本報記者 郭冀川

    4月3日，由中國信通院主辦的可信軟件物料清單（SBOM）主題沙龍召開，會上發(fā)布了首批產(chǎn)品維度可信軟件物料清單能力評估結(jié)果。中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚在致辭時表示，軟件物料清單通過明確識別和詳細(xì)記錄軟件組件及其相互關(guān)系以提升軟件透明度，成為軟件供應(yīng)鏈安全治理的重要抓手。

中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚致辭（圖片來源：中國信通院）

    “目前，我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢，一是企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標(biāo)準(zhǔn)規(guī)范逐步完善，引導(dǎo)軟件物料清單建設(shè)工作有序開展。整體來說，我國軟件物料清單建設(shè)仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進(jìn)產(chǎn)業(yè)共識將是日后工作重點。”栗蔚說。

    中國信通院云大所開源和軟件安全部郭雪主任發(fā)布了“可信軟件物料清單（SBOM）深度洞察”，全面分析了軟件物料清單發(fā)展歷程，洞察產(chǎn)業(yè)現(xiàn)狀，幫助企業(yè)更好地將軟件物料清單引入軟件供應(yīng)鏈安全建設(shè)中。她表示，未來中國信通院將繼續(xù)推進(jìn)軟件物料清單技術(shù)、應(yīng)用等相關(guān)研究，完善軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系和系列評估。

    中國信通院云大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》標(biāo)準(zhǔn)進(jìn)行解讀，標(biāo)準(zhǔn)從數(shù)據(jù)層、生成層、交付層、應(yīng)用層四大維度明確軟件物料清單要求。他指出，標(biāo)準(zhǔn)一方面規(guī)定了軟件物料清單最小數(shù)據(jù)要素，另一方面為軟件供應(yīng)鏈攻擊的快速定位和響應(yīng)指明方向，助力降低網(wǎng)絡(luò)安全事件風(fēng)險隱患。

    中國信通院云大所牽頭編寫《軟件物料清單總體能力要求》標(biāo)準(zhǔn)，并依據(jù)標(biāo)準(zhǔn)開展評估工作。評估分為企業(yè)和產(chǎn)品兩大維度，圍繞過程可信、工具可信、結(jié)果可信三大原則建立可信軟件物料清單理念。企業(yè)維度明確構(gòu)建完善的軟件物料清單管理平臺，將軟件物料清單納為企業(yè)資產(chǎn)管理，助力企業(yè)落地軟件物料清單體系建設(shè)。

可信軟件物料清單SBOM評估結(jié)果（圖片來源：中國信通院）

（編輯 張明富）