软件作为一种强大的工具，可以简化复杂的技术概念，但随着软件不可思议的力量而来的是一个相互关联的软件依赖迷宫，这些依赖常常构成软件开发的基础。这些依赖关系并非没有缺陷，正如我们从Log4Shell这样的事件中所了解到的那样。当我们试图驾驭不断变化的软件供应链安全时，我们需要确保我们的应用程序建立在坚实的基础之上。

在这篇博文中，我们将深入探讨软件物料清单(SoftwareBillofMaterials，SBOM)的概念，它是安全软件供应链的基本需求。正如物理供应链需要仔细检查以确保产品的质量和安全一样，软件供应链也需要严格的评估。危在旦夕的不仅仅是应用程序的功能，还有应用程序可以访问的信息的安全性。让我们深入到软件供应链的世界中，探索SBOM如何作为软件开发和安全中更具弹性的未来的基石。

什么是软件供应链攻击？

供应链攻击是针对应用程序组件的供应商而不是应用程序本身的恶意攻击。软件供应链类似于物理供应链。当你购买iPhone时，你看到的只是成品。在最终产品的背后，是一个由零部件供应商组成的复杂网络，这些供应商随后被组装在一起，生产iPhone。来自日本公司的显示器和相机镜头，来自亚利桑那州的CPU，来自圣地亚哥的调制解调器，来自加拿大矿山的锂离子电池;所有这些部件在深圳组装工厂组装成最终产品，然后直接运到你的家门口。

同样，攻击者可以在iPhone组装之前针对iPhone供应商之一修改组件，软件供应链威胁参与者也可以这样做，但是目标是随后内置到商业应用程序中的开源软件包。当70-90%的现代应用程序是使用开源软件组件构建时，这就是一个问题。有鉴于此，供应链的安全性取决于其最薄弱的环节。

所有这些依赖关系都赋予了软件开发人员构建极其复杂的应用程序的超能力，这些应用程序可以非常快速地构建，但会产生无意识的副作用，即他们不可能理解所有组成要素。这给予了攻击者机会。一个受到攻击的包允许攻击者操纵其入口点“下游”的所有包。

在Log4j事件中，软件行业(以及所有依赖软件行业的行业，也就是所有行业)深切地感受到了这一现实。

Log4Shell冲击

Log4Shell是软件供应链安全重要性的典型代表。我们不打算在这篇文章中深入探讨这起事件。事实上，我们已经在之前的博文中做到了这一点。相反，我们将