信通院-软件物料清单（SBOM）发展洞察报告（2023年）-2023.08

软件物料清单ÿSBOMĀ发展洞察ç告ÿ2023€Ā云计算开源产业联盟OpenSource

Cloud

Alliance

for

industry，OSCAR2023年8月版h声明本ç告x权属于ß计算开源产业联盟，并受法律保æ2转载1摘编或利用v它方式使用本ç告文字或者Ê点的，应注明<来源：ß计算开源产业联盟=2违反P述声明者，本联盟将追究v相关

法律责任2编制人员：王媛媛1吴江伟1郭雪1刘帅1张锐刚1郑志强1

郑杭杰，钟志军，成涛1曾林青1高晟，傅逍螣，陶天一，孙肖

仪，杨威1董ÿ伟1张淼1严雪伦1子芽1王雪松1陈曙光1王

玮琪，刘军1杨剑1徐锋，朱×汶，刘永瑞1张达1但]u，王

媛媛，魏弋钧1滕召智，梁尧1高尉峰，白婧婧，李博1胡晓娜，

闫小涛，冯飞，王佳敏1陈曦1周杰明1沈凯文，王书辉，夏营1

胡向亮1王盛昱ç告在编写过程中，历经概念策划1提纲设计1内容起草1征求意É等阶段，得到了诸多单位的大力支持，包括：中ÿ信息

通信研究院ß计算与大数据研究所1华为ß计算技术p限}司1建信金融科技p限责任}司1阿里ß计算p限}司1ˆ‡科技Ø

团股份p限}司1奇安信网神信息技术ÿX京Ā股份p限}司1华为技术p限}司1悬镜安全1深圳开源à联网安全技术p限}司1联通软件研究院1X京神州绿盟科技p限}司1X京天融信网络安全技术p限}司1杭州孝道科技p限}司1中电金信软件p限}司1苏州棱镜七彩信息科技p限}司1OpenSDV

汽车软件开源联盟1中移系统Ø成p限}司1O~零数字安全科技Ø团p限}司1X京奇虎科技p限}司1深圳奥思网络科技p限}司ÿ开源中ÿĀ1X京ß起无垠科技p限}司1杭州安恒信息技术股份p限}司，在此一并致谢28VkYoZzXrWbRaO8OtRrRoMtQlOmMvNjMtQoO7NrQsMwMsRrNNZoMvN引

言软þ物ýo单ÿSBOMĀg软þr分W表，Wû了软þþþ1有关这些þþöï息以ÛÛ们O间ö依赖关系2ß年g软þ供应链安全事þ频发，ó高软þ供应链Ÿ明度，规避软þ供应链安全问˜r为^

}关注热点与q同诉n2软þ物ýo单通过明确Ï别Üï细»_软þ

þþÛ其þÞ关系以ó升软þŸ明度，r为软þ供应链安全治理ö重‰抓k2目_，g多öO^意Ïr维æ软þ供应链安全ö重‰性，并在软þ物ýo单技o1ýwÜßý{多方面进行探索2在此背o下，m建软þ物ýo单理论_系，ç建可ï软þ物ýo单理念，为O^落

w软þ物ýo单_系ó供行O有效ö建¿ïß{O容2本ç^Ÿ先明确软þ物ýo单ÿ本ë念，系统梳理ÿ内外软þ物ýo单发展ó状2其次，ö绕供需双方Ï角剖÷O^落w建¿软þ物ýo单_系面临ös战并óûû建议2此外，针ûó¶ÿO^面临缺乏统一规范öo准gÿ其落w建¿软þ物ýo单ö难˜，本ç^从ç建者Ï角û发，m建可ï软þ物ýo单建¿模ß，ý盖管理^1数o^1生r^1交付^四维度，为O^落w建¿软þ物ýo单_系ó供参考，并分÷落wr效2最后，ÿ\当_ó状_o|判软þ物ý

o单未gö发展ÿÜ方U2目

录一1软þ物ýo单明确软þþrÛ依赖关系，助力降低软þ供应链安全风ÿ....

1

ÿ一Ā软þ物ýo单明确软þþrÛ依赖关系.................................................

1

ÿ二Ā软þ物ýo单í在ò强软þ供应链安全管理.........................................

2二1Tÿ积极探索软þ物ýo单理论应用|~........................................................3

ÿ一Ā全w重点ÿÿÜO^þÿ积极ë进软þ物ýo单理论|~.................3

ÿ二Āÿ际o准Ûþ关þÿ逐o建û软þ物ýo单o准格_qÏ.................7

ÿ三ĀÿÿÛ欧盟Ö续ë动软þ物ýo单应用ßý.......................................

11

ÿ四Ā我ÿ_o探索软þ物ýo单þ关|~...................................................13三1落w软þ物ýo单建¿面临ös战Üû建议..............................................14

ÿ一ĀO^落w建¿软þ物ýo单_系面临多重s战...................................14

ÿ二Ā促进O^落w建¿软þ物ýo单_系öû建议...............................17四1m建可ï软þ物ýo单建¿模ß，助力O^安全管控..................................21

ÿ一Ā可ï软þ物ýo单建¿模ß...................................................................

23

ÿ二Ā软þ物ýo单多角度助力O^安全管控...............................................27五1软þ物ýo单发展ÿ展望..............................................................................30附_

软þ物ýo单O^落wßý............................................................................32ÿ一Ā建ï金ùÿÿ于

IED

插þö软þ物ýo单ÿSBOMĀ管理ßý.......

32

ÿ二Ā联通软|院ÿ软þ物ýo单ÿSBOMĀ建¿ßý...............................35Ā

目

录þ

1

软þ物ýo单y状ë念þ................................................................................20

þ

2

软þ物ýo单ßý使用÷................................................................................

22

þ

3

可ï软þ物ýo单建¿模ß............................................................................

23

þ

4

软þ物ýo单最小数o‰}

1.........................................................................24

þ

5

软þ物ýo单最小数o‰}

2.........................................................................25表

目

录表

1

软þ物ýo单数o字ÿÛ说明..........................................................................

2表

2

软þ物ýo单最小元}......................................................................................

6表

3

CycloneDX

数o类ß

........................................................................................

10表

4

软þ物ýo单表状ë念þ................................................................................

19云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā一1软件物料清单明确软件组r及依赖关系，û力降P软件供应链安全风险ÿ一Ā软件物料清单明确软件组r及依赖关系软þ物ýo单ÿSBOM,

Software

Bill

of

MaterialsĀë念最早ou

ÿÿÿ会众议院在

2014

年_入ö一份]为:络供应链管理与Ÿ明

度法案;öó案中k_óû22018

年，ÿÿW务部ÿÿ电ïÜï息管

理局ÿNTIAĀ针ûó高软þþþŸ明度发起了一n络安全«R，目

oo培育一n软þþþŸ明度更高ö市场，建û并ë软þ物ýo单

_系，<软þ物ýo单=这一ë念k_问^2软件供应链攻üÏ件爆

发，软件物料清单r~关注重点2SolarWinds

击事þÜ

Log4j2

漏

洞ÿY后，软þ供应链渗ŸÜ安全问˜r为ÿÿ府Üï^}关注ö

重中O重，软þ物ýo单_为有助于幅ó升软þ供应链Ÿ明度ö一në决方案被ß予厚望2软件物料清单指软件r分列表，识别并列û了软件组件1相关组件的信息以及它们之间的供应链关系2软þ物ýo单öë念u传统物ýöë念Í生而g，g一n软þï品ö物ýo单，Wû了软þþþ1

þþï息以ÛÛ们O间ö供应链关系，能_为软þ生ï人员1-买者Ü运营者ó供软þ开发过程中所采用ö所有<原wý=þ关ï息Û其

供应链N下游依赖关系2软件物料清单包含每个组件的基准信息2软

þ物ýo单字ÿï息ó少应包î供应W]称1þþ]称1þþz本1其Þ一oÏ符1依赖关系1SBOM

数o_者Ü÷间戳，ïÉ表

12

u于软þ供应链öŸ明度随÷间1技o进o{因}发生ÛW，Nÿ最1云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā小字ÿûo软þ物ýo单文þöÿ本çr，þÿç可yo^务需n增ò更多ö字ÿg描ÿ软þ物ýo单2u于软þö}]复杂且缺少统一ö}]规范，为了更ò方ÿwÏ别þþ，可以将þþ]称}]为w备可û性ö字符串，v使用符\þ关o准öþþÏ别]称2数o字ÿ Data

Fields 描ÿ供应W]称Supplier

Name创建1ÛOÜÏ别þþöß_]称þþ]称 Component

Name 原供应WÛOö软þ]称þþz本Version

of

the

Component供应W用于gÛ软þz本ÛWöoÏ符其Û一oÏ符

Other

Unique

Identifiers其Û用于Ï别þþoÏ符，v_为þ关数o库ö查ë¿依赖关系Dependency

Relationship表征一nN游þþ

X

包在软þ

Y

中ö关系SBOM

数o_者Author

of

SBOM

Data为ïþþ创建

SBOM

数oöß_]称÷间戳 Timestamp »_

SBOM

数oöå期Ü÷间数据来源：NTIA，The

Minimum

Elements

For

a

Software

Bill

of

Materials

(SBOM)，2021

年

7

o表

1

软件物料清单数据字段及说明ÿÐĀ软件物料清单旨在加强软件供应链安全管理软þ供应链ou多nN游与下游þÿþÞ连çrö链ÿç2新技术飞Ÿ发展导致软件供应链复g性增à2容器1中间þ1微服务

{技oö进ë动软þ行^快Ÿ发展，同÷带g软þ¿«开发复杂度Oíó升，软þ供应链i发复杂，全链ï安全防æ难度Oíò{问˜2在w_场o中，当软þ¿«复杂度增ò÷，其供应链ö复杂性也2云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā会随Oó升，w_çr关系1供应链N下游ö依赖关系也随O模糊，从而进一o降低软þ供应链整_Ÿ明度2软件供应链安全r~关注焦

点，降P软件供应链安全风险r~业界共识2随着用w安全意ÏÛ内

外部安全需nöOíó升，û软þÛ其供应链精准管控，保障软þ供应链安全r为^}关注焦点ÜO^q同诉n2软件物料清单í在ð升软件供应链Ÿ明度2软þ物ýo单ëß生O_ÿ有明确目o，即ó高软þþþÛ供应链Ÿ明度2软þ物ýo单

ó供了一þ附òï息，把软þöþrr分Ü依赖关系{ï息可ÏW，并统一»_管理，ó升了软þ供应链整_Ÿ明度，û于降低软þ

使用Ü维ær本，保障软þ供应链安全w有重‰意O2Ð1各ÿ积极探索软件物料清单理论应用研究ÿ一Ā全球重点ÿ家和企业组织积极è进软件物料清

单理论研究1.

美ÿ率先探索软件物料清单理论研究NTIA

首次è广软件物料清单体系用于ð升软件供应Ÿ明度2

2018

年

6

月，NTIA

动了一ùí在ó升软þ供应链Ÿ明度öù目，其核ßo建û并ë软þ物ýo单_系，通过在软þï品中嵌入一n

技o文档，g_óïï品在开发过程中所采用ö所有物ý1g源Û供

应W关系2美ÿr立专项工作组分模块研究软件物料清单并发布研究r果ç告22018

年

7

月，NTIA

þÿ召开了第一次{þþ关方会，会议决Ûrû

4

n专ùý_þ，分别负¯框÷|~1用例与ßýó状1

o准与格_以Û医疗ž域ë念验ƒ22019

年

11

月，4

n专ùý_þ3云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā分别发_了|~rÿç^，分别为:软þr分Ÿ明度框÷ÿ建û通用ö

SBOM;1:SBOM

在整n供应链中ö角色Üþ];1:ó有

SBOM格_Üo准调|;1:医疗uÿž域ë念验ƒ;2此后，考虑r用例与ßýó状专ùý_þÿ务已完r，以Û|~rÿç^明确了下一o

öý_难点，NTIA

将

4

n专ùý_þöý_方U进行了调整22021年

2

月r

3

月，T专ùý_þÖ续发_了

4

ù中期rÿ文þ，分别为:SBOM

选ùÜ决点;1:软þ¯份ÿs战Üg_;1:SBOM

ý

w分类方法;1:SBOM

分ïÜ交c;2ÿÿ软þ物ýo单专ùý_

þ较早展开软þ物ýo单þ关|~，分nn¶ÿ输ûßrÿ文þ，为后续其ÞÿÿÛþÿ|~软þ物ýo单奠Û了_ßö理论ÿx2Ð项目èú进程来看，软件物料清单项目进入攻坚阶段22019

年发_ö

|~rÿç^内容ïß，目o远并明确gû了下一oë进ö难点所在，而

2021

年发_ö中期rÿ文þ字数寥寥且避重就轻，并未为第一¶ÿgûö难点óû可行ö技oë决方案2~其原因，一oïù目本¯íÛö技o因}复杂，二o在ë动þ关O^}Û其ç有ßý方面׿2SolarWinds

安全Ï件爆发r~软件物料清单关注转折2软þ物ý

o单ù目ë

2018

年动后，府Û行^çû软þ物ýo单ö重Ï程度并O高22020

年

3

月ÿ会络空间åY浴委员会ÿCSCĀ曾ó议增òû软þ物ýo单ù目ö资源÷入，但并未被采纳进入

2021

年度ÿ防预算ë权法案22021

年，随着ÿÿ

SolarWinds

络击事þÿ

Y后，部分^内人û将目Y重新÷U软þ物ýo单，¯为Û将有效ó4云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā升软þ供应链Ÿ明度，从而减少软þ供应链漏洞Ü风ÿ2美ÿ发布系列政策及制度文件大力èú软件物料清单发展22021

