logo

Command Palette

Search for a command to run...
Thuật ngữ SBOM

SBOM (Bảng Kê Thành Phần Phần Mềm) Là Gì?

Một Bảng Kê Thành Phần Phần Mềm (SBOM) là bản kiểm kê chi tiết các thành phần cấu thành một phần mềm, bao gồm các thư viện bên thứ ba và mã nguồn mở, và phiên bản khung làm việc. Nó giống như danh sách các thành phần bên trong ứng dụng.

Bằng cách theo dõi từng thành phần bên trong ứng dụng, nhóm phát triển có thể nhanh chóng phát hiện khi có lỗ hổng mới được phát hiện.

Tại Sao SBOM Quan Trọng Trong An Ninh Mạng

Ứng dụng hiện đại được xây dựng bằng cách kết hợp hàng trăm hoặc hàng nghìn phụ thuộc bên thứ ba và thư viện mã nguồn mở để tăng tốc phát triển. Nếu một trong số đó có lỗ hổng, nó sẽ đặt toàn bộ ứng dụng vào rủi ro.

một SBOM giúp nhóm phát triển:

  • Xác định lỗ hổng sớm hơn bằng cách lập bản đồ các thành phần bị ảnh hưởng
  • Cải thiện tuân thủ các tiêu chuẩn như NIST, ISO, hoặc Lệnh Hành Pháp 14028 tại Hoa Kỳ
  • Tăng cường an ninh chuỗi cung ứng bằng cách đảm bảo tính minh bạch trong thành phần phần mềm
  • Xây dựng niềm tin với khách hàng và đối tác bằng cách cho thấy các thành phần nào được bao gồm

Các Yếu Tố Chính Của Một SBOM

Một SBOM đúng chuẩn thường bao gồm:

  • Tên thành phần (ví dụ: lodash)
  • Phiên bản (ví dụ: 4.17.21)
  • Thông tin giấy phép (mã nguồn mở hoặc độc quyền)
  • Nhà cung cấp (dự án hoặc nhà cung cấp duy trì nó)
  • Mối quan hệ (cách các thành phần phụ thuộc lẫn nhau)

Ví dụ trong Thực tiễn: Vụ vi phạm Apache Struts (Equifax, 2017)

Năm 2017, kẻ tấn công khai thác lỗ hổng nghiêm trọng trong khung công tác Apache Struts (CVE-2017-5638), được sử dụng trong các ứng dụng web của Equifax (công ty đa quốc gia của Mỹ chuyên báo cáo tín dụng tiêu dùng). Bản vá cho lỗ hổng này đã có sẵn, nhưng Equifax không kịp thời áp dụng.

Do thiếu khả năng nhìn thấy tất cả các phụ thuộc và thư viện bên trong ứng dụng của họ, lỗi trong thư viện Struts không được chú ý, dẫn đến một trong những vụ vi phạm dữ liệu lớn nhất trong lịch sử, hơn 147 triệu dữ liệu cá nhân bị lộ.

Nếu có SBOM, Equifax có thể nhanh chóng:

  • Xác định rằng các ứng dụng của họ đang sử dụng phiên bản dễ bị tổn thương của Apache Struts
  • Ưu tiên vá lỗi ngay khi lỗ hổng được công bố
  • Giảm thời gian kẻ tấn công có thể khai thác điểm yếu

Trường hợp này cho chúng ta biết cách một SBOM có vai trò quan trọng trong việc giữ an toàn cho các thành phần phần mềm, giúp tổ chức hành động nhanh hơn đối với các lỗ hổng mới được tiết lộ

Thuật ngữ liên quan

Bước Tiếp Theo

Sẵn sàng bảo vệ ứng dụng của bạn? Chọn con đường của bạn phía trước.

Bắt Đầu Dùng Thử Miễn Phí

Thử Plexicus không rủi ro trong 14 ngày

Xem Giá

Giá cả minh bạch cho các đội nhóm ở mọi quy mô

Tham Gia Cộng Đồng

Tham Gia Cộng Đồng Toàn Cầu của chúng tôi

Đọc Tài Liệu

Đọc Tài Liệu Toàn Diện của chúng tôi

Tham gia cùng hơn 500 công ty đã bảo vệ ứng dụng của họ với Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready