全面管理 汽车备件SBOM最佳实践

全面管理 汽车备件SBOM最佳实践 随着SBOM被迅速接受，行业领导者已经开始开发创建、管理和使用SBOM 的方法。这些实践跨越了软件生命周期的各个关键阶段：

1、在统一的存储库中存储和管理 SBOM

虽然单个开发或应用团队可以将SBOM与他们的代码构件一起存储在存储库中，但安全团队必须在所有应用和开发团队中维护一个统一的SBOM存储库。当新的漏洞或安全事件出现时，安全团队和CISO需要快速查询所有软件的SBOM并即时评估影响，而不是分别从每个团队中获得单独的评估报告，或者不得不浪费事件从头开始查找和重新扫描他们所有的应用程序。此外，满足监管要求或合规标准也需要一个集中的存储库，用于生成报告和其他的合规活动。

2、要求所有进入供应链的软件提供SBOM

企业如果需要对所使用的软件保有可见性，那么收集 SBOM 信息以分析软件成分或应用是十分重要的。如果是第三方商业软件，那么软件供应商应该提供必要的 SBOM，并将其纳入你的 SBOM 资源库。

当使用的是开源组件来构建自定义软件时，在将其引入开发流程前企业应该直接扫描开源构件（如容器镜像）或者开源代码仓库。在某些情况下，开源项目可能会提供一个签名的 SBOM，这可以让企业将他们生成的 SBOM 与社区提供的 SBOM 进行比较来进行验证。

3、为每个开发环节和构建生成SBOM

各行各业的企业正在定制软件以迎合其独特的市场需求。大部分软件都由大量的开源代码组成（根据不同的应用程序，开源代码的占比在50—90%之间）以及内部开发的代码和第三方库。由于在构建阶段开源代码常常会引入额外的依赖项，因此在开发流程中的每一步及每一次构建软件时都扫描您的软件是至关重要的。这可以让您检测出意料之外的SBOM变更，这些变更可能由新依赖项或代码修改导致的。这些 SBOM 需要标记为特殊组件或他们所代表的应用程序。

4、为你所部署或交付的每个软件版本创建综合的SBOM

无论您是将软件交付给客户，还是帮助客户、员工、合作伙伴进行部署，您应该创建一个综合的SBOM，并标记为该版本软件的变更。这提供了一个追踪机制，可以让企业快速评他们生产的应用或组件的安全状况，同时评估新漏洞对此前开发的影响。对于将软件售卖或提供给外部用户的企业，您也可以提供必要的可见性和“信任报告”给软件的下游用户。

5、 将自动化应用于策略执行和告警

借助中心化的SBOM仓库和有效的SBOM管理能力，企业可以利用一个自动的策略引擎来应用策略规则，如同步特殊的监管要求或合规标准。同时，还可以应用任意内部要求。自动告警可以提醒您新漏洞或违反策略的行为，如此，受影响的团队可以快速修正重要问题并阻止受影响的镜像被部署。