年

5

月

12

å，ÿÿ总统拜签署发_:}善ÿÿ络安全行î;，明确óû}善软þ供应链安全，‰n为ûÿ府ö软þ开发建ûÿÿ安全o准，O仅ó供应用程序，而且ß必须ó供软þ物ýo单，ó升þrï应用程序þþöŸ明度，ç建更有性且安全ö软þ供应链环境，确保ÿ

ÿÿÿ安全2同年

7

月，NTIA

发_了:软þ物ýo单ö最小元};，ÛO如_考虑最小元}ö范ö，描ÿ了软þ物ýo单用例以ó高软þ供应链öŸ明度，并为未gö发展ó供了方U，w_É表

222022

年2

月，ÿÿÿÿo准与技o|~院ÿNISTĀ发_:安全软þ开发框÷;，主‰íÛoÏÜ管理第三方þþ1软þ物ýo单生r1维æÜqïþ关内容，并建议‰n供应Wó供软þ物ýo单以Û在-买Ü部署软þ

÷使用软þ物ýo单{2ÿÿ拜府签署ö行î力ë进了软þ物ýo单发展，多方发_örÿç^使软þ物ýo单理论|~框÷逐o完善25云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā最小元} 描ÿ数o字ÿ应当予以追踪öïnþþö文档ÿ准ï息ÿ供应W1þþ]称1þþz本1其Û一oÏ符1依赖关系1软þ物ýo单数o_者以Û÷间戳ë动W†c†cë动W，包î通过ë动生rÜ器可û性k展ó软þ生态系统2生r并使用软þ物ýo单ö数o格_包îSPDX1CycloneDX

Ü

SWID

o»ÛO软þ物ýo单请n操_1生rÜ使用，包î频÷1ýßýÜ流程度1已知ö未知1分__Ü交付1访问控制ܝ误ë数据来源：NTIA，The

Minimum

Elements

For

a

Software

Bill

of

Materials

(SBOM)，2021

年

7

o表

2

软件物料清单最小元素2.

w他重点ÿ家和企业组织积极发布相关研究r果多个重点ÿ家及企业组ÿ强调需制定}认的软件物料清单标准化格式2ëÿÿ

2018

年k_ë软þ物ýo单_系后，其Þ重点ÿ

ÿÛO^þÿ也ó升û软þ物ýo单重Ï程度，积极ë进þ关发_，探索软þ物ýo单理论|~2ÿ家层面，2021

年，荷兰ÿÿ络安全中ßÿNCSCĀ发_:使用

SBOM

增强络安全;白þ书，ó供了关于如_创建，使用Ü维æ软þ物ýo单ößý建议，以Û如_将软þ物ýo单Örr更泛ö络安全略中2ö此O外，NCSC

Û期þÿ|讨会Ü训练ÿ程，U

IT

专^人员Ü决者传ë关于软þ物ýo单ö知ÏÜ技能22022

年，英ÿÿÿ络安全中ß:¿备安全g南;中gû可{用软þ物ýo单进行漏洞管理，建议甲方O^可通过ó供软þ物ýo单帮助þ关人员了ë漏洞修复情况，确保¿备Û软þ更新r最新补丁22023

年，òÿ络安全中ßÿCCCSĀ发_:保6云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Āæþÿ免×软þ供应链威胁;中建议在供应W审查过程中，考察供应

Wo否使用软þ物ýo单gß踪þþ，并审«软þ物ýo单包öï

息Û其安全性2企业组ÿ层面，2020

年，W^软þ联盟ÿBSAĀ发_

:BSA

联盟安全软þ框÷;，强调了软þ物ýo单在软þ供应链管理

中ö重‰性Ü_用，并¯为制Û公¯öo准W格_û于ßóï息qï

Ü协_ó关重‰2整_g说，其Þ重点ÿÿ主‰Ö中在荷兰1英ÿ1

òÿ{发¿ÿÿ，府û台þ关ç^1白þ书{ë进软þ物ýo单建¿，将软þ物ýo单Ï为降低软þ供应链安全风ÿö有效ë决方案已r为qÏ2ÿÐĀÿ×标准及相关组织

步建立软件物料清单标准格式共识为U分ßó软þ物ýo单Ü软þþþŸ明度ö优ÿ，需‰通过创建o准Wö数o格_ßó软þ物ýo单ö传输Ü可û2NTIA

在:软þ物ýo单ö最小元};中从众多格_中选ë了

SPDX1CycloneDX

Ü

SWID

并gÛ其为{准öo准格_21.

