SBOM概念再演 CISA公布2025物料清最低所需元素指引草案
SBOM概念再演 CISA公布2025物料清最低所需元素指引草案
(中央社息服20251106 09:57:16)美路安全暨基施安全局(CISA)於2025年8月22日推出《2025物料清(SBOM)最低所需元素》指引草案,向公徵求修正意,以利利推施物料清(Software Bill of Materials,SBOM)之,其整安管理制有效整合,可供器理的料格式需求。本次草案整去已由家信暨管理局(National Telecommunications and Information Administration,NTIA)公布之SBOM最低所需元素目(The Minimum Elements For a Software Bill of Materials(SBOM)),因今需求另行新增部分最低所需元素目。
自美前拜登於2021年5月署行政命令14028(Executive Order on Improving the Nation’s Cybersecurity,EO14028)中裁示商部NTIA公布SBOM最低所需元素文件以,伴公、私部愈加重泛用SBOM,截至今,相技、工具功能之演已超2021年的技水,SBOM逐生新案例用方向,使SBOM有需求的得以要求更多於元件供的。
本次CISA所提出之SBOM最低所需元素指引草案,於元件基之料位(Data Fields),主要新增可助料完整、未受改的「元件值(Component Hash)」、元件所用的各「授(License)」、用以生成SBOM之「工具名(Tool Name)」,及示生命期中,SBOM所段可得之「生成背景(Generation Context)」等。
此外,CISA整原先NTIA所之最低所需元素目,如用中易商混淆之供商名(Supplier Name)以造者(Software Producer)替之;SBOM表作者(Author of SBOM Data)以通用SBOM Author替之,以表出 SBOM之角色定位;元件版本(Version of the Component)以Component Version替之,指出若造者未提供版本, SBOM 者得以案建立日期替代;其他唯一(Other Unique Identifiers)以(Software Identifiers)替之,定至少包含一元件相之,及新增部分型供指引使用者考。除上述各外,尚有元件名(Component Name)、供(Dependency Relationship)及戳(Timestamp)未更原用,更新或充相明。
策科法所表示,利用漏洞管理工具分析SBOM,助益公、私部迅速洞悉安全,及做出策、行漏洞修以降低人或失,已成目前安相管理措中的重要。上具代表性之安相位如CISA,亦持注SBOM在端境、AI展下的操作方式,研SBOM本身之方式,以提升其可信度。伴SBOM在安域日益提升的地位,相制之具作及後推行方式,值得持加以追的重要方向。
(中央社息服20251106 09:57:16)美路安全暨基施安全局(CISA)於2025年8月22日推出《2025物料清(SBOM)最低所需元素》指引草案,向公徵求修正意,以利利推施物料清(Software Bill of Materials,SBOM)之,其整安管理制有效整合,可供器理的料格式需求。本次草案整去已由家信暨管理局(National Telecommunications and Information Administration,NTIA)公布之SBOM最低所需元素目(The Minimum Elements For a Software Bill of Materials(SBOM)),因今需求另行新增部分最低所需元素目。
自美前拜登於2021年5月署行政命令14028(Executive Order on Improving the Nation’s Cybersecurity,EO14028)中裁示商部NTIA公布SBOM最低所需元素文件以,伴公、私部愈加重泛用SBOM,截至今,相技、工具功能之演已超2021年的技水,SBOM逐生新案例用方向,使SBOM有需求的得以要求更多於元件供的。
本次CISA所提出之SBOM最低所需元素指引草案,於元件基之料位(Data Fields),主要新增可助料完整、未受改的「元件值(Component Hash)」、元件所用的各「授(License)」、用以生成SBOM之「工具名(Tool Name)」,及示生命期中,SBOM所段可得之「生成背景(Generation Context)」等。
此外,CISA整原先NTIA所之最低所需元素目,如用中易商混淆之供商名(Supplier Name)以造者(Software Producer)替之;SBOM表作者(Author of SBOM Data)以通用SBOM Author替之,以表出 SBOM之角色定位;元件版本(Version of the Component)以Component Version替之,指出若造者未提供版本, SBOM 者得以案建立日期替代;其他唯一(Other Unique Identifiers)以(Software Identifiers)替之,定至少包含一元件相之,及新增部分型供指引使用者考。除上述各外,尚有元件名(Component Name)、供(Dependency Relationship)及戳(Timestamp)未更原用,更新或充相明。
策科法所表示,利用漏洞管理工具分析SBOM,助益公、私部迅速洞悉安全,及做出策、行漏洞修以降低人或失,已成目前安相管理措中的重要。上具代表性之安相位如CISA,亦持注SBOM在端境、AI展下的操作方式,研SBOM本身之方式,以提升其可信度。伴SBOM在安域日益提升的地位,相制之具作及後推行方式,值得持加以追的重要方向。
- 者:中央社
- 更多生活新 »
