研究人員表示，缺失的一環是治理驅動的情報層，它可以將 SBOM 和 VEX 資料轉化為可解釋的安全決策。

軟體物料清單 (SBOM) 的初衷是加強軟體供應鏈安全。然而，攻擊事件卻日益增多，一位研究人員認為，問題不在於資料本身，而是組織如何使用資料。SBOM（軟體物料清單）於 2021 年推出並強制執行。其目的在於提供軟體元件清單，以提高供應鏈的可見度並更好地保障供應鏈安全。

雖然軟體物料清單(SBOM)提供了詳細的軟體組成成分列表，但它並未提供任何可能影響這些成分的已知有害物質的資訊。此外，還引入了漏洞交換聲明 (VEX 聲明)——用於說明 SBOM 元件中已知的漏洞在其使用環境中是否可被利用。

SBOM和VEX的設計初衷是協同作戰，共同應對供應鏈威脅，但它們失敗了。

供應鏈攻擊出現五年後，其發生頻率比以往任何時候都高。光是2026年3月，據報導就有兩起攻擊（Trivy和Axios）感染了數萬家組織。

獨立安全研究員德瓦什裡·達塔（Devashri Datta）的研究成果曾發表在 Zenodo、OpenSSF、Revenera 等平台上，她一直在研究 SBOM/VEX 計畫的失敗原因。她與SecurityWeek分享了她的最新研究成果。她總結道：“軟體供應鏈安全並非缺乏數據，而是缺乏清晰的決策。”

資料存在於安全業務手冊 (SBOM)、漏洞報告 (VEX)、漏洞情報和第三方揭露資訊。 「儘管有這些數據，安全和合規決策仍然不一致、難以證明其合理性，而且往往是被動的。問題不在於數據的可見性，而在於如何解讀。」

在軟體物料清單 (SBOM) 的發放和接收方面也缺乏統一性。雖然軟體供應商必須為每個新的軟體版本（更新、修補程式、新版本）產生新的 SBOM，但並非所有供應商都必須將這些新的 SBOM 提供給所有客戶。有些供應商會這樣做，有些則不會。在許多情況下，如果客戶沒有要求更新 SBOM，他們可能根本不知道 SBOM 已經發生了變化。這種情況正在改變，全球法規也變得越來越嚴格，但各地和各行業的法規仍有差異。

VEX聲明的品質也參差不齊。 “VEX難以普及，”Datta說道，“不僅是因為工具的限制，還因為各組織缺乏信心來提出和捍衛可利用性斷言。在很多情況下，這種猶豫不決既源於對責任的擔憂，也源於技術的不確定性。”

她認為，其結果是“安全團隊依賴缺乏上下文的嚴重性評分，工程團隊缺乏清晰一致的決策標準，而法律團隊則依據不連貫的披露數據開展工作。”

首先，軟體客戶必須確保擁有最新數據。但達塔認為，更大的問題並非僅僅在於擁有這些數據，而是如何解讀這些數據。 “真正的問題在於，”她說，“缺乏一個能夠解讀SBOM隨時間推移而發生的變化的治理層。”

因此，我們所缺少的不是更多的資料或其他工具，而是「一種能夠跨越這些輸入進行操作的統一決策智慧方法」。她繼續說：“這可以被視為一個由治理驅動的智能層，它將 SBOM 解讀為生命週期信號，而不僅僅是清單；將 VEX 用作上下文輸入，而不是絕對真理；將第三方披露整合到風險推理中；並產生可解釋和可辯護的決策。”

目標不僅是自動化，而是在整個生命週期中實現一致且可審計的決策。這點日益緊迫和重要。迄今為止，SBOM 和 VEX 都未能有效減少供應鏈攻擊，而供應鏈威脅卻不斷增加。攻擊者掌握的最新人工智慧模型將從漏洞發現到漏洞利用的時間縮短至數小時甚至更短。在這種速度下，防禦者依賴過時的文件將成為安全隱患。

Datta表示，同時，「隨著SBOM指令、安全開發要求和供應鏈透明度要求的出台，監管壓力也在增加。」 現在正是未雨綢繆、解決問題的時候。“真正的挑戰在於：’組織能否解釋為什麼做出某個決定，並在之後為其辯護？’如果沒有統一的決策模型，答案通常是‘否’。”

資料來源：https://www.securityweek.com/are-sboms-failing-supply-chain-attacks-rise-as-security-teams-struggle-with-sbom-data/