开源软件强调共享,但因涉及到跨国别和跨区域的流动,则很有可能触发某些国家的出口管制风险。在进出口审核时,软件物料清单(SBOM)是首选要素。SBOM的概念源于制造业,典型的SBOM是一份详细列出产品中所含全部项目的清单。这样,一旦发现有缺陷的零部件,制造商便可以知道哪些产品受到了影响,并安排对其进行维修或更换。同理,维护准确的、最新的、列出开源组件的SBOM对于确保代码的高质量、合规性和安全性是必要的。

  与制造业一样,开源组件的SBOM允许进出口审查部门快速查明风险组件,并合理确定补救措施的优先级。全面的SBOM列出了应用程序中的所有开源组件,以及这些组件的许可证、版本和补丁状态,是对供应链攻击的完美防御。SBOM旨在帮助管理开源和第三方代码的使用,提供对应用程序“成分”的可视性,并标准化信息通信方式。除作为文档或记录的基本功能外,我们还建议用户将SBOM视为一个管理系统或者工具、实践和过程。用户应该具备溯源意识来识别开源组件,然后将这些组件映射到漏洞数据。有效的开源管理有助于围绕战略和安全计划的改进展开对话,以实现成功的供应链风险管理。

  2022年,包含美国在内的十多个国家已经将SBOM列入软件产品进出口要素列表中。例如,拥有长臂管辖权的美国《出口管制条例》(“EAR”)对开源软件原则上持宽松态度,但会限制包含加密功能的开源软件。美国出口管制条例拥有长臂管辖权,管辖的行为包括出口、再出口和境内转移行为。以软件为例,在美国向一个外国人释放或转移源代码的行为,视为对该外国人的最新国籍国或永久居住地的出口行为;在美国以外的第三国向一个外国人释放或转移受EAR管辖的源代码行为,视为对该外国人的最新国籍国或永久居住地的再出口行为;在美国以外的第三国国民向另外一个第三国国民释放或转移受EAR管辖的源代码行为,视为境内转移行为。如果开源软件中涉及某些加密源代码,则其出口、再出口和境内转移都可能受EAR管辖。如果违反EAR,则可能面临民事和刑事处罚,并有可能被监管机构美国工业与安全局(BIS)加入实体清单。因此,了解应用程序中使用的组件并生成SBOM应该是任何现代软件项目的基本要求。

  CodeAnt可导入导出SBOM清单,实时查看扫描报告。包含文件名、状态、组件数、安全漏洞、许可证、处置建议、导入人、最近扫描时间等详细信息,完全满足进出口审计需求。