1. FIND
  2. 產業趨勢
  3. IT業界開始注重SBOM之重要性,並成為導入趨勢

IT業界開始注重SBOM之重要性,並成為導入趨勢



 

自從美國聯邦政府將「軟體物料清單(SBOM)」納入必要評估項目之後,使得提供聯邦政府軟體服務的供應商,其所提供之服務均成為SBOM的一部分,以確保軟體成分透明化及安全性。SBOM的概念也逐步普及到一般IT業界,導入採用將成為未來趨勢,尤其在軟體外包議題上,更需依靠SBOM,由業主來把關外包成品的品質和安全,以減少整合測試和上線運作的安全風險。

SBOM協助開源軟體規格與功能透明化 以降低風險

自從開源軟體被公家機構和民間企業廣泛導入應用後,雖然減少了許多傳統商用工具的授權和維護成本,但開源軟體若調校和整合不當,也容易發生資安風險和駭侵漏洞,因為有後續的「供應鏈攻擊」問題,因此需要藉由開立SBOM,讓開源軟體的規格和功能透明化,來減少潛藏的風險暴露。

依據Sonatype在2021年的統計,供應鏈攻擊的案件從2015年的216起、2020年的929起,成長到2021年的將近12,000起 (Sonatype, 2021);另根據Forrester專家在2021年指出,綜合530名資安決策主管的看法,有其中33%的攻擊活動來自外部第三方軟體與其漏洞 (Carielli, 2021)。

 

圖 1:2015~2021供應鏈攻擊成長幅度

資料來源: (Sonatype, 2021)

2023年SBOM準備率將達到9成 

依據VentureBeat對412個業者受訪後的分析,其SBOM的「準備率(Readiness)」,在2021年佔47%、2022年為78%,預估2023年結束後會達到90% (Sawers, 2022);另根據「Gartner’s 2022 Innovation Insight Report on SBOMs」指出,2022年已經有20%的企業,為其關鍵基礎設施和軟體導入SBOM,未來預估成長到60% (Brudo, 2022)。

 

圖 2:2021~2023 SBOM準備率預測

資料來源: (Sawers, 2022)

運用開源社群力量 有助於改善安全性及良率

經歷許多次足以影響軟體安全性的「供應鏈攻擊」事件之後,SBOM開始被業界所重視,並被逐步導入採用,除了提升軟體外包協作安全性,也能讓開發團隊加入其他業主的外包專案時,滿足業主的驗收需求。

另外,由於SBOM廣泛導入多種開源工具,除了要仰賴軟體開發團隊的測試和維護以策安全以外,還要依賴支持每個開源工具的開源社群力量,從SBOM用料源頭把關安全性,並將發現到的問題及時通報開源社群,來不斷改善安全性、精進品質和良率。

封面圖片來源: 123RF

參考資料

  1. Brudo, B. (2022, November 22). The rise of the SBOM—Our take on Gartner’s Innovation Insight report for SBOMs. Retrieved from Scribd: https://scribesecurity.com/blog/the-rise-of-sbom-take-on-gartner-report/ 

  2. Carielli, S. (2021, March 23). The State Of Application Security, 2021. Retrieved from Forrester: https://www.forrester.com/report/the-state-of-application-security-2021/RES164041 

  3. Hendrick, S. (2022, January). Software Bill of Materials (SBOM) and Cybersecurity Readiness. Retrieved from The Linux Foundation: https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/LF%20Research/State%20of%20Software%20Bill%20of%20Materials%20-%20Report.pdf 

  4. LMG Security. (2023, January 4). Do You Have an SBOM Strategy? Gartner Predicts Sharp Rise as a Critical Infrastructure Requirement. Retrieved from LMG Security: https://www.lmgsecurity.com/sbom-now-a-priority-according-to-new-report-on-open-source-code-risks/ 

  5. Sawers, P. (2022, February 2). The state of software bill of materials: SBOM growth could bolster software supply chains. Retrieved from VentureBeat: https://venturebeat.com/business/the-state-of-software-bill-of-materials-sbom-growth-could-bolster-software-supply-chains/ 

  6. (2021). 2021 State of the Software Supply Chain. Retrieved from Sonatype: https://www.sonatype.com/resources/state-of-the-software-supply-chain-2021 

 

 

 

 

 

 

延伸閱讀
資訊安全、SBOM、開源軟體

專家群介紹

王志清

區塊鏈應用落地 縱深防禦資安策略與管理(Build Security In ISMS) 建置大型敏捷團隊(Scrum@Scale Large-Scale Scrum) 企業數位賦能/轉型 先進研發架構規劃(DevOps DevSecOps) 新事業發展策略與規劃(Lean Startup Customer Development)

吳俊達

數位轉型

彭賢恩

消費市場行銷研究 產業分析 秘密客調查 問卷量表設計 數據分析

蔡政安

公司策略管理與執行力計畫輔導、創意管理與問題解決分析 企業導入設計思考 邏輯金三角系統化問題分析 新事業發展策略與商業模式設計 事業營運計劃書(BP)撰寫 淨零碳排ESG相關策略

鄭旭高

數位資產/虛擬資產/虛擬通貨等相關財務諮詢 稅務規劃 法務諮詢 風控諮詢 資安規劃 智能合約審計與投融資