Guide SBOM OpenChain Telco
10 juin 2024
Interlynk
La liste des matériaux logiciels (SBOM) permet aux organisations d'identifier les vulnérabilités, de suivre l'utilisation des logiciels open-source et de garantir la conformité aux obligations.
Cependant, chaque secteur et ses habitudes de production et de consommation de logiciels peuvent avoir des exigences spécifiques à leur industrie.
L'industrie des télécommunications a réalisé cela et le groupe de travail OpenChain Telco a été créé en mai 2021 pour répondre aux exigences uniques en matière de SBOM de l'industrie.
Propulsé par la participation de géants de l'industrie - Ericsson, Nokia, Huawei, KDDI Corporation, Fujitsu, Toshiba, Sony, Bosch parmi d'autres - le groupe de travail visait à recommander un format de données SBOM spécifique, à identifier les champs clés dans le format et les critères de distribution des SBOM.
Le groupe de travail OpenChain a publié la version 1.0 du Guide SBOM visant à créer un consensus pour une liste de matériaux logiciels de qualité (SBOM).
Exigences
Spécifications
SPDX 2.2 (vérifié contre SPDX 2.2.1)
SPDX 2.3
Formats de fichier
Tag:Valeur
JSON
Éléments requis
Informations de création du document
SPDXVersion: obligatoire dans SPDX
DataLicense: obligatoire dans SPDX
SPDXID: obligatoire dans SPDX
DocumentName: obligatoire dans SPDX
DocumentNamespace: obligatoire dans SPDX
Creator: obligatoire dans SPDX (voir les informations de construction SBOM ci-dessous)
Created: obligatoire dans SPDX
CreatorComment: pour pouvoir mettre des informations de construction SBOM (voir ci-dessous)
Informations sur la construction SBOM
Le champ
Creatordoit contenir une valeurOrganizationLe champ
Creatordoit contenir un nom deToolet sa versionLe champ
CreatorCommentdoit contenir des informations SBOMType telles que définies par CISA
Informations sur le paquet
PackageName: obligatoire dans SPDX
SPDXID: obligatoire dans SPDX
PackageVersion: nécessaire par “Éléments minimaux SBOM NTIA”
PackageSupplier: nécessaire par “Éléments minimaux SBOM NTIA”
PackageDownloadLocation: obligatoire dans SPDX
PackageChecksum: recommandé par “Éléments minimaux SBOM NTIA”
PackageLicenseConcluded: obligatoire dans SPDX
PackageLicenseDeclared: obligatoire dans SPDX
PackageCopyrightText: obligatoire dans SPDX
ExternalRef: pour pouvoir mettre l'URL du paquet
Informations sur le périmètre
Doit inclure tous les composants open-source, y compris les composants transitoires
Doit inclure tous les composants commerciaux
Doit inclure tous les composants "connus inconnus"
Informations sur les relations
Relations: à DÉCRIT et CONTIENT, nécessaires par “Éléments minimaux SBOM NTIA”
Moment de la livraison SBOM
Le SBOM DOIT être livré au plus tard au moment de la livraison du logiciel (sous forme binaire ou source).
Méthode de livraison du SBOM
Intégré dans le paquet de logiciels (si faisable) OU
Version hébergée sur le Web disponible pour copier et stocker pendant au moins 18 mois (si pas faisable)
Vérification du SBOM
Il est conseillé d'inclure une signature numérique du SBOM afin d'assurer l'intégrité du SBOM
Fusion du SBOM
Un SBOM conforme peut être construit à l'aide de plusieurs fichiers SBOM en utilisant des relations SPDX
Interlynk pour la conformité SBOM d'OpenChain Telco
Interlynk dispose d'un utilitaire multi-spécifications open source sbomqs qui est largement utilisé pour la qualité et la conformité des SBOM par rapport aux Éléments Minimums NTIA et BSI TR-03183-2. Nous avons élargi la capacité à rendre compte de la conformité à OpenChain Telco également.
sbomqs peut maintenant créer un rapport basique ou détaillé avec des formats table et JSON.
Rapport Basique
Rapport Table
Rapport JSON
TABLE DES MATIÈRES