軟體供應鏈清單（SBOM）的崛起：開啟安全與透明的新篇章

在當今複雜的軟體開發生態系中，安全性和透明度已成為重中之重。軟體供應鏈清單（Software Bill of Materials, SBOM）的概念，因此應運而生，旨在為企業提供一個全面透明的軟體組件清單，進而增強軟體供應鏈的安全性。

SBOM的定義與發展

SBOM就像是食品標籤上的成分標示，詳細列出構成軟體產品的所有組成元素，包括開源軟體、商業軟體以及自行開發的元件等。

SBOM組成

圖1 SBOM組成示意圖

資料來源：本研究整理+DALL‧E繪製

SBOM的概念源於需要更好地管理軟體中所包含的各個元件，伴隨著開源軟體與第三方元件的廣泛使用，亦帶來了諸多挑戰，尤其是在安全性和合規性方面。為了應對上述挑戰，SBOM應運而生，使組織能夠識別和追蹤軟體元件及其依賴關係。

隨著時間的推移，SBOM的重要性逐漸被業界認識到。特別是在一些重大的軟體供應鏈攻擊事件之後，例如SolarWinds事件，SBOM成為提高軟體供應鏈安全的關鍵工具。上述事件凸顯透明度在管理供應鏈風險中的重要性，並促進了對SBOM標準和實踐的進一步發展。

SBOM的重要性

1.提高安全性

通過識別軟體中的每個元件，組織可以更有效地管理安全風險。這包括及時發現和修補漏洞，以及避免使用含有已知安全問題的元件。

2.確保合規性

SBOM能夠幫助組織確保其使用的軟體元件符合相關的法律，避免因為誤用造成侵權等合規性等風險。

3.軟體供應鏈管理

SBOM使組織能夠更有效地管理其軟體供應鏈，包括追蹤組件的來源、管理軟體更新，以增加軟體透明度，確保軟體供應鏈的完整性和安全性。

SBOM的挑戰與未來

儘管SBOM帶來了許多好處，但在實施過程中也面臨著一些挑戰：

1.SBOM管理

隨著軟體項目的增加，管理大量的SBOM資料成為一個挑戰。組織需要有效的工具和流程來整合和管理這些資料。

2.標準化

業界有SPDX、CycloneDX與SWID Tags等格式，不同組織之間的資料交換與轉換議題變得複雜。

3.安全與隱私

在產生和共享SBOM時，必須考慮到安全性和隱私保護。不當處理SBOM資料可能會導致敏感資訊之洩漏。

封面圖片來源：DALL‧E繪製

參考資料來源：