初識(shí)現(xiàn)成軟件清單（SBOM）

1、 4/4初識(shí)現(xiàn)成軟件清單（SBOM）【RREFACE】熟悉醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則（2022年修訂版）1的都知道，該指導(dǎo)原則中明確了醫(yī)療器械制造商需要識(shí)別的醫(yī)療器械網(wǎng)絡(luò)安全能力應(yīng)當(dāng)包括現(xiàn)成軟件清單（SBOM），并解釋了SBOM是指”產(chǎn)品為用戶提供全部現(xiàn)成軟件清單的能力”。該網(wǎng)絡(luò)安全能力為本修訂版中新增內(nèi)容。但是，該指導(dǎo)原則并未就SBOM應(yīng)該采用什么形式，包括什么內(nèi)容做進(jìn)一步的明確。企業(yè)在軟件開發(fā)過程中，對(duì)現(xiàn)成軟件的使用是比較常見的現(xiàn)象，更準(zhǔn)確的說是指開源軟件（Open Source Software，縮寫OSS）?，F(xiàn)代軟件系統(tǒng)與日益復(fù)雜且動(dòng)態(tài)變化的軟件供應(yīng)鏈息息相關(guān)，而OSS就是軟件供

2、應(yīng)鏈中最基礎(chǔ)的環(huán)節(jié)。據(jù)Synopsys監(jiān)測(cè)，開源代碼占代碼總量在2019年就接近70%，并以每年3%左右遞增。之所以廣泛使用OSS，是因?yàn)樗峁┝烁斓膭?chuàng)新和更高質(zhì)量的產(chǎn)品。但是，大多數(shù)管理者通常不太關(guān)注開發(fā)團(tuán)隊(duì)在開發(fā)過程中是否使用OSS，具體使用了哪些OSS，是否存在安全漏洞等。使用OSS缺乏安全評(píng)估、法務(wù)評(píng)估和引入流程，軟件供應(yīng)商無法在開發(fā)階段及時(shí)規(guī)避這些風(fēng)險(xiǎn)，這無形中給擬開發(fā)和待交付給客戶的軟件帶來了難以預(yù)知的安全隱患。當(dāng)有漏洞被揭露時(shí)，很少有企業(yè)可以快速、準(zhǔn)確地定位并響應(yīng)一些關(guān)鍵性問題。例如，產(chǎn)品是否受到該漏洞的影響，該漏洞影響了哪些產(chǎn)品線，哪些軟件的版本是否存在這些問題等。實(shí)際上該問

3、題的根源在于未在開發(fā)階段管理軟件產(chǎn)品的組成，缺乏對(duì)軟件系統(tǒng)組件和功能的全局可見性所造成的。從而大幅增加了網(wǎng)絡(luò)安全及開發(fā)、采購(gòu)、維護(hù)與處理的成本。伴隨著全球互聯(lián)網(wǎng)規(guī)模的逐漸增加，這些風(fēng)險(xiǎn)對(duì)個(gè)人用戶、相關(guān)組織，公共事務(wù)甚至國(guó)家層面的安全利益影響也越來愈大了?！綡ISTORY】2018年6月，美國(guó)商務(wù)部下屬的國(guó)家電信和信息管理局（National Telecommunications and Information Administation，NTIA）啟動(dòng)了一項(xiàng)旨在提升軟件供應(yīng)鏈透明度的項(xiàng)目，其核心理念是建立并推廣“軟件物料清單（Software Bill of Materials，SBOM）”體

4、系。即通過在軟件產(chǎn)品中提供一個(gè)技術(shù)文檔，來體現(xiàn)該產(chǎn)品在開發(fā)過程中所采用的所有物料（即現(xiàn)成軟件）、來源及供應(yīng)商關(guān)系。NTIA通過成立的4個(gè)專項(xiàng)工作組，分別于2019年11月和2021年3月完成了兩個(gè)階段的研究報(bào)告，明確了上述理念的可行性，提出了SBOM生成和分發(fā)的維度框架，以及需要進(jìn)一步明確的一些信息等。在這期間，2020年12月，還發(fā)生了基礎(chǔ)網(wǎng)絡(luò)管理軟件供應(yīng)商SolarWinds的Orion軟件更新包中被黑客植入后門，攻擊者通過偽造已被信任的SolarWinds令牌，欺騙并繞過防護(hù)，在目標(biāo)網(wǎng)絡(luò)環(huán)境中建立高權(quán)限賬戶，等待時(shí)機(jī)，以完成攻擊。該事件波及范圍包括政府部門，關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500

