OpenChain Telco SBOM Gids
10 jun 2024
Interlynk
Software Bill of Materials (SBOM) stelt organisaties in staat om kwetsbaarheden te identificeren, het gebruik van open source bij te houden en te zorgen voor naleving van verplichtingen.
Elke sector en hun productie- en consumptiegewoonten van software kunnen echter hun eigen specifieke vereisten hebben.
De telecomsector realiseerde zich dit en OpenChain Telco werkgroep werd in mei 2021 opgericht om in te spelen op de unieke SBOM-vereisten van de sector.
Met deelname van industrie-giganten - Ericsson, Nokia, Huawei, KDDI Corporation, Fujitsu, Toshiba, Sony, Bosch onder anderen - had de werkgroep als doel een specifiek SBOM-dataformaat aan te bevelen, belangrijke velden in het formaat te identificeren en criteria voor het distribueren van SBOM vast te stellen.
De OpenChain werkgroep heeft SBOM Gids Versie 1.0 vrijgegeven die gericht is op het creëren van consensus voor een kwaliteits Software Bill of Materials (SBOM).
Vereisten
Specificaties
SPDX 2.2 (geverifieerd tegen SPDX 2.2.1)
SPDX 2.3
Bestandsformaten
Tag:Waarde
JSON
Vereiste Elementen
Informatie over documentcreatie
SPDXVersie: verplicht in SPDX
DataLicentie: verplicht in SPDX
SPDXID: verplicht in SPDX
DocumentNaam: verplicht in SPDX
DocumentNamespace: verplicht in SPDX
Maker: verplicht in SPDX (Zie SBOM Bouwinformatie hieronder)
Gemaakt: verplicht in SPDX
MakerOpmerking: om SBOM Bouwinformatie te kunnen toevoegen (Zie hieronder)
SBOM Bouwinformatie
Het
Maker-veld moet eenOrganisatie-waarde bevattenHet
Maker-veld moet eenTool-naam en de versie bevattenHet
MakerOpmerking-veld moet SBOMType-informatie bevatten zoals gedefinieerd door CISA
Pakketinformatie
PakketNaam: verplicht in SPDX
SPDXID: verplicht in SPDX
PakketVersie: nodig volgens “NTIA SBOM Minimale elementen”
PakketLeverancier: nodig volgens “NTIA SBOM Minimale elementen”
PakketDownloadLocatie: verplicht in SPDX
PakketChecksum: aanbevolen volgens “NTIA SBOM Minimale elementen”
PakketLicentieConcluded: verplicht in SPDX
PakketLicentieVerklaard: verplicht in SPDX
PakketCopyrightTekst: verplicht in SPDX
ExternRef: om de Pakket-URL toe te voegen
Scope-informatie
Moet alle open-source componenten omvatten, inclusief transitieve componenten
Moet alle commerciële componenten omvatten
Moet alle "bekende onbekende" componenten omvatten
Relaties Informatie
Relaties: bij DESCRIBES en CONTAINS, nodig volgens “NTIA SBOM Minimale elementen”
Timing van SBOM Levering
De SBOM MOET uiterlijk op het moment van levering van de software (in binaire of bronvorm) worden geleverd.
Methode van SBOM levering
Inbedden in het softwarepakket (indien haalbaar) OF
Web-gehoste versie beschikbaar om te kopiëren en gedurende ten minste 18 maanden op te slaan (indien niet haalbaar)
SBOM Verifiëren
Aanbevolen om een digitale handtekening van de SBOM op te nemen om de integriteit van de SBOM te waarborgen
SBOM Samenvoegen
Een conformante SBOM kan worden opgebouwd met behulp van verschillende SBOM bestanden met behulp van SPDX relaties
Interlynk voor OpenChain Telco SBOM-conformiteit
Interlynk heeft open source multi-spec utility sbomqs die veel gebruikt wordt voor de kwaliteit en conformiteit van SBOM’s tegen NTIA-Minimum Elements en BSI TR-03183-2. We hebben de mogelijkheid uitgebreid om ook te rapporteren over de naleving van OpenChain Telco.
sbomqs kan nu een basis- of gedetailleerd rapport maken in tabel- en JSON-indelingen.
Basisrapport
Tabelrapport
JSON-rapport