SBOM被质询问题及应对建议1：使用过时的开源软件近年来，开源软件被广泛应用到企业的软件开发实践，软件供应链安全受到越来越多的国家和企业重视。2021年底爆发的Log4j核弹级安全漏洞，被业界评论为“互联网历史上破坏力最惊人的漏洞之一”。多个国家和地区因此出台相关的法案或提案，比如美国的《保护开源软件法案》（Securing Open Source Software Act, SOSSA）、欧盟的《网络韧性法案》(Cyber Resilience Act,CRA)，要求软件供应商采取相应措施，保障软件的供应链安全。

　　监管部门、软件采购商通过什么方式评估软件供应商的软件质量水平和安全风险，是一个需要权衡解决的问题。要求软件供应商提供源代码进行扫描是最直接的方式，但这种方式难以被软件供应商接受。源代码是软件企业的核心商业秘密金年会app下载官网，一旦泄露或被竞争对手获取，势必会对软件企业造成巨大的损失。软件物料清单（SBOM）成为了政府部门监管软件安全、软件采购客户评估软件安全和合规风险，且容易被软件供应商接受的理想替代方案。目前已经有部分企业，尤其是欧洲客户，在采购软件或者含有软件的硬件产品的过程中，要求国内供应商提供SBOM，以评估他们所依赖的软件在操作上的可靠、安全和合规性。部分客户甚至会对SBOM中反映的软件安全或合规问题提出问询，要求国内供应商解释或改正。

　　笔者结合近年来为企业开源合规治理提供法律服务的实务经历，分期梳理企业SBOM被欧洲客户问询的常见问题，分析国外客户对于软件供应链安全和合规的关注点，并提出应对建议，以期对国内企业有所帮助。

　　开源社区的活跃度、维护能力千差万别，部分开源项目由于原作者精力限制、缺乏社区支持或者资金问题等各种原因而缺乏持续的维护，开源软件未能跟上最新的技术趋势，可能不适用于不断变化的系统环境。根据Sonatype发布的《软件供应链状况》，在2023年，只有11%的开源项目得到积极维护，而有18.6%的项目开源项目停止了维护。（注1）但这些项目的开源代码仍然广泛存在于各类开源软件或者商业软件中，对企业的软件供应链安全带来巨大的风险。

　　对于能够得到持续维护的开源项目，也有许多使用了该开源软件的企业，因为缺乏相应的管理制度，未能在开源社区发布新版本后，及时更新所使用的开源软件版本。Veracode的首席研究官Chris Eng曾表示：大多数开发人员，当他们下载一个开源组件并将其整合到他们的应用程序中时，永远不会回去更新它。（注2）根据 Synopsys发布的《 2024 年开源安全和风险分析报告》显示，在其扫描的 1067 个代码库中，49%的代码库包含在过去24个月内没有开发活动的开源组件。（注3）

　　部分开源项目缺少系统的代码安全审查机制，存在一定的安全漏洞风险。同时，开源软件的源代码对外公开，导致这些潜在的安全漏洞被暴露，容易被利用和攻击。定期维护和更新版本对于降低开源软件的安全漏洞风险至关重要，过时未更新的开源软件，安全漏洞风险更高。根据Veracode的研究，应用程序越旧，出现安全漏洞的可能性就越大。首次扫描新应用程序时，32%的应用程序存在安全漏洞。在五年的时间节点上，这一比例跃升至70%，到一个应用程序使用10年的时候，它有90%的可能性至少有一个安全漏洞。（注4）

　　除了安全漏洞的风险增加之外，使用过时的开源软件，还可能存在缺少新功能、无法兼容新系统环境等问题。

　　另外，SBOM是客户评估供应商的软件质量、安全漏洞和合规风险的一个重要途径。如果SBOM中存在数量较大的过时开源软件，可能给客户造成该供应商内部缺乏软件安全管理体系、软件产品质量不高、可能存在合规风险等负面形象，对产品销售业务造成不利影响。