5、強(qiáng)企業(yè)，并由此加強(qiáng)了人們對(duì)SBOM的關(guān)注。2021年5月12日美國(guó)總統(tǒng)拜登簽署了旨在加強(qiáng)美國(guó)網(wǎng)絡(luò)安全實(shí)踐，保護(hù)美國(guó)聯(lián)邦政府系統(tǒng)的第14028號(hào)行政令關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令2，其中明確要求，任何向聯(lián)邦政府銷售軟件產(chǎn)品的組織都必須提供SBOM。該法案明確了“SBOM”是一份規(guī)范的清單，其中包含構(gòu)建軟件中使用的各種組件的詳細(xì)信息和層次依賴信息，且這些信息可被機(jī)器讀取識(shí)別。這些組件、庫和模塊，可以是開源的或私有的、免費(fèi)的或付費(fèi)的，并且被廣泛應(yīng)用或受到訪問限制使用。軟件開發(fā)人員和供應(yīng)商通常通過組裝現(xiàn)有的開源和商業(yè)軟件組件來創(chuàng)建產(chǎn)品。同年10月21日美國(guó)聯(lián)邦政府國(guó)家電信和信息管理局（NTIA）公布

6、了構(gòu)建軟件組件透明度：建立通用軟件物料清單（SBOM）（第二版）。該文件建立了一個(gè)通用的、格式化的、可操作的方法，以便識(shí)別并列出軟件組件及組件信息和關(guān)系依賴的清單，從而實(shí)現(xiàn)對(duì)軟件的組成、網(wǎng)絡(luò)安全和知識(shí)產(chǎn)權(quán)等方面的有效跟蹤。通用SBOM屬性的具體描述如下表所示：基線屬性集：包括作者姓名、時(shí)間戳、供應(yīng)商名稱、組件名稱、版本字符串、組件哈希值、唯一標(biāo)識(shí)符、關(guān)系；未確定的屬性值：包括無斷言（no assertation）、沒有值（no value）；映射現(xiàn)有的格式：基線屬性信息映射到SPDX、SWID等現(xiàn)有格式；組件關(guān)系：是基線屬性集中“關(guān)系”的進(jìn)一步細(xì)化補(bǔ)充，例如：直接包含、通過鏈接或編譯包含、修改

7、后包含等；附加元素：除了基線屬性外，可能還需要額外的元素和組件屬性，以支持不同的用例?！綢NTRODUCE】軟件可表示為由多個(gè)可擁有子組件的組件組成的層級(jí)樹。組件通常是來自其它來源的“第三方“，但可能也是”第一方“即來自同一個(gè)供應(yīng)商但可被唯一識(shí)別為獨(dú)立的可追蹤的軟件單元。每個(gè)組件都應(yīng)當(dāng)擁有自己的SBOM，列出自身組件，構(gòu)建層級(jí)樹。數(shù)據(jù)字段適用于每個(gè)組件，這些組件按照定義的實(shí)踐和進(jìn)程，通過用于自動(dòng)化支持的工具和格式進(jìn)行編碼。簡(jiǎn)單的概括，SBOM的生成過程大致可分為以下幾個(gè)步驟：識(shí)別軟件交付品中包含的軟件組件獲取可交付軟件中的組件數(shù)據(jù)。將組件數(shù)據(jù)導(dǎo)入結(jié)構(gòu)化的SBOM格式。驗(yàn)證SBOM以確保格式有效

