想象一下：您在去開下一個會之前想吃點(diǎn)東西——比如說奶酪味餅干。當(dāng)您正要品嘗第一塊餅干時，有一個警告式的、注重健康的聲音敦促您檢查餅干的成分。

那么您還會吃這塊餅干嗎？

如果軟件開發(fā)是奶酪味餅干，那么經(jīng)過簽名的軟件物料清單（SBOM）就發(fā)揮著配料表、原產(chǎn)地聲明和官方食品安全印章的作用——這是一份全面的、經(jīng)過驗(yàn)證的、防篡改的清單，包括構(gòu)成軟件最終版本的所有組件。

SBOM在以下方面發(fā)揮著重要作用：確認(rèn)構(gòu)成軟件最終交付版本的大量組件，以及驗(yàn)證這些組件的連續(xù)性、完整性和真實(shí)性。

要點(diǎn)：如果您想要實(shí)現(xiàn)軟件信任，那么您需要為您所創(chuàng)建的每一個軟件都配備經(jīng)過簽名的SBOM。以下是為什么要這么做的六個原因。

經(jīng)過簽名的SBOM對比未經(jīng)過簽名的SBOM

通過為SBOM簽名，SBOM的作者在簽名時驗(yàn)證物料清單的真實(shí)性。簽名后進(jìn)行的任何添加、更改或刪除都能很快被確認(rèn)為未經(jīng)授權(quán)，因此值得懷疑。

它還可以作為SBOM的作者和終端消費(fèi)者之間的一種合同形式。未經(jīng)簽名的SBOM就像未簽署的協(xié)議。它可能包含也可能不包含正確信息，如果沒有雙方的驗(yàn)證，它不能用于在出現(xiàn)問題時追究一方的責(zé)任。

1.防止篡改。建立完整的信任鏈。

經(jīng)過簽名的SBOM實(shí)際上是一種防篡改印章。它向用戶和利益相關(guān)方保證，自其被創(chuàng)建人驗(yàn)證以來，軟件的內(nèi)容沒有被更改。

在供應(yīng)鏈環(huán)境中，這一點(diǎn)尤為重要，因?yàn)樵诠?yīng)鏈環(huán)境中，軟件組件往往要經(jīng)過多個環(huán)節(jié)。經(jīng)過簽名的SBOM提供了一種可驗(yàn)證的監(jiān)管鏈，增強(qiáng)了軟件組件的信任和完整性。

2.遵循規(guī)定。展示強(qiáng)大的安全策略。

隨著對軟件安全的監(jiān)管審查不斷加強(qiáng)，許多行業(yè)和政府開始強(qiáng)制使用SBOM。例如，美國關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令特別強(qiáng)調(diào)SBOM在理解和保護(hù)軟件供應(yīng)鏈方面的重要性。

在這樣的監(jiān)管環(huán)境中，為SBOM簽名不僅詳盡地證明了合規(guī)性，而且突出了企業(yè)對安全最佳實(shí)踐的承諾。

3.降低開源組件的風(fēng)險(xiǎn)。加快修補(bǔ)和更新的速度。

現(xiàn)代軟件越來越復(fù)雜，并往往基于開源組件而創(chuàng)建，其中每一個開源組件都可能引入漏洞。組件越多，檢測及緩解威脅的范圍和負(fù)擔(dān)就越大。

經(jīng)過簽名的SBOM能讓企業(yè)快速識別每個組件的狀態(tài)，尤其是在組件提供商已發(fā)布漏洞利用交換（VEX）信息的情況下，能更有效地追蹤漏洞并進(jìn)行相應(yīng)的修補(bǔ)和更新。

4.提供充分的透明度。做出更好的決策。

軟件開發(fā)過程中的透明度已成為用戶和利益相關(guān)方毫不妥協(xié)的要求。這不僅僅在于建立信任。透明度也有助于更好的決策。由于經(jīng)過簽名的SBOM提供所有組件的完整的、經(jīng)過驗(yàn)證的信息，這樣開發(fā)人員等可以對其所使用的組件做出更明智的選擇，并避免那些存在已知漏洞或許可問題的組件。

5.簡化事件響應(yīng)。將損壞降至最低。

在發(fā)生安全事件時，時間至關(guān)重要。經(jīng)過簽名的SBOM是一種可立即使用的參考，能夠大大簡化事件響應(yīng)過程。通過立即訪問經(jīng)過驗(yàn)證的組件列表，響應(yīng)團(tuán)隊(duì)可以快速識別受影響的組件并采取必要的行動，從而最大限度地減少損壞并縮短恢復(fù)時間。

6.鼓勵強(qiáng)大的安全文化。提供更好的產(chǎn)品。

為SBOM簽名的實(shí)踐與DevSecOps等安全軟件開發(fā)生命周期無縫契合。它從一開始就鼓勵安全文化，對每一個組成部分都進(jìn)行單獨(dú)的審查和驗(yàn)證。這種主動的安全方法可以顯著減少最終產(chǎn)品中的漏洞，從而實(shí)現(xiàn)更安全的軟件應(yīng)用程序、更大的信任度和更低的發(fā)布后問題風(fēng)險(xiǎn)。

結(jié)論：它對零食有益，對軟件也非常重要。

在當(dāng)今的軟件開發(fā)環(huán)境中，為SBOM簽名是必須的。這是一種增強(qiáng)軟件產(chǎn)品完整性和安全性、遵循監(jiān)管要求、降低安全風(fēng)險(xiǎn)、提高透明度、簡化事件響應(yīng)并鼓勵安全開發(fā)實(shí)踐的做法。

隨著軟件持續(xù)吞噬世界，軟件的安全性將日益有賴于SBOM簽名等做法。正如有健康意識的消費(fèi)者要檢查進(jìn)入其身體的食品成分一樣，尋求讓用戶和利益相關(guān)方建立信任的有安全意識的企業(yè)也需要采用SBOM簽名來確保其軟件供應(yīng)鏈的健康。