任何資安專家恐怕都永遠無法忘懷 2021 年 12 月 9 日的悲劇。就在這天,應用廣泛的 Log4j Java 日 誌 資 料 庫 中 揭 露 了 一 個 重 大 漏 洞: CVE-2021-44228,也被稱為 Log4Shell,是一個遠端執行漏洞,讓攻擊者能夠完全控制受影響的系統。在漏洞揭露當下,一起漏洞濫用事件也已 經被察覺,但這僅是風波的開端而已,更嚴重的問題隨即接踵而至。
現代應用程式是由許多開源軟體組件、套件以及微服務所結合建構而成。追蹤 Log4j 下落的複雜程度,充分說明應用程式資安防護面臨的挑戰, 以及軟體物料清單(SBOM)是多麼地重要。 SBOM 在近年逐漸成為熱門議題。本電子書將 介紹 SBOM,說明為何我們需要 SBOM、SBOM 在應用程式資安中的作用,以及如何建立 SBOM。