密码学物料清单(CBOM)
密码学物料清单(CBOM) 是什么?
密码学物料清单(CBOM)列举软件或系统使用的所有密码学资产(算法、密钥长度、证书、库与协议)的清单,用于支撑密码敏捷性与后量子准备。
CBOM 将 SBOM 的思路延伸到密码学领域,记录算法(例如 RSA-2048、AES-256-GCM、SHA-256)、工作模式、参数、密钥生命周期、证书、库(如 OpenSSL、BoringSSL)以及协议(TLS 1.3、SSH、IKEv2)及其使用位置与方式。它帮助组织识别弱算法或已废弃的密码、规划向后量子算法的迁移、遵守国家密码政策,并向金融与关键基础设施监管机构证明已尽到合理注意义务。OWASP CBOM 工作组与 CycloneDX 1.6+ 提供机器可读的格式。随着各国要求后量子准备评估,且密码学依赖在供应链漏洞中仍频繁出现,CBOM 越来越不可或缺。
● 示例
- 01
在制订后量子(PQC)迁移计划时使用 CycloneDX CBOM 识别全部 RSA-1024 依赖。
- 02
渗透测试输出 CBOM,用以指出支付平台中过时的密码套件。
● 常见问题
密码学物料清单(CBOM) 是什么?
列举软件或系统使用的所有密码学资产(算法、密钥长度、证书、库与协议)的清单,用于支撑密码敏捷性与后量子准备。 它属于网络安全的 应用安全 分类。
密码学物料清单(CBOM) 是什么意思?
列举软件或系统使用的所有密码学资产(算法、密钥长度、证书、库与协议)的清单,用于支撑密码敏捷性与后量子准备。
密码学物料清单(CBOM) 是如何工作的?
CBOM 将 SBOM 的思路延伸到密码学领域,记录算法(例如 RSA-2048、AES-256-GCM、SHA-256)、工作模式、参数、密钥生命周期、证书、库(如 OpenSSL、BoringSSL)以及协议(TLS 1.3、SSH、IKEv2)及其使用位置与方式。它帮助组织识别弱算法或已废弃的密码、规划向后量子算法的迁移、遵守国家密码政策,并向金融与关键基础设施监管机构证明已尽到合理注意义务。OWASP CBOM 工作组与 CycloneDX 1.6+ 提供机器可读的格式。随着各国要求后量子准备评估,且密码学依赖在供应链漏洞中仍频繁出现,CBOM 越来越不可或缺。
如何防御 密码学物料清单(CBOM)?
针对 密码学物料清单(CBOM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
密码学物料清单(CBOM) 还有哪些其他名称?
常见的别称包括: CBOM, 密码学清单。
● 相关术语
- appsec№ 1068
软件物料清单(SBOM)
以机器可读形式正式描述构成一款软件的组件、库与依赖项及其版本与关系的清单。
- cryptography№ 846
后量子密码学
面向经典计算机与大规模量子计算机均能保持安全的经典密码算法体系。
- cryptography№ 249
密码学
通过数学技术在存在攻击者的情况下提供机密性、完整性、真实性和不可否认性的信息安全科学。
- appsec№ 1069
软件供应链安全
保护软件生产链中每一个环节——源代码、依赖、构建、签名、分发与部署——使其免受篡改、恶意代码与完整性破坏的学科。
- cryptography№ 172
密码套件
由密钥交换、身份认证、数据加密和完整性算法组合而成的命名集合,由 TLS 等协议在每次会话中协商使用。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。