设备安全中的软件材料清单 (SBOM) 争议

关键要点

• Josh Corman认为反对将软件材料清单（SBOM）纳入所有设备的声音是误导性的，影响了设备安全的进展。
• SBOM不是新鲜事物，它们有助于提高透明度和设备安全性。
• 透明度和责任将成为所有供应商的必然趋势，FDA已开始要求所有新医疗设备提交SBOM。
• 对SBOM的担忧主要源自于对知识产权暴露和潜在法律问题的恐惧，但其中很多担忧并不合理。

在4月26日的RSA会议上，Claroty的网络战略副总裁JoshCorman表示，反对将软件材料清单（SBOM）纳入所有设备的声音，无论是真心还是虚情假意，都是错位的，并且对设备安全的进步造成了损害。

Corman提到：“JAVA已经做了很久，这种做法始于40年代——当时并不是为了网络安全，而是为了商业价值、质量和效率。SBOM并不是新奇、可怕的东西。那么，为什么人们如此恐惧呢？”

反对在设备提交中加入SBOM的人士担心会增加成本、暴露知识产权，甚至可能为攻击设备提供路线图。Corman指出，类似的观点如果应用于CVEs、MITREATT&CK或逆向工程工具，反而揭示了偏见或错误的担忧。

然而，这些论点再有效，也无法阻止进步。透明度和责任感将是所有厂商必然面临的挑战，这一点已由和最近FDA针对医疗设备制造商的网络安全要求确认。

，而是一种数据层，它能够增加安全领导者在工作中的表现。这个标签提供了迫切需要的透明度，数据证明，能够访问这些关键文档的人在解决已知问题时更有能力。

SBOM如何帮助应对Log4j漏洞

SBOM的一个重要案例是。一项研究表明，拥有SBOM的机构在面对Log4j漏洞时，能更快地保护受影响的设备且更少出现烧尽现象。

然而，所有团队面临的最大挑战是供应链厂商的响应延迟。可以说，医疗行业在透明度方面存在最大的挑战，尤其是来自设备厂商的透明度。

Corman提到了SutterHealth对Log4j的应对，该机构是全国最大的医疗系统之一，他将其与金融行业的应对进行比较。一家未透露名称的金融机构能够迅速从其供应商那里获取Log4j所需的信息，并在四天内修复了4000个受影响的应用程序的80%。

相比之下，经过480天，SutterHealth仍未从55%的医疗设备和设备供应商那里获得必要的数据，无法修复这些缺陷。Corman补充道，尽管SutterHealth拥有“全国最成熟的网络安全程序之一”，但仍面临挑战。他指出，医院的“供应链不透明”，而在Log4j披露一年多后，仍有关键的生命支持设备处于风险之中。

“多数医院对自己代码中的内容一无所知。”Corman说，“大多数供应商也不能帮助客户识别风险。信息的不透明会导致人员伤亡。这种情况可能已经导致人员伤亡。如果我们具备技术，就应该应用这些技术。”

对于Corman来说，许多反对声音是出于真诚的担忧，其中一些与可能暴露“不可修复的技术债务”或由于未获得适当许可而使用开源技术而引发的法律问题有关。

他解释道，“新发现的透明度”可能会导致法律风险，或迫使公司将许多设备停用，因为它们依赖于极旧的版本。他承认，可能会“对修复这些你一直盲目转嫁给客户的风险感到成本高昂……试图让事情变得默默无闻，希望没人