OWASP CycloneDX is a full-stack Bill of Materials (BOM) standard that provides advanced supply chain capabilities for cyber risk reduction. The specification supports Software Bill of Materials (SBOM), Software-as-a-Service Bill of Materials (SaaSBOM), Hardware Bill of Materials (HBOM), Operations Bill of Materials (OBOM), Vulnerability Disclosure Reports (VDR), and Vulnerability Exploitability eXchange (VEX). Cyclonedx.org 是一个非营利性组织,旨在通过建立和维护开放的软件组件清单规范,促进软件供应链的安全性。

规范

CycloneDX 规范为软件组件清单提供了通用数据模型,无论其来源或格式如何。该规范使组织能够以标准化方式共享和比较组件清单,从而提高软件供应链的可见性和可审计性。

生态系统

Cyclonedx.org 维护一个包含工具、资源和社区的生态系统,以支持规范的采用。该生态系统包括:

  • 工具: 用于创建、解析和比较 CycloneDX 清单的工具
  • 资源: 文档、博客文章和教程
  • 社区: 开发人员、供应商和安全专业人士的论坛

好处

采用 CycloneDX 规范带来以下好处:

  • 增强供应链可见性: 标准化清单提高了对软件组件及其依赖关系的了解。
  • 改进安全分析: 通过比较清晰和标准化的清单,可以识别潜在的漏洞和风险。
  • 促进合规: 该规范符合各种监管要求,例如软件材料清单 (SBOM) 要求。
  • 加强供应商关系: 通过使用通用语言,组织可以更有效地与供应商就软件组件信息进行沟通。