本報記者 郭冀川

    4月3日，由中國信通院主辦的可信軟件物料清單（SBOM）主題沙龍召開，會上發布了首批產品維度可信軟件物料清單能力評估結果。中國信通院云計算與大數據研究所副所長栗蔚在致辭時表示，軟件物料清單通過明確識別和詳細記錄軟件組件及其相互關系以提升軟件透明度，成為軟件供應鏈安全治理的重要抓手。

中國信通院云計算與大數據研究所副所長栗蔚致辭（圖片來源：中國信通院）

    “目前，我國軟件物料清單發展呈現三大態勢，一是企業基于安全合規需求，積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標準規范逐步完善，引導軟件物料清單建設工作有序開展。整體來說，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數據規范、發展完善配套工具、推進產業共識將是日后工作重點。”栗蔚說。

    中國信通院云大所開源和軟件安全部郭雪主任發布了“可信軟件物料清單（SBOM）深度洞察”，全面分析了軟件物料清單發展歷程，洞察產業現狀，幫助企業更好地將軟件物料清單引入軟件供應鏈安全建設中。她表示，未來中國信通院將繼續推進軟件物料清單技術、應用等相關研究，完善軟件供應鏈安全標準體系和系列評估。

    中國信通院云大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》標準進行解讀，標準從數據層、生成層、交付層、應用層四大維度明確軟件物料清單要求。他指出，標準一方面規定了軟件物料清單最小數據要素，另一方面為軟件供應鏈攻擊的快速定位和響應指明方向，助力降低網絡安全事件風險隱患。

    中國信通院云大所牽頭編寫《軟件物料清單總體能力要求》標準，并依據標準開展評估工作。評估分為企業和產品兩大維度，圍繞過程可信、工具可信、結果可信三大原則建立可信軟件物料清單理念。企業維度明確構建完善的軟件物料清單管理平臺，將軟件物料清單納為企業資產管理，助力企業落地軟件物料清單體系建設。

可信軟件物料清單SBOM評估結果（圖片來源：中國信通院）

（編輯 張明富）