作为现代应用程序一部分,大量不同的软件组件、依赖关系和许可证意味着管理它们可能非常困难。如果SBOM清单,像进行风险评估、围绕 OSS 许可合规进行尽职调查(比如识别版权许可的组件)以及修复漏洞等过程可能会非常耗费时间和痛苦。

  当然,这种情况的另一面是,软件材料清单对于管理软件供应链中的风险大有帮助。具体来说,SBOM 有助于:

  • 遵守政府规章制度
  • 加快识别和补救潜在漏洞的进程
  • 使制造商能够满足使用许多开放源码库所带来的属性要求
  • 减少由于供应链不明确而可能落在开发团队身上的不必要的工作
  • 提供透明度并与消费者建立信任
  • 使制造商更容易识别和处理发布后的破损组件
  • 在进行审计时避免重大的业务中断
      CodeAnt可导入导出SBOM清单,实时查看扫描报告。包含文件名、状态、组件数、安全漏洞、许可证、处置建议、导入人、最近扫描时间等详细信息。

  同时,CodeAnt还支持导出多维度检测报告,包含以下安全元素:
  1.基本信息:包含项目信息、扫描信息、分析数据可视化总览。
  2.组件风险:根据开源组件的漏洞风险、许可证风险、影响范围等综合信息判定,提供了“强烈建议修复”、“建议修复”、“可选修复”三种专家处置建议,以便您根据优先级排序处理相关问题组件。您也可以参考“建议最小修复版本”,升级组件版本来解决安全问题。
  3.漏洞详情:基于CVE、NVD、CNNVD已知漏洞信息条目,划分漏洞风险等级以帮助您对软件漏洞进行优先级排序。同时提供漏洞解决方案,提供了厂商已发布升级补丁链接来进行漏洞修复。
  4.许可证风险:许可证风险指的是根据许可证的内容及相关条件,识别项目中使用的开源软件清单,明确对应的开源许可证及权利约束,及时规避相关许可证风险,避免潜在的法律风险。您可以根据许可证风险等级提示,来判断您的项目是否合规,并调整您所引入的组件,方便快捷地解决风险。
  5.导出格式:支持JSON、XML、CSV、PDF、DOCX等多种格式导出报告文件。