福布斯：SBOM、HBOM和CBOM作为网络安全促进者

软件物料清单 (SBOM) 是至关重要的网络安全工具，因为可以帮助公司定位、评估和降低软件风险。允许在产品生命周期内跟踪软件更新和漏洞。

现代软件是使用各种来源的代码片段和方法创建的，包括开源和商业解决方案。应用程序的软件组件和依赖关系在一种称为软件物料清单 (SBOM) 的工具中详细说明 (NTIA, 2021)。SBOM 对于管理和理解当代软件供应链的复杂性至关重要，其价值可与食品标签上的成分表相媲美。软件包及其内容由 SBOM 唯一标识，SBOM 是一种正式的、机器可读的元数据，其中可能还包含软件包内容的相关信息，例如版权和许可证信息。

现代软件日益复杂，且易受编程错误和黑客攻击，这引发了严重的安全隐患和兼容性问题。此外，由于人工智能的使用和开发速度的快速提升，网络威胁也在不断演变、复杂化和成倍增加。当我们不仅关注代码库，还关注我们所依赖的 70% 到 80% 的开源软件以及其他供应商的第三方软件组件时，识别和解决安全漏洞变得更加困难。然而，一些工具可以帮助我们处理数据保护工作。

最近发生的一些备受瞩目的事件凸显了网络安全中SBOM的必要性。例如，CrowdStrike 软件中的一个编程漏洞影响了全球超过850万台Windows计算机，造成了数十亿美元的损失。著名的 Linux 数据压缩程序XZ Utils被发现在 2024 年初左右的一次复杂的国家行为者攻击中存在后门。2021年，93% 的云设置容易受到 Log4Shell 零日漏洞的攻击。在 FireEye于2020年12月发现的 SUNBURST 攻击中，有害代码被嵌入到 SolarWinds 的Orion软件中。

CISA 高级顾问兼策略师Allan Friedman 表示：“蓬勃发展的 SBOM 工具和解决方案生态系统，对于构建更加透明的软件驱动世界至关重要。软件漏洞是网络安全的一个关键风险，已知漏洞是恶意行为者造成一系列危害的主要途径。通过利用 SBOM 作为软件安全的关键要素，我们可以降低软件供应链的风险，并更快、更有效地应对新的风险。”

政府大力推动将网络安全融入到提供给政府的产品中，并将网络安全责任从机构转移到供应商和集成商，这反映在对 SBOM 的重视上。

到2025年2月，美国陆军购买或开发的几乎所有新软件都需要有SBOM。为了获得供应链安全保障，陆军选择了SBOM方法，而非自我认证。这是因为SBOM提供了有关系统可能对网络构成风险的重要信息，并有助于组织机构尽可能地将这些风险降至最低。

SBOM 在网络安全中发挥着重要作用，并与私营和公共部门的“零信任”政策相一致。Cybeats 首席技术官兼联合创始人 Dmitry Raidman 表示：“经过验证的 SBOM 的一大显著优势在于能够应用于下游客户（例如配电厂、医院或水处理设施）的网络安全和风险规避。行业研究表明，平均代码库包含 70-80% 甚至超过 90% 的开源软件组件，其中许多组件至少存在一个漏洞，其中一些组件（例如 Log4j）极易被利用。因此，了解并持续监控代码组件及其漏洞至关重要。” 他指出，从供应商处收集 SBOM 并投资于解决方案来处理和监控其资产的漏洞生命周期管理的公司，将能够更好地应对未来的网络安全挑战，并确保其关键系统和基础设施的安全性和弹性。

SBOM 可以帮助企业实时追踪漏洞并维护准确的软件清单。持续的安全保障需要持续的漏洞生命周期监控。为了检测和解决已知漏洞，而不是仅仅依赖供应商发布的安全公告（由供应商自行决定披露哪些漏洞），SBOM 可以透明地显示正在使用的软件版本，并帮助企业全面了解威胁形势。此外，它还有助于管理和量化商业软件许可证。企业可以将 SBOM 数据与 NIST NVD 和 CISA KEV 等数据库进行比较，以便在发现新的 CVE 时查找受影响的系统并确定其优先级，如果漏洞不会对其运营和环境构成风险，还可以记录其发现结果。

