发布日期:2025-08-23 浏览次数:
随着数字基础设施的扩展和软件供应链的日益复杂,对透明度的需求也空前高涨。组织不仅需要了解 其所使用的软件,还需要了解该软件的保护方式。在此背景下,SBOM 和 CBOM 等工具在增强可见性、增强安全性以及支持各行各业的合规性工作方面发挥着至关重要的作用。这种需求促使 SBOM 得到广泛采用,而最近,人们对 CBOM 的兴趣也日益浓厚。
CBOM 最好理解为 SBOM 的扩展。SBOM 对构成软件的组件进行编目,而 CBOM 则完全专注于密钥、证书、算法和加密库等加密元素。随着监管机构、审计人员和安全团队对加密使用情况的可视性要求越来越高,CBOM 正迅速成为网络安全难题中不可或缺的一部分。
软件物料清单 (SBOM)详细记录了应用程序或系统中包含的所有软件包、库、模块和依赖项。SBOM 包含以下内容:
软件组件
版本号
第三方信息(库或框架)
许可详细信息
源存储库
组件之间的相互依赖性
安全漏洞,例如 CVE(通用漏洞与暴露)
SBOM 的目的是提供软件构成的可见性,就像食品的成分标签一样。它允许公司跟踪漏洞、管理许可证合规性,并为软件供应链攻击做好准备。
近年来,政府法规,尤其是美国2021年《网络安全行政命令》,已将SBOM列为联邦软件供应商的必备要求。此举是在一波软件供应链攻击之后出台的,这些攻击中广泛使用的软件包中的恶意或易受攻击的组件已危及数千个系统。
SBOM 可帮助公司:
识别和评估易受攻击的图书馆
确保开源合规性
加速事件响应
提高供应商责任
然而,虽然 SBOM 提供了对软件组件的基本可见性,但在理解这些组件的安全保护措施方面,它们往往显得力不从心。大多数 SBOM 并未捕获有关加密实现的详细信息,例如使用的算法、密钥的管理方式以及是否存在过期证书。因此,CBOM(加密物料清单)至关重要,它不仅可以洞察应用程序的组件,还能更深入地了解其安全状况。
因此,让我们深入了解 CBOM 的概念并了解为什么需要实施它。
加密物料清单 (CBOM)是一种结构化的清单,详细列出了组织软件和系统中的所有加密资产,包括加密算法、数字密钥、证书、加密协议和支持库。
加密物料清单 (CBOM) 能够深入了解加密技术在软件和系统中的实现方式。它跟踪各种安全相关细节,包括:
加密算法:记录加密和散列算法(例如AES、RSA、ECC 和SHA-256)的使用情况,帮助评估算法强度和合规性。在规划向后量子密码(PQC)过渡时,这种可见性尤为重要,因为 CBOM 有助于识别可能易受量子攻击的旧算法。
密钥信息:包括加密密钥类型(对称/非对称)、密钥长度、使用策略和生命周期阶段的数据,涵盖生成、存储、轮换和销毁。
证书:跟踪正在使用的数字证书(例如,TLS/SSL 证书、代码签名证书、客户端身份验证证书)、其颁发机构和到期时间表,以避免信任失败。
协议:详细说明TLS、SSH和 IPsec 等加密通信协议,确保传输中的数据安全并识别过时或配置错误的协议使用情况。
加密库:捕获加密库的版本和实现,例如 OpenSSL、BoringSSL、BouncyCastle 和 Microsoft CryptoAPI,它们是补丁管理和漏洞跟踪的关键。
算法参数:指定影响加密有效性的关键参数,如密钥大小、操作模式(例如 CBC、GCM)、填充方案和初始化向量(IV)。
加密模块:识别用于加密操作的硬件和软件模块,包括硬件安全模块 (HSM)、可信平台模块 (TPM) 和智能卡。
验证和合规状态:指示加密组件是否符合FIPS 140-3、通用标准或行业特定要求等标准,这对于受监管的环境至关重要。
| 特征 | SBOM | CBOM |
| 重点领域 | 软件模块和依赖项 | 加密元素和控制 |
| 目的 | 跟踪漏洞、许可证和更新 | 确保加密使用安全并强制执行加密卫生 |
| 主要用户 | 开发人员、DevOps、AppSec 团队 | 安全架构师、加密货币所有者、合规主管 |
| 示例条目 | Apache Struts、Log4j、React | RSA-2048、TLS 1.2、过期的x.509 证书、SHA-1 哈希 |
