|
汽车备件SBOM 实践和流程汽车备件SBOM 实践和流程 最后一组SBOM最低要求元素涉及生成和申请SBOM的具体操作。具体而言,实践和流程部分包括以下6个方面的要求: 频率(Frequency): NTIA规定,“如果软件组件随着新的构建或发布而更新”,企业应该生成新的SBOM。此外,供应商在以下情况下也需要生成新的SBOM: 1)需要纠正原始版本中的错误 2)了解有关软件组件的新细节 深度(Depth): 合规的SBOM需要包含: 1)所有顶层组件 2)所有间接依赖关系。如果SBOM作者不能包含所有间接依赖关系,则需要囊括足够的信息,使消费者可以递归地找到他们。 已知的未知因素(Known Unknowns): 在SBOM作者没有提供完整的依赖关系图的情况下,他们需要说明这是因为: 1)该组件没有进一步的依赖关系,或者 2)不知道是否存在其他的依赖关系。 分发和交付: 这一部分分为几个环节,都是关于确保SBOM以可消化的格式快速交付。首先,SBOM被要求以“及时”的方式提供(尽管没有设定天数或周数)。其次,他们必须有“适当的”角色和访问权限。最后,SBOM可以与产品的每个实例一起分发或者以其他可访问的方式提供,如公开的网站。 访问控制: 如果供应商想将SBOM数据的访问限制在某些客户或用户,他们需要提供这种访问控制的条款。此外,供应商需要提供 “具体的允许和便利”,以便SBOM消费者能够将数据纳入其安全工具。 容错程度: 网络安全行政命令和指导SBOM创建的法规目前尚不成熟,因此,各组织被指示要对(无意的)错误或遗漏给予理解。 |