SPDX：Linux

基金会开发的软件物料清单数据格式，侧重开源许可合规SPDX

规范ð供了通用的数据交换格式，€心重点是开源许ÿ证合规2SPDXÿSoftware

Package

Data

ExchangeĀo一nu

Linux

ÿ金会托管ö开源ù目，其ÛO了一ý数o交c格_以通用格_wÖÜq

ï有关软þ包Üþ关内容öï息22021

年

8

月，ISO/IEC

5962:2021

:ï息技o

SPDX

规范

V2.2.1;ÿ以下简称<SPDX

规范=Ā发_，被7云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā公¯为安全性1许可ƒ\规性Ü其Þ软þ供应链þþöÿ际开放o准2

ë

2010

年以g，Linux

ÿ金会一ö在开发Ü完善

SPDX

o准，并把SPDX

ö核ß重点放在开源许可ƒö\规性N2SPDX

规范ï述了生r有效

SPDX

文档所需的部分和_段，全量详þ地ï述了软件组r信

息2ïn

SPDX

文档u创建ï息1软þ包ï息1文þï息1代码wÿ

ï息1其Û许可ï息ÿSPDX

许可ƒ格_W表O外ö许可ƒ格_Ā1

SPDX

中T元}O间关系描ÿ与注释ï息þr，可以帮助开发者1供

应WÜ用w更}w\规性管理软þ包ö安全1许可ƒÜ知Ïï权{方

面ö‰n2SPDX

能够以多种文件格式表达，ð高软件物料信息收集P共享过程中的效率以及准确性2SPDX

ï息可与特Ûö软þï品1

þþ1þþÖ1文þ以Û代码wÿþ关联，其重点o创建一ý<语Š=，

描ÿ可交cö软þ物ýo单数o2SPDX

文档可以表{为多ý文þ格_ÿRDFa1.xlsx1.spdxĀ，并且k在k展为其Þ格_ÿ.xml1.json

Ü.yamlĀ，通过在O同ö输û格_O间进行传递与交c，并û文档ök确性进行

k_验ƒ，从而ó高效÷与准确性2多个企业使用

SPDX

格式共享和传递软件物料清单信息，以确保

在全球软件供应链中实现合规和安全开发2SPDX

通过为þÿÜ{

ó供qï重‰数oö通用格_g减少冗余ý_，从而ó高软þ物ýo

单ö\规性1安全性Ü可靠性2目_，包î英特尔1微软1ÿ门[1

索尼1新}ù技1VMware

Ü

WindRiver

在内ö众多公û已经使用SPDX

在výw中传¿软þ物ýo单ï息22.

CycloneDX：OWASP

创建的轻量级软件物料清单标准8云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā格式，侧重安全风险管理2017

年，OWASP

þÿ创û

CycloneDX

并rû专门ö开源ù目

g开发规范1ßóÜë，óu

CycloneDX

Core

ý_þ负¯o准ö

战略方UÜ维æ2CycloneDX

是一种轻量级的软件物料清单标准，侧

重于网络安全风险管理2CycloneDX

最_í在ë决开源þþö漏洞Ï别1许可ƒ\规性Üþþ分÷问˜，在后续z本中添ò了其Þß能2

CycloneDX

规范描ÿ了一n规Û性öûí模ß，其数o内容包î软þ物ýo单元数o1þþ1服务1依赖关系1þ\1k展{ï息，可用于软þþþÜ服务o单描ÿ1漏洞分÷Ü修复1软þ供应链风ÿ评估܃明1许可ƒ\规性{2CycloneDX

包含~种O同类型的数据，w

轻量级特性使w在多行业被广泛应用2CycloneDX

可以表{为O同ö

文þ格_ÿ.xml1.jsonĀ，包六ýO同类ßö数oÿ软þ物ýo单

元数o1þþ1服务1依赖1þþ1漏洞，w_描ÿÉ表

32CycloneDX

o适用于多行^用途ö轻ß级o准，w备易于学习Ü采用ö规Û性û

í模ß1高度ë动W1†c多ýþþoÏo准1规范可k展1表{þ

þ½系{特点2目_，金融服务1制造1府1软þÜ安全公û{行^þÿçk在生ïÜ使用

CycloneDX

格_ö软þ物ýo单29数o类ß描ÿ元数o包有关应用程序vï品本¯öï息þþ包一n完整ö描ÿW表，ý盖闭源þþÜ开源þþ服务描ÿ了软þ调用ö外部

API，包î服务ö

URIÿ统一资源oÏ符Ā1¯份验ƒ‰n1软þÜ服务O间ö数o流UÜ数o类ß依赖包î软þþþööç依赖Ü间ç依赖关系描ÿ云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā数据来源：https://表

3

CycloneDX

数据类型3.

