美CISA发布《软件组件透明度框架》
| 来源:【字号:大 中 小】
2024年10月15日,美国网络安全与基础设施安全局(CISA)发布了第三版《软件组件透明度框架(2024)》,该框架由CISA通用软件物料清单和实施工作组撰写,旨在提高软件组件透明度,第一版于2019年发布。
该框架扩大了2021年《软件组件透明度框架》指南中建立软件透明度所需的基线内容,进一步定义了每个通用软件物料清单的基线属性,详细阐述了每个基线属性的最低预期、推荐做法和理想目标,并新增了两个新的基线属性“许可证”和“版权所有者”,并且强调软件物料清单消费过程中的风险管理。该版本反映了CISA、通用软件物料清单和实施工作组以及整个软件社区广泛反馈的建议。
据悉,美国国土安全部科学技术理事会已于2023年4月选择七家公司构建基于软件物料清单的产品。
信息来源:
https://www.cisa.gov/news-events/alerts/2024/10/15/guidance-framing-software-component-transparency-establishing-common-software-bill-materials-sbom