一种软件物料清单SBOM集成到流水线的方法与流程

本发明涉及软件安全，具体为一种软件物料清单sbom集成到流水线的方法。

背景技术：

1、软件物料清单是包装袋上展示的成分表一样，软件物料清单也可以理解为是软件的成分表。

2、现有技术中，在现代软件开发环境中，安全性和合规性已经变得至关重要。软件供应链攻击和漏洞日益增多，因此跟踪和管理软件组件变得至关重要。

技术实现思路

1、本发明的目的在于提供一种软件物料清单sbom集成到流水线的方法，以解决上述背景技术中提出的问题。

2、为实现上述目的，本发明提供如下技术方案：一种软件物料清单sbom集成到流水线的方法，所述方法包括以下步骤：

3、制定软件物料清单sbom标准；

4、软件物料清单检测；

5、软件物料清单检测集成至流水线。

6、优选的，软件物料清单sbom标准包括：软件组成部分清单、组件来源和许可证信息、漏洞和安全信息、依赖关系、供应链信息、版本历史、操作指南、格式规范以及验证与认证。

7、优选的，软件物料清单检测包括：数据收集、sbom生成、sbom更新以及安全分析。

8、优选的，数据收集，从软件开发过程中收集相关数据，包括源代码、依赖项、版本信息。

9、优选的，sbom生成，使用收集到的数据，自动生成软件物料清单。

10、优选的，sbom更新，持续监控软件的变化，并自动更新sbom以反映这些变化，包括新组件的添加、旧组件的删除和版本更新。

11、优选的，安全分析，对生成的sbom进行安全分析，以识别潜在的漏洞、安全问题和许可证冲突，通过与已知漏洞数据库和许可证库的比较来实现。

12、优选的，软件物料清单检测集成至流水线包括：流水线集成模块、自动触发检测以及结果反馈。

13、优选的，自动触发检测，配置流水线，以在每次代码提交、构建或部署时自动触发sbom检测。

14、优选的，结果反馈，将sbom检测的结果反馈给开发团队，如果发现潜在的问题，团队及早采取行动，通过自动化的报告、通知或集成到流水线的仪表板来实现。

15、与现有技术相比，本发明的有益效果是：

16、本发明提出的软件物料清单sbom集成到流水线的方法，根据sbom标准中涉及到的第三方库组成、软件许可来源、漏洞和安全信息、依赖关系、格式规范等内容指定相应的打分标准及权重，检测结果以分数的形式呈现出软件的完整度及安全性。

技术特征：

1.一种软件物料清单sbom集成到流水线的方法，其特征在于：所述方法包括以下步骤：

2.根据权利要求1所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：软件物料清单sbom标准包括：软件组成部分清单、组件来源和许可证信息、漏洞和安全信息、依赖关系、供应链信息、版本历史、操作指南、格式规范以及验证与认证。

3.根据权利要求1所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：软件物料清单检测包括：数据收集、sbom生成、sbom更新以及安全分析。

4.根据权利要求3所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：数据收集，从软件开发过程中收集相关数据，包括源代码、依赖项、版本信息。

5.根据权利要求3所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：sbom生成，使用收集到的数据，自动生成软件物料清单。

6.根据权利要求3所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：sbom更新，持续监控软件的变化，并自动更新sbom以反映这些变化，包括新组件的添加、旧组件的删除和版本更新。

7.根据权利要求3所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：安全分析，对生成的sbom进行安全分析，以识别潜在的漏洞、安全问题和许可证冲突，通过与已知漏洞数据库和许可证库的比较来实现。

8.根据权利要求1所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：软件物料清单检测集成至流水线包括：流水线集成模块、自动触发检测以及结果反馈。

9.根据权利要求8所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：自动触发检测，配置流水线，以在每次代码提交、构建或部署时自动触发sbom检测。

10.根据权利要求8所述的一种软件物料清单sbom集成到流水线的方法，其特征在于：结果反馈，将sbom检测的结果反馈给开发团队，如果发现潜在的问题，团队及早采取行动，通过自动化的报告、通知或集成到流水线的仪表板来实现。

技术总结
本发明涉及软件安全技术领域，具体为一种软件物料清单SBOM集成到流水线的方法，包括以下步骤：制定软件物料清单SBOM标准；软件物料清单检测；软件物料清单检测集成至流水线；有益效果为：本发明提出的软件物料清单SBOM集成到流水线的方法，根据SBOM标准中涉及到的第三方库组成、软件许可来源、漏洞和安全信息、依赖关系、格式规范等内容指定相应的打分标准及权重，检测结果以分数的形式呈现出软件的完整度及安全性。

技术研发人员：宋虎,王亚斌,李锐,魏子重
受保护的技术使用者：山东浪潮科学研究院有限公司
技术研发日：
技术公布日：2024/4/24