SWID：通过标签形式定义组件信息及依赖关系，目前已r为ÿ×标准在N^纪末，ISO

开Û建û一n可ûö软þþþo签o准2

SWID

ö第一z于

2009

年发_，并于

2015

年r为ÿ际o准

ISO/IEC

19770-2:20152SWID

标签í在~组ÿð供一种Ÿ明度方式来跟踪安装在w托管¿备P的软件2SWIDÿSoftware

Identification，软þoÏĀ

o签文þ包有关软þï品特Ûz本ö描ÿ性ï息，通过带有ï品]称Üz本ï细ï息ö一ôo签，在¿备N~{软þï品存在öo准g

o2SWID

规范ÛO了4

ý主‰类ßöo签，分别为主o签ÿPrimaryĀ1补丁o签ÿPatchĀ1语ý库o签ÿCorpusĀÜ补Uo签ÿSupplementalĀ2

SWID

o签可在整n软þ生}周期中更轻松w发ó1Ï别Ü情境W软þ，帮助O^创建准确ö软þo单2SWID

标准获

NIST

支持，NIST建议软þ生ïW采用

SWID

o签，包î

TCGÿ可ï«算þĀÜ

IETF

ÿÞ联ý程ÿ务þĀ在内ö多no准ç在其o准中使用

SWID

o签2NIST

|~表明，SWID

o准ÛO了一n生}周期，其中

SWID

o签_为软þï品安装过程ö一部分添òrÿ点，并在ï品{载过程中被删ö2当遵循此生}周期÷，ÿÛ

SWID

o签ö存在öçû应于o签描ÿö软þï品ö存在2多个企业使用

SWID

标签û力企业资产和漏洞管理，包î微软1Adobe1IBM1Symantec1Flexera

{公û泛10þþ描ÿ了软þöþr部þÛ其完备性漏洞用于表ÿÜ传递þþö漏洞ï息云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā使用

SWID

o签g描ÿ其软þï品，í在使ûw更o{w了ë安全ö软þþþÜz本ï息，并帮助O^管理软þ资ï1许可ƒÛ漏洞ï息，ó升软þ供应链ö可追溯性2ÿ三Ā美ÿ及欧盟Ø续èú软件物料清单应用实践1.

美ÿ多行业将软件物料清单视为安全建设的重要途ß美ÿ在医疗1汽车1能源领域率先探索软件物料清单应用实践，鼓励各方共同研究软件物料清单标准及最佳实践2ÿÿ多行^府

ç发_软þ物ýo单þ关文þ，建议在ó交软þ¿备ö同÷ó供软þ物ýo单，包î医疗行^1汽车行^1能源行^{2FDA

要求制商ð供¿备的软件物料清单信息22020

年

4

月，ÿÿß品Üï物管理局ÿFDAĀ发_:医疗¿备络安全草案;，‰n制造W在U

FDA

ó交¿备ö安全评估ç^÷，必须ó供¿备ö软þ物ýo单ï息2草案建议

FDA

可以与行^T方q同|~开发最ßý，包î软þ物ý

o单ö编制Üqï{，以确保在¿备供应链Ü部署过程中，软þ物ý

o单ï息ö准确性Üß用性2随着ó代汽车û软þ系统ö依赖程度ó高，NHTSA

将软件物料清单视~降P汽车行业软件供应链安全风险的有效工x22021

年

1

月，ÿÿÿÿ公ï交通安全局ÿNHTSAĀ发_:ó代车安全性ö络安全最ßý;，重点o通过ï息qï1规范WÜ供应链管理gó高ó代车ö安全性，并¯为软þ物ýo单可以_为一ý有效öýw，帮助厂W更}w了ë供应Wó供ö主‰þ

þög源并评估风ÿ2ïßý建议

NHTSA

Ü其Þþ关{þþ关者应11云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Āq同协_，制Û统一ö软þ物ýo单o准Ü格_2多机构联合发布软件物料清单共享框架û力能源部门安全建¿22023

年

4

月，ÿÿ能源部络安全1能源安全Ü应eÝ应办公ÿÿCESERĀÜÿÿÿ土安全部络安全Üÿx¿施安全局ÿCISAĀ联\发_新ö软þ物ýo单qï框÷，以gÿ软þ开发人员Ü用wûnqï软þ物ýo单，助力ÿÿ能源部门ö安全性Ü性建¿2ÿÿ府ç积极Ý应软þ物ý

o单建¿需n，建议多行^ö软þ1¿备ó供W在ó供软þ1¿备ö同÷ó供软þ物ýo单，但目_暂未r为强制性‰n22.

