惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

罗磊的独立博客
Apple Machine Learning Research
Apple Machine Learning Research
The Cloudflare Blog
WordPress大学
WordPress大学
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
博客园 - 叶小钗
博客园 - 聂微东
阮一峰的网络日志
阮一峰的网络日志
腾讯CDC
博客园 - 三生石上(FineUI控件)
V
V2EX
有赞技术团队
有赞技术团队
V
Visual Studio Blog
小众软件
小众软件
Jina AI
Jina AI
酷 壳 – CoolShell
酷 壳 – CoolShell
博客园 - Franky
量子位
T
Tailwind CSS Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
P
Palo Alto Networks Blog
Cisco Talos Blog
Cisco Talos Blog
I
Intezer
Project Zero
Project Zero
A
Arctic Wolf
P
Privacy International News Feed
V
Vulnerabilities – Threatpost
L
Lohrmann on Cybersecurity
S
Securelist
C
Cybersecurity and Infrastructure Security Agency CISA
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Tor Project blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
S
Security @ Cisco Blogs
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Google DeepMind News
Google DeepMind News
N
News and Events Feed by Topic
TaoSecurity Blog
TaoSecurity Blog
L
LINUX DO - 热门话题
G
GRAHAM CLULEY
Help Net Security
Help Net Security
N
News | PayPal Newsroom
W
WeLiveSecurity
G
Google Developers Blog
Microsoft Security Blog
Microsoft Security Blog
Engineering at Meta
Engineering at Meta
MongoDB | Blog
MongoDB | Blog
C
Check Point Blog

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
当漏洞来了,你知道系统里用了什么吗?——SBOM 的真正价值
lunzi_fly · 2026-04-29 · via 博客园_首页

当漏洞来了,你知道系统里用了什么吗?——SBOM 的真正价值

先不讲概念,先聊个真事。

Log4j 那天晚上,我在客户现场

2021 年 12 月,我记得很清楚,那天我正在银行客户现场做交付。

下午四五点的时候,客户的安全团队突然在群里炸了:Log4j 出了一个远程代码执行漏洞,CVSS 满分 10 分,影响范围极广。

攻击方式简单到离谱——用户在输入框里敲一行 ${jndi:ldap://xxx},你的服务器就能被别人接管。不用登录,不用提权,直接 RCE。

然后接下来的事情,我估计很多人都经历过:

安全团队问开发:"我们系统里有没有用 Log4j?"

开发说:"应该有吧,我查查。"

这一查,就是好几天。

客户的核心交易系统大概有 200 多个微服务,分属不同业务线,不同时期由不同团队搭建。有的用 Spring Boot,有的用 Dubbo,有的还是老项目。每个服务的 pom.xml 里都塞了一堆依赖,谁也说不清 Log4j 到底被哪些服务直接或间接引用了。

最后怎么解决的?安全团队逼着每个服务的负责人自己去翻 pom.xml,一个一个查。折腾了将近一周,才勉强拉出一份"受影响服务清单"。

然后呢?升级 Log4j 版本,半天搞定。

找漏洞花了一周,修漏洞花了半天。

那天晚上回酒店的路上我就在想:这不对。问题不在于"怎么修",而在于"去哪找"。如果连自己系统里用了什么都不知道,谈什么安全治理?

后来我见得越多,越确信一件事——这不是某一家银行的问题,几乎所有企业都处于同样的状态:你的软件供应链,实际上是失控的。

你的代码里,大部分不是你写的

后来我做了一个统计,那个银行客户 200 多个微服务的代码仓库里,开源代码占比平均在 70% 以上,有几个老系统甚至超过 85%。

这不是个例。Synopsys 2023 年审计了 1700 多个代码库,发现 96% 的代码库包含开源组件,76% 的代码是开源代码。Veracode 的数据更狠——97% 的 Java 应用完全由开源组件构成

