最近美国总统的行政命令专注于应对网络安全威胁有一整节专门讨论“加强软件供应链安全”。它宣布了即将出台的标准、程序或标准,特别是关于以下方面的特定手段:
(x)在切实可行的范围内,确保并证明产品任何部分中使用的开源软件的完整性和来源。
KYSW和SBOM即将到来…
事实上,今天大部分软件产品都集成和重用了外部组件,其中大多数是开源的,如果不知道组成软件系统的部分及其来源,就不可能保证软件系统的安全。很明显,一个新的原则即将到来:如果你开发、集成、获取或运行一个基于软件的系统,你需要“了解您的软件”(KYSW),就像银行有义务“了解你的客户”(KYC).
确保所有软件供应链的完整可追溯性涉及以二进制和源代码形式创建、共享、验证和跟踪所有软件组件。这不是一项容易的任务NTIA公司一直在努力编写一个信息包,介绍如何通过软件物料清单(SBOM).
…软件遗产可以提供帮助!
软件遗产可以在以下几个方面帮助改进软件供应链的可追溯性:
- 它正在构建和维护一个中立、通用、共享、开放、非盈利, 参考知识库包括所有公开可用的软件源
- 它存储所有源代码及其开发历史在中一致的、技术中立的全局Merkle图,与不断增长的镜像网络一起,透明的信任来源
您现在可以利用这些功能:
- 了解更多信息SWHID标识符并使用它们来指定源代码工件以实现可追溯性
- 确保与您相关的开源组件已正确存档:
我们也很高兴欢迎愿意构建“列表器“和”装载机“由于一个斯隆基金会的拨款.