单(Software Bill of Materials,SBOM)
  • 软件即服务材料清单(Software-as-a-Service Bill of Materials,SaaSBOM)
  • 硬件材料清单(Hardware Bill of Materials ,HBOM)
  • 机器学习材料清单(Machine Learning Bill of Materials,ML-BOM)
  • 加密材料清单(Cryptography Bill of Materials,CBOM)
  • 制造材料清单(Manufacturing Bill of Materials ,MBOM)
  • 运营物料清单(Operations Bill of Materials,OBOM)
  • 漏洞披露报告(Vulnerability Disclosure Reports,VDR)
  • 漏洞可利用性(Vulnerability Exploitability eXchange,VEX)
  • CycloneDX认证(CDXA)

「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解-LMLPHP
使用CycloneDX,可以轻松识别和传达安全风险,从而实现有效的漏洞管理。它使用包URL、CPE和SWID,非常适合用于漏洞响应、GRC和CMDB系统。对服务的全面支持可深入了解应用程序或系统的潜在攻击面。利用来源、血统和配方数据为深入发现网络风险提供了机会。

CycloneDX是遵守第14028号行政命令的理想选择,因为它超过了美国国家电信和信息管理局定义的所有SBOM要求,同时也帮助各机构实现了《国家安全备忘录》(NSM-10)中关于量子安全系统和应用的密码学要求。

CycloneDX的最新版本为2024年4月9号发布的v1.6。

「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解-LMLPHP

2. 具体内容

OWASP SBOM权威指南主要包括如下内容,涉及到了CycloneDX的方方面面:

  • 漏洞管理
  • 企业配置管理数据库(CMDB)
  • 完整性验证
  • 真实性
  • 许可证合规性
  • 过时的成分分析
  • 出口合规性
  • 采购
  • 供应商风险管理
  • 供应链管理
  • 组合完整性与“已知未知”
  • 配方保证和验证
  • 加密资产管理
  • 识别弱密码算法
  • 后量子密码学(PQC)准备
  • 评估加密策略和咨询
  • 识别过期和长期的加密材料
  • 确保加密证书

「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解-LMLPHP

通过学习OWASP SBOM权威指南可以帮助组织充分利用CycloneDX。若想了解更多CycloneDX SBOM内容,可以参阅:

3. CycloneDX的优势

  • 易于采用、实施和扩展
  • 为快速采用和优化提供见解和最佳实践的官方指南
  • 广泛的可用工具目录
  • 单一标准支持完整软件和系统透明度所需的一切
  • 发现并与世界上最大的SBOM采用者、支持者和爱好者社区互动

4. 参考

[1] https://cyclonedx.org/
[2] https://cyclonedx.org/news/cyclonedx-v1.6-released/
[3] https://cyclonedx.org/guides/


推荐阅读:

「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解-LMLPHP

05-04 06:47