DSDX——国内首个SBOM格式
01DSDX 清单有什么?
SBOM 清单信息:清单名称、ID、创建者、清单版本、创建阶段、创建时间等 项目基本信息:项目名称、宿主环境信息、运行时环境信息、EAR 信息等 组件信息:组件名称、ID、厂商、组件来源、组件类型、置信度、校验码、语言、依赖关系、依赖数量、依赖路径等 代码文件信息:名称、ID、校验码、路径、相似文件来源、相似度 代码片段信息:ID、来源文件 ID、校验码、代码片段位置、相似代码片段来源、相似度 依赖树信息:以 K-V 形式保存的项目完整依赖关系图 备注信息:其他备注信息
解读 一
DSDX 组件信息
由组件作为最小重复单元,结构更加简洁;
不同SBOM之间可以通过DSDX ID进行关联
解读二
DSDX 代码片段信息
代码文件/片段相似度及来源信息描述;
可以作为外部链接被DSDX引用,节省清单篇幅
02DSDX 亮点是什么?
DSDX汇聚了甲方用户实践经验与安全厂商技术应用视角,针对性适配中国企业实战化应用实践场景,其核心特点在于全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。
全场景覆盖:覆盖数字供应链全场景,涵盖源码、二进制、镜像等不同阶段的物料清单,对组件、漏洞、许可证风险全面覆盖,提供更加透明化的SBOM管理;
强大兼容性:兼容SPDX、CycloneDX、SWID国际标准和国内标准,但不止于主流规范,在最小元素集基础上扩展其他元素;
供应链数据溯源:涵盖数字供应链流转信息、可追溯文件、组件,依赖的过程变化及其来源,保证SBOM的修改全程可追溯;
强自身安全性:物料清单本身满足机密性要求和完整性要求,具备真实性校验、防篡改等保护机制。
03DSDX 如何应用?
开源应用组件级资产测绘:DSDX可以生成全面兼容、安全可溯源的软件物料清单,精细化识别开源软件组件及其构成和依赖关系,输出透明化的数字应用组件资产及风险清单。
许可证合规性管理:基于DSDX记录的开源软件许可证信息,进一步实现许可证条款解读、兼容性分析等,帮助企业确保自身遵守许可证相关条款,规避潜在的知识产权等法律问题或处罚,避免后续公司业务自身权益受到损害。
提升软件质量:基于DSDX提供的组件信息,识别出过时或废弃的组件,鼓励开发团队使用最新且安全的库,从而提高整体的软件质量。
安全事件应急响应:DSDX中包含了详尽的软件组成成分,安全团队可以通过DSDX分析软件风险,并进行持续监控;在有供应链安全事件发生时,安全团队也能根据DSDX快速定位第三方组件中已知漏洞的影响范围,并针对性地对修复措施进行优先级排序,加速供应链攻击事件应急响应速度。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。作为DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网:www.xmirror.cn
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...