软件物料清单的广泛应用仍面临挑战

关键要点

• 软件物料清单（SBOM）在广泛使用方面仍然面临困难。
• 实施SBOM被形容为“鸡与蛋的问题”。
• 现有SBOM存在不一致、漏洞和数据不完整等问题。
• CISA未来将优先改善SBOM的质量。
• 提高SBOM的生产将有助于转向SBOM的使用。

根据的报道，软件物料清单（SBOM）的广泛采用仍然是一项挑战。网络安全与基础设施安全局（CISA）高级顾问阿兰·弗里德曼（AllanFriedman）指出，鼓励SBOM的实施存在“鸡与蛋”的问题。他表示：“没有人询问它，因此没有人提供它；没有人提供它，因此没有人询问它。”弗里德曼负责美国国土安全部的SBOM研究。

根据Chainguard的丹·洛伦茨（DanLorenc）的说法，现有的SBOM存在许多不一致、漏洞和不完整的数据。这种低质量SBOM的普遍存在已促使CISA在短期内优先改善SBOM的质量。弗里德曼表示，提高SBOM的生产将最终使重心转向SBOM的消费。Linux基金会的计算机科学家凯特·斯图尔特（KateStewart）指出，“当我们能够在各个生态系统中消耗高质量的SBOM并有数据将其与漏洞匹配时，神奇的事情就会发生。”

相关链接 ： –

关键问题 | 解决方案
—|—
SBOM需求不足 | 提升SBOM生产和供应
SBOM质量低下 | 优先改善SBOM质量
数据不匹配 | 收集和对接漏洞数据

随着技术的不断发展，有效的SBOM管理在确保软件安全性和合规性方面变得愈发重要。推进SBOM的广泛采用不仅是技术挑战，更是行业合作和标准化的必要条件。