当前位置：首页 > news >正文

「网络安全常用术语解读」SBOM主流格式CycloneDX详解

CycloneDX是软件供应链的现代标准。CycloneDX物料清单（BOM）可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导，由Ecma International标准化，并得到全球信息安全界的支持，如今CycloneDX已经是OWASP旗舰项目。

1. 概览

OWASP CycloneDX是一个全栈物料清单（BOM）标准，为降低网络风险提供先进的供应链功能。该规范支持：

在这里插入图片描述
使用CycloneDX，可以轻松识别和传达安全风险，从而实现有效的漏洞管理。它使用包URL、CPE和SWID，非常适合用于漏洞响应、GRC和CMDB系统。对服务的全面支持可深入了解应用程序或系统的潜在攻击面。利用来源、血统和配方数据为深入发现网络风险提供了机会。

CycloneDX是遵守第14028号行政命令的理想选择，因为它超过了美国国家电信和信息管理局定义的所有SBOM要求，同时也帮助各机构实现了《国家安全备忘录》（NSM-10）中关于量子安全系统和应用的密码学要求。

CycloneDX是世界上多个政府和国防工业基地的标准。CycloneDX在卫星和太空系统、导弹制导系统和算法战方面备受信赖，在保卫国防方面发挥着作用。

CycloneDX的最新版本为2024年4月9号发布的v1.6。

在这里插入图片描述

OWASP SBOM权威指南主要包括如下内容，涉及到了CycloneDX的方方面面：

在这里插入图片描述

通过学习OWASP SBOM权威指南可以帮助组织充分利用CycloneDX。若想了解更多CycloneDX SBOM内容，可以参阅：

[1] https://cyclonedx.org/
[2] https://cyclonedx.org/news/cyclonedx-v1.6-released/
[3] https://cyclonedx.org/guides/

推荐阅读：

在这里插入图片描述