OpenChain SBOM 国际标准落地实践分享.pdf

《OpenChain SBOM 国际标准落地实践分享.pdf》由会员分享，可在线阅读，更多相关《OpenChain SBOM 国际标准落地实践分享.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、刘东威 字节跳动（南京）科技有限公司研发工程师你知道吗？97%的商业仓库都使用开源软件，86%包含容易受到攻击的开源代码，56%存在许可证冲突。SBOM简介 前言你知道吗？Github上有5亿项目，且年增长率25%。SBOM是软件供应链安全合规的基础设施，是软件项目风险防控不可或缺的环节。信源：BlackDuck 2025 年度开源安全和风险分析报告信源：Github 2024 年代码洞察假设你周末做饭，没酱油了，去楼下买了瓶新的，看了下瓶身上的文字，水、食用盐、大豆.这是配料表。SBOM简介 SBOM是什么类比食品配料表，SBOM是软件项目的配料表。描述软件的“成分”，记录所有组件及其依赖关

2、系的清单。就像酱油有配料表，SBOM也有格式。现行广泛使用的是SPDX和CycloneDX。SBOM简介 SBOM格式 SBOM简介 OpenChain Telco SBOM 指南为什么选OpenChain Telco SBOM？SPDX兼容，且满足NTIA标准满足OpenChain ISO/IEC 5230:2020国际标准什么是标准？举个例子，酱油的配料表，类比于SBOM的格式，酱油符合国家安全食品标准，类比于SBOM标准。SBOM简介 OpenChain Telco SBOM 指南Do Upstream Works!翻译工作翻译工作、schemaschema实现实现、实践分享实践分享 S

3、BOM实践落地 前提条件制度规范作为底层设计需先行构建，同步跟进多维度宣传培训以强化认知，最后才可以推动 SBOM 在实际场景中落地实践。SBOM实践落地 3C原则在SBOM的生命周期中，从构造SBOM、到管控SBOM到催化SBOM是一个整体的过程。SBOM实践落地 3C原则构造Construct Q：SBOM作为配料表，软件供应链组件成分和依赖体现在哪里，怎么构造构造出来的？使用手机APP场景为例。SBOM实践落地 3C原则构造Construct 一些经验分享一些经验分享 聚焦重点场景。通过代码仓库画像，识别公司重点开发语言，重点投入资源支持。善用外部工具。通过采购商业工具，或者引入开源工具

4、，加速能力构建。指标体系构建。构建覆盖率和准确率的指标体系，通过多信源集成和人工校准，不断提升可信度。区别声明依赖和真实依赖。只采集真实依赖，对SBOM进行剪枝。构建风险知识库。刻画线上服务的供应链风险提供治理依据。SBOM实践落地 3C原则管控ControlQ：如何确保软件项目的SBOM安全合规？具体体现到研发的哪些环节？外部资产从开源社区或者商业购买进入公司，组件的安全性和合规性需要进行准入检测才可以进入公司内部研发环境。在研发活动中，会发生二三方组件安全漏洞、缺陷、合规等问题，对于中间管控环节，我们建立管控场景，对于存量被使用的组件版本进行召回，对于新增使用组件版本进行拦截，降低研发环境

5、的风险。在 TOB 和 APP 场景下，进行管控，准出拦截所有不合规的组件使用场景。SBOM实践落地 3C原则管控Control管控的场景下有哪些典型问题发生管控的场景下有哪些典型问题发生？间接依赖问题。业务研发被拦截的库不是他自身引入的，是他的依赖库引入的库，如果依赖库不整改，他无论如何也解不了合规问题。研发体验问题。业务研发正常迭代，突然引入卡点拦截，会影响上线节奏。见效周期慢。需要在阻塞业务研发的基础上，反向修复风险。模型很美好，现状很骨感 SBOM实践落地 3C原则催化CatalyzeQQ：如何减轻管制带来的副作用如何减轻管制带来的副作用？Catalyze，催化，是指通过外力主动加速演

6、进。在SBOM落地实践的语义下，是指在构建和管控的基础上，提供效率工具，加速演化生成合规SBOM的过程。IDE集成插件能力，提供业务在本地开发阶段最左侧识别风险，即时修复。开发AI修复风险工具。通过自动化提MR集成到业务开发流程，给业务研发减负。组件库成熟度管理。推荐业务使用高质量大社区下的成熟度较高的开源组件。Better And Less。并管控公司内部基建库，避免产生开源库风险。SBOM实践落地 案例风暴案例：某个开源三方库因为许可证问题，在公司内部不可以使用。但该三方