För att stärka säkerheten i mjukvaruleveranskedjan är det viktigt att ha tillgång till pålitliga och officiella resurser.
Nedan följer en sammanställning av sådana källor som erbjuder vägledning, standarder och verktyg inom områdena SBOM, VEX, VDR och sårbarhetshantering.
Officiella källor
National Telecommunications and Information Administration (NTIA)
NTIA har varit en pionjär inom utvecklingen av SBOM-konceptet och erbjuder omfattande resurser för att förstå och implementera SBOM i mjukvaruprojekt.
Cybersecurity and Infrastructure Security Agency (CISA)
CISA arbetar för att förbättra cybersäkerheten i USA och tillhandahåller vägledning och verktyg för att hantera sårbarheter och stärka mjukvaruleveranskedjan.
National Institute of Standards and Technology (NIST)
NIST utvecklar och publicerar standarder och riktlinjer för att förbättra informationssäkerheten, inklusive hantering av mjukvaruleveranskedjans risker.
MITRE
MITRE är en icke-vinstdrivande organisation som driver forsknings- och utvecklingscentra för att stödja den amerikanska regeringen. De erbjuder verktyg och ramverk för att identifiera och hantera sårbarheter.
- Common Vulnerabilities and Exposures (CVE)
- Data Normalization Challenges and Mitigations in Software Bill of Materials Processing
GitHub Advisory Database
GitHub erbjuder en omfattande databas över säkerhetsråd och sårbarheter, vilket hjälper utvecklare att hålla sina projekt säkra genom att identifiera och åtgärda kända problem.
Open Source Vulnerability (OSV) Database
OSV är en öppen databas som tillhandahåller detaljerad information om sårbarheter i öppen källkod, vilket underlättar snabb identifiering och åtgärdande av säkerhetsproblem.
National Security Agency (NSA)
NSA erbjuder vägledning för att skydda mjukvaruleveranskedjan genom rekommendationer och praxis för hantering av SBOM och relaterade säkerhetsaspekter.