| 监管相关性 | 行政命令 14028,NTIA SBOM 规范 | PCI DSS 4.0、NIST 800-57/175B、CNSA 套件 |
| 工具成熟度 | 成熟的工具和标准(SPDX、CycloneDX) | 新兴工具;标准化仍在进行中 |
| 用例 | 漏洞和补丁管理 – 软件供应链审计 – 开源许可证跟踪 | 加密合规性(FIPS、PCI DSS) –证书生命周期管理 – 加密算法风险评估 |
加密几乎渗透到现代 IT 的方方面面,从网络流量到身份验证,再到云存储。尽管如此,大多数组织仍然缺乏对以下方面的清晰认识:
这种缺乏清晰度的情况在安全和合规工作中造成了严重的盲点。CBOM 通过帮助组织构建和维护全面的加密清单,直接弥补了这一缺陷。它提供了对加密实施方式亟需的可见性,帮助安全团队发现漏洞、降低风险并在整个企业范围内实施最佳实践。
安全框架对加密的要求越来越严格。例如:
CBOM 通过跟踪算法使用情况、记录关键属性以及确保遵守规定的控制来提供帮助。
量子计算即将取代传统的密码学。RSA 和 ECC 等公钥算法将不再安全。各组织机构需要迅速更新其加密算法。简而言之,全球安全标准正在不断发展,将量子密码学 (PQC) 纳入其中,使其成为一类旨在抵御量子计算机攻击的新型加密算法。
但迁移到 PQC 并非易事,因为大多数组织并不清晰地了解其系统中加密算法的具体使用位置和方式。这种缺乏可见性的状况在规划迁移时会带来重大风险。
因此,在迁移之前,他们必须知道:
CBOM 提供了准备这一转变所需的基础清单,包括:
当 Heartbleed(OpenSSL)或 Logjam(DH 密钥交换)等漏洞出现时,团队需要立即得到答案:
Heartbleed 是 OpenSSL 某些版本(2014 年)中的一个严重漏洞,攻击者可以利用 TLS 心跳扩展中的缺陷读取敏感内存内容,包括私钥和密码。
Logjam 于 2015 年被发现,它利用了Diffie-Hellman (DH) 密钥交换中的弱点,强制服务器降级到较弱的 512 位加密,从而使攻击者更容易解密安全通信。
在这两种情况下,组织都忙于评估影响,但缺乏对易受攻击的库或算法使用位置的集中可见性。CBOM 通过提供清晰、最新的系统加密组件清单来弥补这一缺陷,使团队能够立即定位并响应受影响的资产。团队无需花费数天时间手动扫描基础设施,而是可以在几分钟内确定风险暴露。
CBOM 超越了清单合规性。它能够从根本上改进安全、风险管理和治理的各个方面。
增强加密卫生
CBOM 有助于消除:
MD5 或 SHA-1 等弱算法
SSLv3 或 TLS 1.0 等已弃用的协议
密钥滥用或证书配置错误
这改善了整体安全态势并降低了受到攻击的风险。
加速事件响应
当出现漏洞或零日威胁时,拥有 CBOM 意味着组织可以:
立即定位受影响的系统
优先考虑更新和补丁
向审计师证明已采取措施
这既减少了停机时间,又减少了声誉风险。
减少影子加密
CBOM 有助于发现可能由各个团队或遗留应用程序在未经中央批准的情况下实施的未经授权或未知的加密资产(“影子加密”)。
通过识别和管理影子加密,组织可以避免使用未经审查或不安全的加密方法。
改进密钥管理
密钥蔓延是云原生环境中的一个实际问题。借助 CBOM,组织可以跟踪:
密钥所有权
到期时间表
使用范围
遵守密钥长度和轮换政策
防范后量子威胁
CBOM 是任何后量子过渡计划的基础。它允许团队:
确定传统算法的使用位置
使用 PQC 算法规划替换策略
避免在压力下最后一刻进行补救
尽管 CBOM 有诸多好处,但采用 CBOM 也面临挑战:
与受益于 SPDX 和 CycloneDX 等成熟格式的 SBOM 不同,CBOM 仍处于早期阶段,尚未出现通用格式或工具。
识别加密元素比识别软件组件更困难。组织需要能够解析二进制文件、扫描基础设施并自动检测加密使用情况的工具。
组织所有权
谁拥有密码学?安全?DevOps?工程?法务?组织必须建立明确的角色和流程来管理跨团队的密码库存。
尽管面临这些挑战,企业仍可以通过正确的战略取得有意义的进展。以下是一些关键的最佳实践:
优先考虑以下系统的 CBOM 发现:
这使得组织能够将精力集中在加密可见性最重要的地方。
如果您已经使用 Syft、OWASP Dependency-Track 或 CycloneDX 等工具生成 SBOM:
