「 网络安全常用术语解读 」SBOM主流格式SWID详解

国际标准化组织(ISO)和国际电工委员会(International Electrotechnical Commission,IEC)发布了ISO/IEC 19770-2软件标识(Software Identification,SWID)标签标准,该标准定义了用于描述软件产品的结构化元数据格式。

SWID样例:

xml 复制代码
<SoftwareIdentity
 name="ACME Roadrunner Detector 2013 Coyote Edition"
 tagId="com.acme.rrd2013-ce-sp1-v4-1-5-0" version="4.1.5">
 <Entity name="The ACME Corporation"
 regid="acme.com" role="tagCreator softwareCreator"/>
 <Entity name="Coyote Services, Inc."
 regid="mycoyote.com" role="distributor"/>
 <Link rel="license" href="www.gnu.org/licenses/gpl.txt/">
 <Meta activationStatus="trial" product="Roadrunner Detector"
 colloquialVersion="2013" edition="coyote"/>
 <Payload>
 <Directory root="%programdata%" location="rrdetector">
 <File name="rrdetector.exe" size="532712"
 SHA256:hash="a314fc2dc663ae7a6b6bc6787594057396e6b3f569cd50fd5ddb4d1bbafd2b6a"/>
 <File name="sensors.dll" size="13295"
 SHA256:hash="54e6c3f569cd50fd5ddb4d1bbafd2b6ac4128c2dc663ae7a6b6bc67875940573"/>
 </Directory>
 </Payload>
</SoftwareIdentity>

1. 概览

SWID标签文档由一组结构化的数据元素组成,这些数据元素识别软件产品、描述产品版本、在产品生产和分发中发挥作用的组织和个人、关于构成软件产品的工件的信息、软件产品之间的关系以及其他描述性元数据。SWID标签中的信息为软件资产管理和安全工具提供了在软件部署生命周期中自动化管理软件安装所需的宝贵信息。

SWID标签支持软件库存自动化,作为软件资产管理(Software Asset Management,SAM)过程的一部分,评估计算设备上存在的软件漏洞,检测丢失的补丁,针对配置清单评估,软件完整性检查,安装和执行白名单/黑名单,以及其他安全和操作用例。

2. SWID 配套

2.1. NISTIR 8060

美国国家标准与技术研究所(NIST)与国土安全部(DHS)和国家安全局(NSA)合作,开发了NIST内部报告(NISTIR)8060:互操作SWID标签创建指南。作为ISO/IEC 19770-2:2015标准的配套文件,本报告描述了SWID标签的基本结构,为创建可互操作的SWID标签提供了进一步的指导,以实现网络安全用例。本报告有以下三个目的:

  • 介绍SWID标签的高级描述,以增加对该标准的熟悉程度
  • 提供标记实现指南,对SWID标记规范进行补充
  • 描述一组操作使用场景,说明如何使用符合这些指南的SWID标签来实现各种网络安全目标

若想了解更多SWID具体规范要求,可以参阅

2.2. SWID标签验证工具

作为NISTIR 8060的配套产品,NIST发布了SWID标签验证工具SWIDVal。标签生产商可以使用此工具来验证他们创建的标签是否符合ISO/IEC 19770-2:2015的要求和NISTIR 8060中的指南。

SSWIDVal工具当前最新版本为0.7.0(2022年1月发布),可点此获取swidval-0.7.0-swidval.zip (访问密码: 6277)

2.3. 安全内容自动化协议SCAP 1.3

NIST还将SWID标签的使用纳入了安全内容自动化协议( Security Content Automation Protocol,SCAP)1.3版。

若想了解SCAP,可以参阅博主前期博文《「 网络安全常用术语解读 」安全自动化协议SCAP详解》

3. SWID的网络安全价值

  • 简化软件发现
    • 帮助用户了解网络上运行的内容
  • 增强互操作性
    • 网络安全产品和服务可以交换信息
  • 支持自动化的连续监控服务
    • 可以快速检测到端点软件清单的变化
    • 包含有助于与安全咨询、漏洞报告和威胁情报关联的数据

4. 参考

[1] https://nvd.nist.gov/products/swid

[2] https://csrc.nist.gov/projects/Software-Identification-SWID


推荐阅读:

相关推荐
筑梦之月6 个月前
安全术语 | 软件包purl详解:跨工具、数据库、API和语言之间可靠地识别和定位软件包
开源治理
筑梦之月7 个月前
「 网络安全常用术语解读 」软件物料清单SBOM详解
sbom·开源治理
网安 云的小运营9 个月前
“软件定义汽车”时代下的软件供应链安全
安全·汽车·车联网·sbom·软件供应链安全·软件物料清单
manok1 年前
展望2024年供应链安全
代码审计·安全性测试·供应链安全·代码安全·开源治理
redrose21001 年前
JFrog----基于Docker方式部署JFrog
安全·sbom
redrose21001 年前
JFrog----常见的开源协议以及应用注意点
安全·jfrog·sbom