SaaSBOM：助力企业提高供应链安全

关键要点

CISA 发布警报，要求 Sisense 客户重置凭据以应对安全漏洞。数据泄露与软件供应链攻击日益增多，组织需强化检测和管理机制。传统的 SBOM 需升级为 SaaSBOM，以满足 SaaS 应用的动态需求。SaaSBOM 提供了更全面的供应链管理，增强了合规性和安全性。

在 4 月 11 日，网络安全和基础设施安全局CISA针对 Sisense 客户 发布警报，建议他们因安全漏洞而重置凭据。这一事件突显出公司在 SaaS 应用被攻破时，面临软件供应链攻击的脆弱性。攻击者可以利用软件的缺陷渗透客户网络，导致潜在的广泛后果。

不幸的是，数据泄露事件常常源自看似无害的对话和公司电子邮件，已经成为日常发生的现象。每一个事件不仅带来了挑战，也提供了宝贵的教训，可以提升企业的韧性，强调此类攻击的不可避免性。这种情况引发了一些关键问题：组织如何检测被攻击代码的风险？它们该采取哪些步骤来系统化地 catalog 软件清单？

在类似的泄露事件中，组织通过迅速评估其使用的受影响的 SaaS 应用，能够显著优化响应流程。

天行加速器iOS版

超越 SBOM 的必要性

软件材料清单SBOM 的概念自 20 多年前由国家电信和信息管理局NTIA提出以来不断演变。随着对第三方组件的依赖日增，这一概念变得尤为重要，尤其是当软件供应链中的高风险漏洞被揭示时。

最近，美国商务部、欧盟网络安全局等联邦机构以及标准组织的倡导强调了 SBOM 在安全软件开发中的重要性。然而，传统的 SBOM 在当前环境下往往已经无法满足要求。

随着 SaaS 成为业务运营的重要组成部分，对于更高级别的材料清单的需求变得显而易见。这在云环境中的需求尤为迫切，因为管理软件组件需要更细致的理解。

SaaSBOM 的优势

软件即服务材料清单SaaSBOM扩展了传统 SBOM 的原则，以满足 SaaS 应用不断变化的需求。SaaSBOM 提供了详细的清单，并承诺提升供应商审核、识别未经授权的应用程序，以及确保 SaaS 平台的政策合规性。

SaaSBOM 为记录组织内使用的每个 SaaS 应用程序提供了一种结构化框架，有助于多方面的关键领域：

关键领域说明供应商批准通过结构化的框架评估 SaaS 提供者的安全防护与合规准备，确保只有符合安全标准的供应商被整合。违规应用通过持续监测 SaaS 使用情况和比对已授权的应用程序，帮助识别和处理组织中的违规应用。数据治理记录与每个 SaaS 应用相关的数据流与依赖关系，实施数据治理控制。供应商关系管理通过提供与活跃供应商的数据交换见解，管理与供应商的关系，确保合规和及时续约。数据处理透明度显示组织 SaaS 生态系统内的隐藏数据流及依赖关系，提升数据使用、存储和传输路径的可视化。

随着网络攻击的频率和复杂性不断增加，组织必须采纳全面的方法来减轻风险并提升韧性。虽然传统的 SBOM 一直被认定为安全软件开发的重要组成部分，但今天的云环境需要更高级的框架。

通过主动采用 SaaSBOM，组织可以在发生事件时建立韧性与信心。同时，SaaSBOM 促进了透明度和问责文化，确保 SaaS 产品与组织目标和安全标准持续一致。

Neatsun Ziv，OX Security 首席执行官