📋 SBOM管理与最佳实践

📌 一句话概括

SBOM（软件物料清单）是软件供应链安全的基础设施——就像食品包装上的配料表，SBOM告诉你软件中用了哪些组件、什么版本、来自哪里。

💡 SBOM核心要素

① 格式标准

• SPDX：Linux基金会标准，ISO/IEC 5962
• CycloneDX：OWASP标准，支持更丰富的安全元数据

② 关键字段

• 组件名、版本号、供应商
• 许可证类型
• 已知CVE列表
• 依赖关系（直接/传递）

🔍 测试实战

1. SBOM生成

操作：使用工具生成项目的SBOM，验证完整性

工具：cyclonedx-bom -p . -o bom.json、Syft

2. SBOM比对审计

操作：将生成SBOM与安全数据库比对，查找已知漏洞

工具：Grype、trivy sbom bom.json

⚠️ 常见坑点

1. 生成一次后不再更新——SBOM需要随版本迭代持续更新
2. 只含直接依赖不含传递依赖——传递依赖的CVE无法被发现
3. 缺乏自动化流程——每次构建自动生成SBOM并比对基线

📖 延伸阅读

• CISA SBOM资源
• CycloneDX标准
• SPDX标准