基于人工智能的网络安全公司AI SPERA于12日宣布,已完成一项政府主导的软件物料清单(SBOM)示范项目。该示范项目为在国内软件供应链安全系统中将SBOM应用于实际服务环境提供了实例。
SBOM系统地管理构成软件的开源库和第三方库的来源、版本和许可信息,并被用作全球供应链安全标准。在美国和欧洲,SBOM提交主要用于政府采购和主要行业。然而,在韩国,该系统和技术仍处于起步阶段,经验案例有限。
在这个演示项目中,AI Spera 将其 SBOM 系统与其攻击面管理 (ASM) 和威胁情报平台 Criminal IP 集成,从而实现了供应链安全的自动化运营模式。Criminal IP 具有一个结构,可以识别服务中的所有软件组件,并管理每个组件的版本、来源和许可证信息。
这创造了一种环境,当外部披露新的漏洞时,可以快速识别该漏洞及其影响范围,并确定响应优先级。此外,基于SBOM的自动化系统将软件资产管理、变更历史跟踪和漏洞响应流程整合到一个统一的工作流程中。
该系统旨在满足关键的安全和合规性要求,包括 ISO/IEC 27001、SOC 2、PCI DSS 和 ISMS,以及基于 NIST 的安全框架、FedRAMP 和欧盟供应链透明度法规。这为管理与软件变更相关的历史信息(作为可重现数据)奠定了基础。
AI Spera解释说,通过此次演示,他们缩短了评估和解决漏洞所需的时间,并建立了一套支持审计和监管合规的证据体系。该运营模式结合了供应链安全运营管理(SBOM)和犯罪知识产权,被认为是提高供应链安全响应一致性和运营稳定性的关键因素。
AI Spera 首席执行官康炳卓表示:“我们已经在国内环境中进行了演示,验证了 SBOM 的适用性,目前 SBOM 的引入还处于早期阶段。”他还补充道:“我们计划不断推进将技术和运营相结合的供应链安全模式。”
- 查看更多相关文章
You must be logged in to post a comment.