这弥合了 SBOM 和 CBOM 之间的差距,直到原生 CBOM 支持成为主流。
采用可以实现以下功能的工具:
建立一个加密工作组或指定一名加密管理员负责:
正式确定所有权可确保加密货币不会被当作事后才考虑的事情
将 CBOM 集成到合规性和审计框架中
将您的 CBOM 工作映射到以下需求:
这进一步证明 CBOM 不仅仅是一种技术工具,更是一种合规和风险管理的推动者。
随着密码学成为网络安全、隐私和法规遵从的核心,CBOM 的概念预计将迅速发展。以下是塑造 CBOM 未来的关键趋势:
标准化和互操作性
CBOM 的未来很大程度上取决于标准化格式和可互操作框架的开发。目前,尚无普遍接受的 CBOM 定义或共享方法。然而,NIST、ISO 等组织以及开源社区可能会推动创建结构化架构和一致格式的努力。
与 SBOM 平台集成
CBOM 很可能不再作为孤立的构件存在,而是嵌入到 SBOM 中或与其紧密关联。随着 SBOM 工具的成熟,许多工具将开始将加密元数据作为其默认输出的一部分。这种集成将通过详细说明软件组件及其加密方法,提供更全面的软件安全视图。
自动化和 CI/CD 集成
随着环境日益复杂,手动生成 CBOM 将不再可行。业界正朝着自动化发现加密资产(包括嵌入式库、算法和密钥)的方向发展。这些工具将集成到 CI/CD 流程中,从而能够在软件构建或部署过程中自动生成 CBOM。
后量子密码学(PQC)准备
随着量子计算的出现,各组织机构必须做好向后量子加密算法过渡的准备。未来的 CBOM 将在识别 RSA 和ECC等易受攻击算法的使用场景中发挥关键作用。CBOM 将包含显示算法是否具备量子安全性或被认为存在风险的数据,从而帮助安全团队在量子攻击成为现实之前就确定升级和修复的优先级。
监管与合规采用
随着监管框架的不断发展,CBOM 有望成为合规性文档的强制性组成部分。PCI DSS v4.0、FIPS 140-4 以及欧盟《网络弹性法案》等标准已开始强调加密控制。
通过本文,您已经充分了解PQC的准备必要性,不过不用担心,我们会为您提供帮助。我们提供和PQC相关的产品,如已在固件对PQC算法进行支持的Luna HSM,以及基于PQC算法的实际应用咨询服务。通过我们的服务,帮助您为即将到来的量子时代做好准备,帮助您顺利完成PQC过渡工作。在迁移到后量子算法之前,您需要清晰、准确的列出您环境中所有加密资产的清单。
过渡到后量子密码学需要仔细规划、风险评估和专家指导。我们提供结构化方法,帮助组织将 PQC 无缝集成到其安全基础设施中。
通过多年的行业经验,以及成为顶级安全厂商的合作伙伴,我们根据您的业务场景和现状进行评估,为您提供定制化的解决方案。
评估加密环境的现状,找出当前加密标准和控制(如密钥生命周期管理和 加密 方法)中的差距,并对加密生态系统的任何可能威胁进行彻底分析。
根据加密资产和数据对 PQC 迁移的敏感性和关键性进行识别和优先排序。
确定可在组织网络中实施以保护敏感信息的 PQC 用例。
我们协助确定您的组织所面临的加密挑战、危害和威胁。
我们支持无缝迁移到新的 CA、证书和 PQC 算法。
我们支持自动化证书和密钥生命周期管理,以实现更强的安全性和持续合规性。
确保符合行业标准。
我们帮助您了解新的 PQC 算法及其在您的组织中的使用和利用情况。
协助认识和克服向后量子加密算法过渡期间的挑战,确保顺利、安全地迁移。
您可以联系揽阁信息,获取更多关于PQC的资料和信息。
SBOM 为软件供应链的透明度奠定了基础。现在,CBOM 正在为加密技术做同样的事情。随着加密对数据安全、合规性和隐私性的重要性日益凸显,了解和管理加密环境已不再是可有可无的,而是至关重要的。
CBOM 使组织能够:
映射其加密使用情况
识别并消除薄弱或有风险的实施
证明符合新兴标准
为向后量子密码学的过渡做好准备
虽然 CBOM 的概念仍在不断成熟,但它正迅速成为任何注重安全的企业的战略需求。在加密无处不在的数字世界中,了解您使用的加密技术以及如何使用它,可能是保护您最宝贵资产的关键。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