欧盟重点在医疗行业探索软件物料清单应用实践欧盟Ð医疗行业û发积极è进软件物料清单落地2欧盟û软þŸ明度有高度‰nöž域o医疗器ø¯ƒž域，欧盟发_多ù规Û

‰n¿备制造W保留医疗器øþþö完整可追溯»_，目_已r为CE

¯ƒö强制性‰n2欧盟ö

CE

¯ƒo欧盟法ßûï品óûö一ý强制性‰n，O论o欧盟内部O^生ïöï品，ßo其Þÿÿ生ï

öï品，‰ó在欧盟市场Nëu流通，就必须ò贴

CE

o志2在欧盟市场中，CE

o志^强制性¯ƒo志2医疗器械

CE

认证要求软件组件追溯清单2CE

针û医疗器øö¯ƒ‰n¿备制造W保留医疗器ø

þþö完整可追溯»_，软þþþö完整可追溯o单o·ß

CE

¯ƒ

ö强制性‰n，这ý软þŸ明度ö完整可追溯性o单与软þ物ýo单内容非~þ似2在安全性方面，CE

¯ƒo准‰n医疗器ø生ïW将其医疗器ø安全漏洞主动^知用w2但欧盟

CE

¯ƒo准关于软þþ

þ追溯o单ö‰nÏ有}进ö余w2目_，生ïWó供ö漏洞ï息并12云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā未统一o准数o格_，资ï管理系统Ü安全运营平台难以将其ë动W

]理2ENISA

ç告中建议生产物联网¿备和医疗器械时生r软件物

料清单22020

年，欧盟络安全局ÿENISAĀ发_n本ç^，óû软

þ物ýo单o一ýó高安全性ö措施2:物联安全g南;–ÿ物联

供应链安全准[，在ç^中

ENISA

建议将软þ物ýo单用于物联¿备，并建议使用ýwÏ别ß^依赖软þ并生r软þ物ýo单2:医

疗ç络安全采-g南;为医院在采-服务1ï品Üÿx¿施÷ó

供络安全g南，并鼓励在选ë医疗器ø÷考虑‰n供应Wó供软þ

物ýo单2欧盟医疗器ø行^已将þþö完整可追溯»_Ï为强制性‰n，同÷óû{þþ关者应q同协_，制Û统一ö软þ物ýo单o

准Ü格_，以ó高

SBOM

ö可用性ö诉n2ÿ四Āsÿ初步探索软件物料清单相关研究sÿ积极è进软件物料清单建¿，但Ï`较大ð升空间2标准层

面，在|ÿo:ï息安全技o

软þ供应链安全‰n;ÿ征n意ÉĀ

中óû软þçrþ½þ关ë念2在|öo:软þ物ýo单总_能力‰

n;从数o^1生r^1交付^1应用^四维度明确软þ物ýo单

ç建能力，为O^ç建软þ物ýo单ó供参考2政策层面，当_软þ物ýo单在ÿ内^缺乏泛ö¯知Ü了ë，暂未û台þ关ö法规，顶^öo准与行^‰n也]于|~¶ÿ，O^生r软þ物ýo单缺乏

统一ö规范gÿ2应用层面，金融ç1软þ}部O^1少部分ýw

厂W{_o探索软þ物ýo单落wßý，包î制度建¿1ýw选ß{，但部分中小O^Ï未开展þ关建¿|~2o

2022

年度:DevSecOps13云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā行^洞察ç^;~{，jk目_为k仅有

3%ö×调者所在O^þÿ保留了完整ö软þ物ýo单2在中ÿï息通ï|~院ö调|中，超过50%öO^缺乏软þr分分÷ýw，且^未建û软þ物ýo单ö生r与管理制2O1落地软件物料清单建¿面临的挑战和对策建议ÿ一Ā企业落地建设软件物料清单体系面临多重挑战软þ物ýo单通过ó高软þŸ明度r为软þ供应链治理ö重‰抓k，已r为ÿ际公¯ö重‰方法论2但目_ÿ内O^软þ物ýo单

_系建¿Ï存在较多难点与s战，w_表ó为ÿ1.

统一的软件物料清单标准体系和行业共识亟à建设缺乏统一规范的标准和指南指导企业落地建¿软件物料清单2ó

¶ÿ面临ö一难˜oÿ内^无明确ö软þ物ýo单o准，缺乏统一öo准与g南2SPDX1CycloneDX1SWID

o准仅明确软þ物ýo单数o格_，其ï重点TOþ同，且与O^落w建¿软þ物ýo单ßý流程Ï存_差2O^û能参考ÿ内外ö一些最ßýZ法，其ß施方案缺少w_ög行o准与规范，其落w效ÿ缺少评ÿ_系ÿ与Ûßö评ÿ2O^面临<如_Z=1<ZrÎ么程度=1<如_ƒ明Zß}=

{诸多问˜2此外，TO^Üþÿ通过þûëû规范并建û软þ物ý

o单，造rß重复ý_2O同行业企业缺乏共识导致软件物料清单数据O兼容2当_，ó有法ßï重ÿÿ\ó，而非过程‰n2ó行规Ûûo单o准格_1生rýw{缺乏规范性gÿ，O同öO^v

þÿ可能使用O同}]ÜoÏ方_g描ÿ软þ物ý，ÿô数oö混乱14云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023ĀÜO一ô，而O同ö数o格_Üÿçÿô数oöÞ操_性较低2因此，亟需建¿w备行^qÏög行o准Ü评估_系，为O^建¿软þ物ý

o单ó供g_22.