为了帮助评估 SBOM 组件信息以应对不同的威胁特征和模式，美国国家安全局 (NSA) 支持使用 AI/ML 引擎和相关的“数据湖”。高效 SBOM 管理的一个关键要素是漏洞跟踪和分析，这需要从国家漏洞数据库 (NVD) 和其他漏洞数据源提供每日更新。

SBOM 对于事件响应和威胁情报至关重要。它们可以帮助安全团队快速识别应用程序中受感染的组件，并在网络事件期间确定可用的缓解选项和供应商更新。

根据Verizon 2025 DBIR 报告，漏洞是造成数据泄露的主要原因。与 2024 年相比，攻击者利用漏洞获取初始访问权限并造成安全漏洞的次数增加了 34%。安全意识和补丁策略是影响这些数字的重要因素。基于风险的补丁管理表明，并非所有漏洞都需要立即修复。团队可以将 SBOM 与漏洞威胁情报 (VTI) 相结合，以确定威胁的优先级，尤其是在存在已知的漏洞利用方案的情况下。

GRC 和 SBOM 有助于确保整个采购生命周期的合规性和监管准备，并有助于避免购买缺乏维护和不安全的产品。组织需要证明其根据政府关于安全软件开发的新法规，在整个软件供应链生命周期内监控和管理风险。SBOM 提供符合 FDA、NIST、PCI DSS、PCI SSF、EU CRA、RED、ETSI EN 303 645、BSI TR-03183、EO 14028 以及即将出台的美国国防部采购要求的文档。

CISA 表示，“软件物料清单”（SBOM）已成为软件安全和软件供应链风险管理的关键组成部分。随着企业越来越依赖第三方组件和复杂系统，软件供应链安全已成为重中之重。漏洞管理必须贯穿整个软件生命周期，从设计到部署和运营，以应对各种安全威胁。这种包罗万象的策略，有时被称为“左移”，更重要的是“右移”，可以确保漏洞得到持续识别、评估和减少。

2019年，医疗技术行业启动了一项概念验证，以评估SBOM管理医疗器械运营和网络风险的能力。设备制造商 (MDM) 和医疗保健 (HDO) 提供商通过生成、交换和应用数据来改进安全流程，证明了SBOM的可行性。2025年，随着数字风险格局的不断加剧，所有行业都必须利用SBOM，以提高其所生产和消费的软件产品的网络安全性和透明度。

它并不仅限于软件。随着团队在其产品中嵌入 AI 模型和语言流水线，人工智能软件物料清单 (AI SBOM) 变得至关重要。AI SBOM 列出了每个模型文件、训练数据集、代理和外部推理服务，为产品安全团队提供了与传统 SBOM 相同的清晰清单，直至最后一行代码。Dmitry Raidman 解释说，AI SBOM 提供了“智能功能的透视图”，使团队能够准确了解生产中正在运行的内容、训练方式以及他们从供应商处收到的内容或交付给客户的内容。

硬件物料清单 (HBOM) 对物理组件也起着同样的作用。映射每个芯片、电路板、传感器和固件版本，以便安全和采购团队能够在产品投入生产之前检测到假冒部件和未经审查的替代品。黎巴嫩报道的一起长期策划的寻呼机硬件供应链攻击事件凸显了 HBOM 透明度和验证的重要性；被篡改的寻呼机被秘密引入，随后被利用，这表明，在硬件来源不明的情况下，单个被篡改的设备可能会成为更大范围攻击的跳板。

密码学物料清单 (CBOM) 会将产品中的所有算法、协议、库和证书进行分类，让安全团队清晰地了解密码学的现状。随着 CRYSTALS Dilithium 等量子安全标准的出现，您必须确切了解 RSA 2048 位或 ECC P-256 仍在哪些领域保护数据，以便及时安排升级到后量子密码技术。Dmitry Raidman 总结道：“CBOM 是您的迁移路线图。当量子攻击者即将出现时，您无法替换易受攻击的密码，甚至都不知道您已经替换了哪些。”

SBOM、HBOM 和 CBOM 将在未来数字环境中成为风险管理的关键。尽管“BOM”的采用周期仍处于早期阶段，但提高硬件安全、软件安全和优化方面的透明度和问责制将使公共和私营部门都受益。