「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解

CycloneDX是软件供应链的现代标准。CycloneDX物料清单（BOM）可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导，由Ecma International标准化，并得到全球信息安全界的支持，如今CycloneDX已经是OWASP旗舰项目。

1. 概览

OWASP CycloneDX是一个全栈物料清单（BOM）标准，为降低网络风险提供先进的供应链功能。该规范支持：

• 软件材料清单（Software Bill of Materials，SBOM）
• 软件即服务材料清单（Software-as-a-Service Bill of Materials，SaaSBOM）
• 硬件材料清单（Hardware Bill of Materials ，HBOM）
• 机器学习材料清单（Machine Learning Bill of Materials，ML-BOM）
• 加密材料清单（Cryptography Bill of Materials，CBOM)
• 制造材料清单（Manufacturing Bill of Materials ，MBOM)
• 运营物料清单（Operations Bill of Materials，OBOM)
• 漏洞披露报告（Vulnerability Disclosure Reports，VDR)
• 漏洞可利用性（Vulnerability Exploitability eXchange，VEX）
• CycloneDX认证（CDXA）

使用CycloneDX，可以轻松识别和传达安全风险，从而实现有效的漏洞管理。它使用包URL、CPE和SWID，非常适合用于漏洞响应、GRC和CMDB系统。对服务的全面支持可深入了解应用程序或系统的潜在攻击面。利用来源、血统和配方数据为深入发现网络风险提供了机会。

CycloneDX是遵守第14028号行政命令的理想选择，因为它超过了美国国家电信和信息管理局定义的所有SBOM要求，同时也帮助各机构实现了《国家安全备忘录》（NSM-10）中关于量子安全系统和应用的密码学要求。

CycloneDX是世界上多个政府和国防工业基地的标准。CycloneDX在卫星和太空系统、导弹制导系统和算法战方面备受信赖，在保卫国防方面发挥着作用。

CycloneDX的最新版本为2024年4月9号发布的v1.6。

2. 具体内容

OWASP SBOM权威指南主要包括如下内容，涉及到了CycloneDX的方方面面：

• 漏洞管理
• 企业配置管理数据库（CMDB）
• 完整性验证
• 真实性
• 许可证合规性
• 过时的成分分析
• 出口合规性
• 采购
• 供应商风险管理
• 供应链管理
• 组合完整性与“已知未知”
• 配方保证和验证
• 加密资产管理
• 识别弱密码算法
• 后量子密码学（PQC）准备
• 评估加密策略和咨询
• 识别过期和长期的加密材料
• 确保加密证书

通过学习OWASP SBOM权威指南可以帮助组织充分利用CycloneDX。若想了解更多CycloneDX SBOM内容，可以参阅：

• OWASP SBOM权威指南(第二版).pdf (访问密码: 6277)
• CycloneDX一页通.pdf (访问密码: 6277)

3. CycloneDX的优势

• 易于采用、实施和扩展
• 为快速采用和优化提供见解和最佳实践的官方指南
• 广泛的可用工具目录
• 单一标准支持完整软件和系统透明度所需的一切
• 发现并与世界上最大的SBOM采用者、支持者和爱好者社区互动

4. 参考

[1] https://cyclonedx.org/
[2] https://cyclonedx.org/news/cyclonedx-v1.6-released/
[3] https://cyclonedx.org/guides/

---

推荐阅读：

• 「 网络安全常用术语解读 」软件物料清单SBOM详解
• 「 网络安全常用术语解读 」SBOM主流格式SPDX详解