本報記者 郭冀川

    4月3日，由中國信通院主辦的可信軟件物料清單（SBOM）主題沙龍召開，會上發(fā)布了首批產(chǎn)品維度可信軟件物料清單能力評估結果。中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚在致辭時表示，軟件物料清單通過明確識別和詳細記錄軟件組件及其相互關系以提升軟件透明度，成為軟件供應鏈安全治理的重要抓手。

中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚致辭（圖片來源：中國信通院）

    “目前，我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢，一是企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標準規(guī)范逐步完善，引導軟件物料清單建設工作有序開展。整體來說，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進產(chǎn)業(yè)共識將是日后工作重點。”栗蔚說。

    中國信通院云大所開源和軟件安全部郭雪主任發(fā)布了“可信軟件物料清單（SBOM）深度洞察”，全面分析了軟件物料清單發(fā)展歷程，洞察產(chǎn)業(yè)現(xiàn)狀，幫助企業(yè)更好地將軟件物料清單引入軟件供應鏈安全建設中。她表示，未來中國信通院將繼續(xù)推進軟件物料清單技術、應用等相關研究，完善軟件供應鏈安全標準體系和系列評估。

    中國信通院云大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》標準進行解讀，標準從數(shù)據(jù)層、生成層、交付層、應用層四大維度明確軟件物料清單要求。他指出，標準一方面規(guī)定了軟件物料清單最小數(shù)據(jù)要素，另一方面為軟件供應鏈攻擊的快速定位和響應指明方向，助力降低網(wǎng)絡安全事件風險隱患。

    中國信通院云大所牽頭編寫《軟件物料清單總體能力要求》標準，并依據(jù)標準開展評估工作。評估分為企業(yè)和產(chǎn)品兩大維度，圍繞過程可信、工具可信、結果可信三大原則建立可信軟件物料清單理念。企業(yè)維度明確構建完善的軟件物料清單管理平臺，將軟件物料清單納為企業(yè)資產(chǎn)管理，助力企業(yè)落地軟件物料清單體系建設。

可信軟件物料清單SBOM評估結果（圖片來源：中國信通院）

（編輯 張明富）