8、且包含“基線”屬性?！維ECURITY】通過提高軟件供應(yīng)鏈透明度，可以達(dá)到降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和總體成本的目的，具體體現(xiàn)在以下幾個(gè)方面：提高識(shí)別易受攻擊的軟件組件的能力；減少因供應(yīng)鏈復(fù)雜性而導(dǎo)致的計(jì)劃外和低效的工作；幫助支持透明度的供應(yīng)商在市場(chǎng)中脫穎而出；使用通用的標(biāo)準(zhǔn)化格式以減少重復(fù)性工作；協(xié)助識(shí)別可疑的或假冒的軟件組件。使用OSS的企業(yè)和組織將需要一套用于SBOM管理的流程，使他們能夠生成、獲取、分析、存儲(chǔ)、監(jiān)控和共享SBOM，以提高其自身軟件供應(yīng)鏈的安全性?！綥ICENSE】今天，開發(fā)人員可能對(duì)于許可證并不是非常敏感，這是因?yàn)槿缃裨S可證類型變得越來越寬松。但是，相比于寬松的MIT和BSD協(xié)議

9、，GPL系列的許可證不允許修改和衍生的代碼做為閉源的商業(yè)軟件發(fā)布和銷售，且這類許可的OSS也占據(jù)著相當(dāng)?shù)谋壤?。?dāng)忽視這類許可證時(shí)，開發(fā)人員或組織可能會(huì)面臨法律上的風(fēng)險(xiǎn)。OSS涉及層層依賴關(guān)系，商業(yè)產(chǎn)品在使用OSS組件過程中不斷加入新的OSS組件，可能涉及不同或沖突協(xié)議，因此使用OSS組件需要關(guān)注OSS所依賴的其他OSS組件。生成和維護(hù)發(fā)布軟件的SBOM將有利于制造商對(duì)軟件涉及的OSS之間的許可證進(jìn)行系統(tǒng)的梳理和分析，避免不必要的法律糾紛甚至巨額賠償?！続FTERWORD】NTIA當(dāng)初做SBOM推廣項(xiàng)目之時(shí)就曾遇到不小的阻力，究其原因，一是該項(xiàng)目本身涉及的技術(shù)因素復(fù)雜，二是在推動(dòng)相關(guān)企業(yè)改變其既

10、有實(shí)踐方面遇阻。該項(xiàng)目下一步是否能突破難關(guān)，很大程度上取決于美國(guó)政府的決心與資源投入。目前美國(guó)FDA已在2022年4月發(fā)布的草案文件醫(yī)療器械的網(wǎng)絡(luò)安全:質(zhì)量體系考慮因素和上市前提交的內(nèi)容3中要求醫(yī)療器械制造商在產(chǎn)品標(biāo)識(shí)中披露符合要求的SBOM信息。而我國(guó)的一些車企、金融行業(yè)已經(jīng)開始要求軟件供應(yīng)商提供SBOM，其他行業(yè)還沒有正式執(zhí)行，而我國(guó)國(guó)內(nèi)的醫(yī)療器械行業(yè)僅以指導(dǎo)原則的形式提出了SBOM的引導(dǎo)，但還遠(yuǎn)沒有達(dá)到全面強(qiáng)制執(zhí)行的程度。中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)于2022年8月24日發(fā)布關(guān)于印發(fā)2022年第二批協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)項(xiàng)目計(jì)劃的函4中，有包含軟件物料清單（SBOM）構(gòu)建總體框架的團(tuán)體標(biāo)準(zhǔn)，預(yù)計(jì)2024年完

11、成。倘若SBOM實(shí)踐真正得到廣泛的應(yīng)用時(shí)，將有效提升軟件供應(yīng)鏈透明度，極大地便利軟件組件溯源、軟件產(chǎn)品依賴關(guān)系梳理、已知漏洞的影響范圍判斷、及時(shí)發(fā)現(xiàn)惡意軟件滲透等，從而有力支撐軟件供應(yīng)鏈相關(guān)監(jiān)管政策規(guī)則的落地實(shí)施。注：【1】醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則（2022年修訂版）/xwdt/shpgzgg/gztg/20220309085600367.html【2】關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/【

12、3】醫(yī)療器械的網(wǎng)絡(luò)安全:質(zhì)量體系考慮因素和上市前提交的內(nèi)容/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions【4】關(guān)于印發(fā)2022年第二批協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)項(xiàng)目計(jì)劃的函/standardPlanDetail/220?title=%E4%B8%AD%E5%9B%BD%E9%80%9A%E4%BF%A1%E6%A0%87%E5%87%86%E5%8C%96%E5%8D%8F%E4%