也就是说,你花了几百人年搭起来的系统,大部分"砖"是别人免费给的。

这本身不是问题,开源组件让软件开发效率提升了不知道多少倍。问题在于——你用了别人的东西,但你不知道你用了什么。

这就像你盖了一栋楼,用了 200 家供应商的材料,但没有任何一份材料清单。有一天有人告诉你"3 号供应商的钢筋有质量问题",你连这栋楼里哪些地方用了他家的钢筋都查不出来。

这就是所谓的"失控"。

我在项目里见过的三种"失控"场景

场景一:漏洞来了,全公司翻箱倒柜

除了 Log4j,我还经历过好几次类似的事。

有一次,安全团队通报 Fastjson 某个版本存在反序列化漏洞。我们赶紧去排查,发现系统里至少有 30 多个服务用了 Fastjson。但问题是——版本号五花八门,有 1.2.37 的,有 1.2.68 的,还有几个服务用的是 1.1.x 的老古董。

更头疼的是,有些服务不是直接引入的 Fastjson,而是通过某个二方库间接带进来的。开发自己都不知道自己用了 Fastjson。

你让开发一个个去查,效率极低,而且容易漏。漏掉一个,就是一个安全隐患。

你连"有什么"都不知道,怎么防?

场景二:问谁都不知道的"历史遗留"

还有一个场景特别常见。

系统里有个工具类,引用了一个叫 commons-collections 的 Apache 组件。这个组件的某个老版本有反序列化漏洞。我们要不要升级?升级了会不会影响现有功能?

问了三个开发,三个说法不一样:

  • 第一个说:"这个组件是我前任留下的,我也不知道为什么用这个版本。"

  • 第二个说:"升级过一次,但是测试环境跑不通,又回滚了。"

  • 第三个说:"这个类好像没什么地方在用,但不敢删。"

你看,一个组件,三个人三个态度,没有一个人能给出确定答案。最后只能先标记为"风险已知,暂不处理"——说白了就是搁置。

搁置不是解决了,是假装不存在。

场景三:你下载的开源包,可能已经不是原来的了

2024 年出了一个大事件,不知道你关注了没有。

有个叫 xz-utils 的开源项目,是几乎所有 Linux 系统都默认安装的压缩工具。有个叫 Jia Tan 的人,从 2022 年开始给这个项目提交代码补丁,表现得很积极,慢慢获得了项目的维护权限。

然后他在 2024 年发布的 5.6.0 和 5.6.1 版本里,悄悄植入了一个后门。这个后门的目标是什么?劫持几乎所有 Linux 服务器的 SSH 登录。

如果不是微软的一个工程师偶然发现 sshd 登录速度变慢了,顺藤摸瓜查到了 xz-utils 的问题,这个后门不知道会被埋多久。

这事儿细思极恐的地方在于:xz-utils 是一个有十几年历史、被全球无数系统依赖的基础设施级项目。攻击者不是从外面攻破的,而是从内部渗透进去,变成了维护者

你用的开源组件,可能已经不是原来的那个组件了。但你不知道。

你连"变没变"都感知不到,这叫什么?失控。

靠 Excel 管依赖?别逗了

说完问题,说说很多企业现在的做法。

最常见的是让开发自己报。每次引入新组件,填个表,写明组件名、版本号、用途。听起来很合理对吧?

现实是:开发忙着写业务代码,填表这件事优先级永远排在最后。报上来的信息也不靠谱——版本号写错了、间接依赖没报、升级了忘了更新记录。半年后你去看那份表,跟实际情况已经对不上了。

还有用 Excel 维护的。我见过一个客户,安全团队维护了一份巨大的 Excel 表,记录了所有系统的开源组件信息。但是——

  • 系统 A 升级了一个依赖版本,Excel 没更新

  • 系统 B 新引入了一个组件,开发忘了报

  • 系统 C 重构了,删了几个依赖,没人知道

三个月后,这份 Excel 就成了一份"历史文物"——有记录价值,但没有参考价值。

靠人的主动性和记忆去管理动态变化的依赖关系,注定管不住。

SBOM 解决了什么?首先解决一件事:让你看得见

SBOM,Software Bill of Materials,软件物料清单。

概念不复杂,说白了就是给你的软件出一份"配料表"——里面用了哪些开源组件、什么版本、从哪来的、依赖关系是什么。

但它首先解决的,是可见性的问题——让你看得见你的系统里到底有什么。

还是拿 Log4j 举例。如果每个服务在构建的时候都自动生成了一份 SBOM,存到中央仓库里,那安全团队只需要在系统里搜一下 "log4j",30 分钟内就能拉出完整的清单:

  • 哪些服务用了 Log4j

  • 用的是什么版本

  • 是直接引入的还是间接依赖带进来的

  • 每个服务的负责人是谁

不用翻 pom.xml,不用问开发,不用猜。

审计人员来检查,问:"你们系统里用了哪些开源组件?许可证合规吗?"

没有 SBOM 的时候,你得翻历史邮件、找各个团队收集信息、手动整理成表格,搞上好几天,最后还不一定全。

有了 SBOM,一键导出。什么组件、什么版本、什么许可证、谁引入的、什么时候引入的,全部有据可查。

把"不知道"变成"知道",把"查不到"变成"一键搞定"。

从这个角度看,SBOM 做的事情,本质上不是"列清单",而是把原本不可见的软件依赖,变成可以被管理的资产数据。

但我要说句实话

SBOM 解决的是"可见性"问题。

但"看得见"只是第一步。

我见过太多企业,做了 SBOM、买了扫描工具、部署了自动化流水线,觉得自己挺现代化了。但开源依赖还是管不好。为什么?

因为看得见不等于管得住

你看得见系统里有 30 个服务用了 Fastjson,但开发就是不升级,你怎么办?你看得见某个组件的 License 有风险,但业务说"这个功能下周就要上线,来不及换了",你怎么决策?

可见性是基础,但光有可见性,你的系统依然是失控的。

如果把这件事拆开,其实至少需要三层能力:

  • 第一层:可见性——你知道系统里用了什么、有什么风险

  • 第二层:控制力——你能管住团队怎么用、出了事怎么处理

  • 第三层:决策能力——你知道该不该用、用哪个、什么时候换

SBOM 解决的是第一层。但没有第一层,后面两层都无从谈起。

后面我会一篇一篇展开讲。

不做行不行?看政策

说到这里,可能有人觉得:"我们公司目前没出过事,有必要搞这个吗?"

我理解这种想法。但我想说两个事实:

  • 2021 年,美国政府发布了总统行政令 EO 14028,要求所有向联邦政府交付的软件必须提供 SBOM。这不是建议,是强制要求。

  • 中国也已经发布了 GB/T 47020《网络安全技术 软件物料清单数据格式》国家标准,中国信通院已经启动了 SBOM 国标符合性验证工作。

趋势很明确:SBOM 正在从"最好有"变成"必须有"。尤其是金融、政务这些强监管行业,早晚会面对这个要求。

与其等审计来了临时抱佛脚,不如现在就建起来。

回到那个银行项目

最后说说那个银行项目后来的变化。

我们在交付过程中帮客户建了一套 SBOM 机制:每次 CI 构建的时候自动生成物料清单,推送到中央仓库。所有服务的开源组件信息实时更新,不用人手工维护。

效果很直观:

  • 之前安全团队问"系统里有没有用 X 组件",48 小时答不上来;后来同样的查询,2 小时出结果

  • 之前合规审计准备软件成分清单,几个人搞了好几天还经常漏;后来一键导出

  • 之前新引入组件没人管,出了事找不到责任人;后来每个组件什么时候引入的、谁引入的、为什么引入,全部有记录

不是什么花哨的技术方案,就是把"看不见"的东西变得"看得见"了。

从失控,到可控的第一步。

但如果只有这一步,你的系统,依然是失控的。

很多人到这里会产生一个错觉:"我们已经做了 DevOps,CI/CD 也跑起来了,这些问题应该已经解决了。"

但现实往往正好相反。

下篇预告

下一篇聊聊:企业为什么"做了 DevOps 仍然管不好开源依赖"?