logo
Thuật ngữ SBOM

SBOM (Bảng Kê Vật Liệu Phần Mềm) là gì?

Một Bảng Kê Vật Liệu Phần Mềm (SBOM) là danh sách chi tiết các thành phần cấu thành một phần mềm, bao gồm các thư viện bên thứ ba và mã nguồn mở, và phiên bản khung. Nó giống như danh sách nguyên liệu bên trong ứng dụng.

Bằng cách theo dõi từng thành phần bên trong ứng dụng, đội ngũ phát triển có thể nhanh chóng phát hiện khi có lỗ hổng bảo mật mới được phát hiện.

Tại sao SBOM quan trọng trong An ninh mạng

Ứng dụng hiện đại được xây dựng bằng cách kết hợp hàng trăm hoặc hàng nghìn phụ thuộc bên thứ ba và thư viện mã nguồn mở để tăng tốc phát triển. Nếu một trong số đó có lỗ hổng bảo mật, nó sẽ đặt toàn bộ ứng dụng vào nguy cơ.

một SBOM giúp đội ngũ phát triển:

  • Xác định lỗ hổng sớm hơn bằng cách lập bản đồ thành phần bị ảnh hưởng
  • Cải thiện tuân thủ các tiêu chuẩn như NIST, ISO, hoặc Lệnh Hành Pháp 14028 tại Hoa Kỳ
  • Tăng cường an ninh chuỗi cung ứng bằng cách đảm bảo tính minh bạch trong thành phần phần mềm
  • Xây dựng niềm tin với khách hàng và đối tác bằng cách cho thấy các thành phần nào được bao gồm

Các yếu tố chính của một SBOM

Một SBOM đúng chuẩn thường bao gồm:

  • Tên thành phần (ví dụ, lodash)
  • Phiên bản (ví dụ, 4.17.21)
  • Thông tin giấy phép (mã nguồn mở hoặc độc quyền)
  • Nhà cung cấp (dự án hoặc nhà cung cấp duy trì nó)
  • Quan hệ (cách các thành phần phụ thuộc lẫn nhau)

Ví dụ trong thực tế: Sự cố Apache Struts (Equifax, 2017)

Năm 2017, kẻ tấn công khai thác lỗ hổng nghiêm trọng trong khung Apache Struts (CVE-2017-5638), được sử dụng trong các ứng dụng web của Equifax (một công ty đa quốc gia của Mỹ chuyên về báo cáo tín dụng tiêu dùng). Bản vá cho lỗ hổng này đã có sẵn, nhưng Equifax không kịp thời áp dụng.

Do thiếu khả năng hiển thị vào tất cả các phụ thuộc và thư viện bên trong ứng dụng của họ, lỗi trong thư viện Struts đã không được chú ý, dẫn đến một trong những vụ vi phạm dữ liệu lớn nhất trong lịch sử, hơn 147 triệu dữ liệu cá nhân bị lộ.

Nếu một SBOM đã được áp dụng, Equifax có thể nhanh chóng:

  • Xác định rằng các ứng dụng của họ đang sử dụng phiên bản dễ bị tổn thương của Apache Struts
  • Ưu tiên vá lỗi ngay khi lỗ hổng được công bố
  • Giảm thời gian mà kẻ tấn công có thể khai thác điểm yếu

Trường hợp này cho chúng ta thấy vai trò quan trọng của một SBOM trong việc giữ an toàn cho các thành phần phần mềm, giúp tổ chức hành động nhanh hơn đối với các lỗ hổng mới được công bố

Thuật ngữ liên quan

Bước Tiếp Theo

Sẵn sàng bảo vệ ứng dụng của bạn? Chọn con đường của bạn.

Bắt Đầu Dùng Thử Miễn Phí

Thử Plexicus không rủi ro trong 14 ngày

Xem Giá

Giá cả minh bạch cho các đội ngũ mọi quy mô

Tham Gia Cộng Đồng

Tham Gia Cộng Đồng Toàn Cầu của chúng tôi

Đọc Tài Liệu

Đọc Tài Liệu Toàn Diện của chúng tôi

Tham gia cùng hơn 500 công ty đã bảo vệ ứng dụng của họ với Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready