2025解决软件供应链安全,开源安全的版本答案:SCA+SBOM

GitHub:

https://github.com/XmirrorSecurity/OpenSCA-cli/

Gitee:

https://gitee.com/XmirrorSecurity/OpenSCA-cli/

OpenSCA官网:

https://opensca.xmirror.cn/

根据Sonatype 发布的《软件供应链现状》报告,其中强调软件供应链攻击的威胁不断增加和及时更新的重要性,企业和个人需要采取积极的措施,并指导开发人员在软件供应链方面的安全实践。

报告中有以下几个关键发现

01 针对软件供应链的攻击显著增加

报告显示软件供应链攻击近期显著增加。2023年发现了超过245,032个恶意软件包,是自2019年至2022年间的两倍,平均每八个开源下载中就有一个存在已知且可以避免的风险

02 中国开源软件漏洞占比最高

下图是全球开源软件下载量最大的25个国家/地区,这些下载中,平均9.5%都是易受攻击的组件,中国更是高达13%。在我们随意的点击和下载时,就有数百亿的漏洞进入了软件供应链。

03 开源项目缺乏积极维护

研究发现,只有**11%**的开源项目正在积极维护,较2022年减少了18%。项目维护不足也是导致软件供应链中存在大量漏洞的原因。

04 漏洞发现周期长

39%的组织需要超过七天才能发现漏洞,这意味着给恶意攻击留了整整七天的空档期。

05 开源安全需要重视和投资

报告强调了大部分组织对于供应链安全的投入是远远不够的,而其实供应链安全是个极具性价比 的工作,仅仅通过较低的时间和成本投入,就可以大幅度改善**80%**左右的已存在问题。

06 几乎所有漏洞都可以用更新来修复

尽管这些攻击有所增加,但有96%的项目有修复漏洞后的更新版本。这意味着许多漏洞实际上是因为没有及时升级软件,而不是没有修复方案。

总的来说,Sonatype认为供应链攻击的大部分责任其实在使用者,比如log4j2已经是一个老生常谈的问题了,但是在上个月,仍有高达25%的新下载软件中包含该漏洞,但是其中大部分的项目有新版本可用,这种关键漏洞又极易被犯罪者利用,危害用户、企业、甚至国家的安全。

解决软件供应链安全真的没有那么难

开源安全的版本答案:

软件成分分析(SCA)+ 软件物料清单 (SBOM)

**软件成分分析(SCA)**是用于检测通用和广泛使用的库和组件(特别是开源组件)最为有效的方法之一,它不仅能够检测第三方组件中的开源安全风险和漏洞,还能提供有关每个组件的许可和漏洞信息。

通过OpenSCA https://opensca.xmirror.cn/的CLI 和IDE插件

VSCode

(https://marketplace.visualstudio.com/items?itemName=xmirror.opensca)

Jetbrains

(https://plugins.jetbrains.com/plugin/18246-opensca-xcheck)

可以在研发的早期阶段进行 SCA 检测并及时发现风险。

**软件材料清单(SBOM)**也被广泛认可为控制软件供应链风险的最佳实践。SBOM的应用可以增强软件供应链的可见性,使软件组件的溯源更加便捷,帮助理清软件产品之间的依赖关系,判断已知漏洞的影响范围,并及时发现潜在的恶意软件渗透,可以有力支持软件供应链相关监管政策和内部审核流程的实施和执行。

OpenSCA 现已支持输出 DSDX、CPDX、CycloneDX、SWID 在内的多种 SBOM 格式报告,亦可输入 SBOM 源文件来获取组件漏洞报告或转换为其它 SBOM 格式。

OpenSCA --- 1步获得标准SBOM

**只需在命令行执行检测命令:**​​​​​​​

复制代码
# 使用opensca-cli检测opensca-cli -path ${project_path} -config ${config_path} -out ${filename}.${suffix} -token ${token}
# 写好配置文件后也可以直接执行opensca-cliopensca-cli

就可以得到SPDX、Cyclone、SWID或DSDX

四种 标准格式的SBOM清单

SPDX

Cyclone

SWID

DSDX

相关推荐
xixingzhe228 分钟前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
中科岩创1 小时前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
字节跳动的猫1 小时前
支持二次开发的开源商城系统推荐:LikeShop、ShopXO 等主流商城源码解析
开源
xurime2 小时前
Excelize 开源十周年,发布 2.11.0 版本
golang·开源·github·excel·导出·导入·excelize·基础库
项目经理老王2 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
Jackson__4 小时前
为了拯救我的腰椎和颈椎,我做了款浏览器插件!
前端·javascript·开源
小李@Free2FA8 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
OpenCloudOS9 小时前
OpenCloudOS 理事会更新 | 腾讯云、海光助力建设 AI Infra 开源开放底座
人工智能·开源·腾讯云
威视锐科技9 小时前
从仿真走向真实空口:开源可复现无线科研平台的价值
开源·威视锐·无线科研
云祺vinchin9 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系