我有一个软件材料清单(SBOM(Excel文件,我想以某种方式跟踪其中的库和应用程序报告的漏洞。我知道现在大多数SBOM跟踪基本上都集成到了构建过程中,但如果我们没有构建过程,或者只有Excel文件,比如二进制文件,该怎么办?我可以从二进制文件中手动提取库列表,但我不知道是否可以将软件列表基本上提供给应用程序,并且每当库出现CVE时(不集成到构建过程(,它都会提醒我。有什么办法吗?
我听说了CycloneDX和SLSA框架(https://github.com/slsa-framework/slsa)。但是再一次,是否可以通过手动插入软件版本来进行跟踪?因为似乎所有现有的工具都只是用于构建过程,对我来说,唯一的方法就是加入bug跟踪网站的邮件列表,并为我拥有的每个库设置一个过滤器。
知道吗?
OWASP依赖跟踪项目可以做到这一点。您可以加载包含所有组件的CycloneDX SBOM,也可以在用户界面中手动添加这些组件。
由于Excel电子表格中已有依赖项,因此可以使用CycloneDX CLI工具将CSV格式转换为CycloneDX格式。尽管您需要调整列名以匹配预期的名称。
重要的部分是您正在使用的组件标识符和漏洞源。CPE很难使用,但它是NVD目前支持的CVE的唯一组件标识符。但是OSS索引支持包URL,这对于SBOM用例更有用。