关于开源软件和第三方依赖的软件物料清单及实时漏洞监控的咨询 | OWASP基金会

OWASP基金会与新加坡网络安全局（CSA）合作发布了一份咨询，重点关注使用软件物料清单（SBOM）来增强开源和第三方软件依赖的漏洞管理。该咨询强调采用OWASP CycloneDX，这是一种由Ecma国际批准为ECMA-424的标准化SBOM格式，并突出OWASP、Ecma国际和CSA之间的联合努力以推广这一方法。咨询还介绍了OWASP Dependency-Track作为消费和分析SBOM的主要平台，为开发者提供实用工具和示例，将此流程集成到他们的工作流中。\n\n在开发项目中集成开源软件（OSS）带来了显著的网络安全挑战，尤其是来自第三方依赖的漏洞。Log4j和Heartbleed等高调安全事件说明了风险：许多组织在Log4j事件中因软件组件可见性不足而系统受损，而Heartbleed则通过利用OpenSSL库的漏洞导致数百万医疗记录被窃取。研究显示，平均软件项目包含约69个依赖和超过五个关键漏洞，如果开发者对应用组件缺乏全面了解，增加了泄露风险。\n\n该咨询面向集成OSS和第三方依赖的软件开发者，认识到虽然许多人意识到网络安全风险，但往往缺乏足够的指导或资源来在软件创建和部署过程中实施强有力的安全实践。它提出了一种可持续的自动化漏洞管理方法，利用SBOM结合实时漏洞监控，大大提升管理软件风险的效率和效果。\n\n传统上，手动管理OSS依赖既费力又易出错。开发者需要在复杂代码库中查找易受攻击的组件，延迟修复工作。SBOM提供了结构化、规范化的软件组件记录，实现对软件环境的全面可见性。这种透明度使开发者能够迅速定位和解决漏洞，减少技术债务和未来修复负担。通过将SBOM工具集成到持续集成和持续部署（CI/CD）管道，组织可以自动化SBOM的创建、签名和警报流程，从而实现对新兴漏洞的实时监控。\n\nSBOM还促进了开发、安全运营和事件响应团队之间的协作，提升整体漏洞管理并加快响应速度。这种协作方法减少了操作复杂性，支持主动风险缓解，同时不阻碍创新。将SBOM生成集成到CI/CD流程确保漏洞意识跟上软件组件的演变，允许对新发现的威胁立即采取行动。\n\n咨询概述了通过SBOM进行漏洞管理的三步法。第一步是工具选择：所选工具必须准确识别所有软件组件和依赖，包括间接依赖，并能无缝集成到如GitHub Actions或GitLab CI/CD的管道中。第二步是生成并签署符合CycloneDX或SPDX等公认标准的SBOM，通过加密签名和发布到透明日志确保真实性和可追溯性。第三步是主动漏洞管理：将SBOM发布到安全仓库，OWASP Dependency-Track等工具可自动摄取数据，实现持续监控和早期漏洞检测。\n\n建议开发者考虑SBOM的完整性取决于生成的清单文件，且不常见的编程语言可能降低检测准确性。对于SaaS和闭源软件，向第三方供应商请求SBOM至关重要，或采用运行时或基于二进制的SBOM工具捕获动态加载组件或编译二进制文件。发现漏洞后，开发者必须通知第三方供应商进行修复。同时，验证检测到漏洞的可利用性以避免团队被误报淹没，确保修复工作集中且有效。