　　开源社区定期发布安全漏洞和修复公告的机制是一把双刃剑，这种机制可以帮助使用开源软件的企业了解安全漏洞并及时修复，同时也会导致开源软件的安全漏洞和实现方式被进一步传播。对于使用了该开源软件，但由于各种原因未及时修复漏洞的企业，无疑是雪上加霜。部分黑客会利用这些漏洞信息，对可能使用该开源软件的软件大面积地尝试进行恶意攻击。以Log4j安全漏洞事件为例，在2021年12月9日（编者注：Apache基金会于12月10日公告安全漏洞）之前，美国网络安全审查委员会未发现恶意利用Log4j漏洞的情况，漏洞公布后，对Log4j漏洞的利用活动迅速增加。（注5）考虑到过时开源软件的安全漏洞风险更高，建议企业使用代码扫描工具定期扫描所使用开源软件的安全漏洞信息，并及时跟进修复。

　　建立开源软件全生命周期管理流程，从引入、使用、维护到退出各个环节对开源软件进行严格管理。在引入和使用阶段，应当定期关注开源社区版本的更新情况，选择较新且稳定运行的最佳版本。在维护阶段，定期追踪和评估企业所使用开源软件的版本更新情况，必要时进行版本更新。开源软件的最新版本并不等于最佳版本，且更新版本需要投入一定的精力，企业不可能对每个版本都进行更新。但在新版本修复高危安全漏洞的情况下，务必进行更新；在开源软件进行大版本更新、为兼容新技术环境开发新功能等情况下，也建议进行更新，避免出现与新的系统环境不兼容的情况。对于缺少维护、长期不更新的开源组件，应当进行退出评估，更换为开源软件。

　　近日，我国发现一起猴痘病毒Ⅰb亚分支聚集性疫情。传染源为1位外籍人员，有刚果（金）旅居史。发现疫情后，国家及浙江、广东、北京、天津等省（市）迅速启动联防联控机制，开展流调溯源、风险排查、病例诊治等工作，在密切接触者中陆续发现4例关联病例，均为亲密接触后感染。

　　近日，福建莆田一女子因为反复腹痛，前往福建协和医院就诊，被确诊为胃癌。医生追问病史后发现，这对夫妻都喜欢用腌菜下饭，在过去的几十年里，腌菜几乎顿顿不离口。

　　2025年的春节来得有些早，法定春节假期延长至8天，不少人已经开始购置年货、水果，年味渐浓的同时，快递小哥们也忙碌了起来。日前，国家邮政局有关负责人表示，针对春运期间的业务运行特点，制定了保障工作方案，进行专项部署，全力保障年货寄递需求，同时切实维护快递员合法权益。

　　她从籍籍无名一路走向亚洲之巅，又在爱情与命运的漩涡中历经磨难，最终带着满身故事与不屈的灵魂，再次闪耀在大众的视野里。

　　钢企仍然在“寒冬”中艰难前行。近日，八一钢铁（600581.SH）、杭钢股份（600126.SH）、三钢闽光（002110.SZ）、凌钢股份（600231.SH）先后发布业绩预亏公告，四家钢企去年合计预亏53.02亿元。

　　表彰了先进集体和先进工作者。按照集团公司《科学技术奖励办法》规定，经集团公司党组批准，决定授予伍晓林“2024年度集团公司杰出成就奖”。

　　一觉醒来天塌了，发现自己错过了一个亿！就在1月16号，在大家一个常用支付软件，支付宝上，竟然开始“凭空下红包”。网友们在14:40——14：45分，这期间，转账发现，出现了立减，而且还是20%的大幅度。当时，是分为两拨人，一拨人当然是抱着“羊毛不薅白不薅”的心思，开始反复操作。

　　在阅读此文之前，麻烦您点击一下“关注”，既方便您进行讨论和分享，又能给您带来不一样的参与感，感谢您的支持文、编辑小娄“我以为她去了会被欺负，没想到她去了是欺负别人的。”几个月前，某平台推出了一部新的真人秀综艺，名为《一路繁花》。