当前位置：首页 > news >正文

「网络安全常用术语解读」SBOM主流格式CycloneDX详解

news 2026/2/9 2:40:09

CycloneDX是软件供应链的现代标准。CycloneDX物料清单（BOM）可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导，由Ecma International标准化，并得到全球信息安全界的支持，如今CycloneDX已经是OWASP旗舰项目。

1. 概览

OWASP CycloneDX是一个全栈物料清单（BOM）标准，为降低网络风险提供先进的供应链功能。该规范支持：

软件材料清单（Software Bill of Materials，SBOM）
软件即服务材料清单（Software-as-a-Service Bill of Materials，SaaSBOM）
硬件材料清单（Hardware Bill of Materials ，HBOM）
机器学习材料清单（Machine Learning Bill of Materials，ML-BOM）
加密材料清单（Cryptography Bill of Materials，CBOM)
制造材料清单（Manufacturing Bill of Materials ，MBOM)
运营物料清单（Operations Bill of Materials，OBOM)
漏洞披露报告（Vulnerability Disclosure Reports，VDR)
漏洞可利用性（Vulnerability Exploitability eXchange，VEX）
CycloneDX认证（CDXA）

在这里插入图片描述
使用CycloneDX，可以轻松识别和传达安全风险，从而实现有效的漏洞管理。它使用包URL、CPE和SWID，非常适合用于漏洞响应、GRC和CMDB系统。对服务的全面支持可深入了解应用程序或系统的潜在攻击面。利用来源、血统和配方数据为深入发现网络风险提供了机会。

CycloneDX是遵守第14028号行政命令的理想选择，因为它超过了美国国家电信和信息管理局定义的所有SBOM要求，同时也帮助各机构实现了《国家安全备忘录》（NSM-10）中关于量子安全系统和应用的密码学要求。

CycloneDX是世界上多个政府和国防工业基地的标准。CycloneDX在卫星和太空系统、导弹制导系统和算法战方面备受信赖，在保卫国防方面发挥着作用。

CycloneDX的最新版本为2024年4月9号发布的v1.6。

在这里插入图片描述

2. 具体内容

OWASP SBOM权威指南主要包括如下内容，涉及到了CycloneDX的方方面面：

漏洞管理
企业配置管理数据库（CMDB）
完整性验证
真实性
许可证合规性
过时的成分分析
出口合规性
采购
供应商风险管理
供应链管理
组合完整性与“已知未知”
配方保证和验证
加密资产管理
识别弱密码算法
后量子密码学（PQC）准备
评估加密策略和咨询
识别过期和长期的加密材料
确保加密证书

在这里插入图片描述

通过学习OWASP SBOM权威指南可以帮助组织充分利用CycloneDX。若想了解更多CycloneDX SBOM内容，可以参阅：

OWASP SBOM权威指南(第二版).pdf (访问密码: 6277)
CycloneDX一页通.pdf (访问密码: 6277)

3. CycloneDX的优势

易于采用、实施和扩展
为快速采用和优化提供见解和最佳实践的官方指南
广泛的可用工具目录
单一标准支持完整软件和系统透明度所需的一切
发现并与世界上最大的SBOM采用者、支持者和爱好者社区互动

4. 参考

[1] https://cyclonedx.org/
[2] https://cyclonedx.org/news/cyclonedx-v1.6-released/
[3] https://cyclonedx.org/guides/

推荐阅读：

「网络安全常用术语解读」软件物料清单SBOM详解
「网络安全常用术语解读」SBOM主流格式SPDX详解

在这里插入图片描述

「网络安全常用术语解读」SBOM主流格式CycloneDX详解

1. 概览

2. 具体内容

3. CycloneDX的优势

4. 参考

相关文章：

「网络安全常用术语解读」SBOM主流格式CycloneDX详解

React 之内置标签＜Fragment＞ (＜＞...＜/＞) （十一）

Mac M1 解决安装grpcio不可用

Linux第三节--常见的指令介绍集合（持续更新中）

SpringMVC简介和体验

Android单行字符串末尾省略号加icon，图标可点击

山东省文史书画研究会成立20周年系列活动徽标征集胜选名单公布

相机2：曝光三要素之ISO（感光度）

已解决java.util.IllegalFormatConversionException异常的正确解决方法，亲测有效！！！

OpenCV 库来捕获和处理视频输入和相似度测量(73)

了解TMS运输管理系统，实现物流高效运转

数据库原理与应用实验三嵌套查询

LeetCode 110.平衡二叉树(Java/C/Python3/Go实现含注释说明,Easy)

【SQL】ACID事务与隔离级别

深度神经网络中的不确定性研究综述

实用的Chrome浏览器命令

无人作业控制器--4G/5G通信

动态规划-两个数组的dp问题2

如何设置并行度 ——《OceanBase 并行执行》系列 2

python直接发布到网站wordpress之三批量发布图片

云计算——弹性云计算器（ECS）

突破不可导策略的训练难题：零阶优化与强化学习的深度嵌合

2.Vue编写一个app

学习STC51单片机31（芯片为STC89C52RCRC）OLED显示屏1

Android 之 kotlin 语言学习笔记三（Kotlin-Java 互操作）

企业如何增强终端安全？

C++.OpenGL （14/64）多光源（Multiple Lights）

使用Spring AI和MCP协议构建图片搜索服务

C/C++ 中附加包含目录、附加库目录与附加依赖项详解

Java数值运算常见陷阱与规避方法