软件系统复g多样加大软件物料清单数据收集难度现代软件系统软件组r多1ß能复g，软件物料清单数据难以收集2多重原因ÿô软þ物ýo单数owÖ较为ö难，w_如下ÿó代软þ系统通~u多n软þÜþþþr，这些软þÜþþ可能gëO同ö供应W，使用O同ö编程语ŠÜ技o2这ý多样性使ß创建Ü维æ软þ物ýo单Ûß更ò复杂，需‰ûTýO同类ßö软þÜþþ进行分÷Ü评估2其次，ó代软þ系统ßßw有复杂öß能Ü交Þ逻辑，íÛr多n模块Ü[系统2这增ò了û软þ物ýo单中软þÜþþO间关系ö理ëÜ管理ös战2O^需‰确保软þ物ýo单能_准确w反映û软þ系统öß能ÿç，并能_追踪Ü管理Tn模块O间ö依赖关系2此外，ó代软þ系统通~依赖于第三方库1框÷Ü服务，用于ßó特Ûöß能vó供额外öß能2这些第三方þþ可能o开源öv

W^ö，需‰û其进行评估Ü管理2因此，O^亟需采用ù学ö方法wÖ并维æ软þ物ýo单数o23.

软件物料清单数据完整性和准确性难以保证软件供应链PQ游企业建¿能力O衡使得软件物料清单数据完整性难以保证2理ó情况下，ïn软þ供应W都会为其软þþþ创建软þ物ýo单2然而，软þ物ýo单öë念Ü知Ï较新并且k在发展，很多O^ö软þ暂无软þ物ýo单，下游ï品供应W需‰yoN15云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā游软þþþöï息创建2如ÿN游软þ缺少软þ物ýo单，就可能ÿ

ô最þï品ö软þ物ýo单ï息O完备2目_N下游O^ö软þ物ý

o单建¿能力O足，会ÿôO^在建¿软þ物ýo单_系过程中部分öçÜ间ç软þ物ý依赖ï息ö缺失，软þ物ýo单数o完备性难以保ƒ2软件更新迭代Ÿ度过快和较高的维ær本导致软件物料清单数据准确性难以保证2在软þ物ýo单建û过程中，人为误v系统ö

Ö制可能ÿôo单O完整，þþv库öz本迭代Ÿ度迅Ÿ，可能会û

ó更新OÛ÷ö情况2u于人员ö流动Û管理ö缺失也可能ÿô存ß软þ中öþþ已经无法追溯其准确öï息2此外，一些þþv库_入后没有被ß际使用，但u于维ær本过高，冗余ÛO准确数o难以从o单中去ö24.

软件物料清单或将加大数据泄露和滥用风险软þ物ýo单通过o准ö格_在N下游þÿO间进行ï息ö传递交c，以增进整n软þ生}周期供应链öŸ明性，协助N下游厂W应û在ö风ÿÜ威胁2软件物料清单数据信息暴露资产€心数据r潜在安全风险2一旦O^生r了完整1真ßö软þ物ýo单，这就

r为其软þ资ïþrÛ其在漏洞风ÿö数o库，o关乎O^软þï品}脉ö核ß数o2软þ物ýo单数o泄·可能会ö·软þö所有þ

þÜ依赖关系，这û于恶意击者g说o一份宝贵öï息，Þ们可以{用这些ï息找r软þö点进行击2软件物料清单数据泄露或将暴露商业秘密2软þ物ýo单数o泄·可能会让竞争ûk了ër公û

ö软þ开发略1技o细节Ü供应W关系{带göW^秘密风ÿ，|16云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā其O^ë主|发ö软þ可能íÛ专{ÜW^秘密{知Ïï权2缺乏相关法律法规确保软件物料清单数据安全和创作者相关h益2软þ物ý

o单在多次复制Ü传递过程中，容易被非ë权方窃取，同÷存øÜ传输中ö数o如_防k被篡}o亟待ë决ö问˜2÷外目_暂无明确ö法ß法规保障软þ物ýo单创建者öþ关权þ2ÿÐĀ促进企业落地建设软件物料清单体系的对策建议1.

促进行业共识，è进软件物料清单标准化建设各行业企业应积极贡献，è进软件物料清单共识2T行^内应建ûþ关o准ö讨论Üý_þ，从软þ物ýo单供需双方Ï角û发，明确规Ûo单内容1格_{，促进行^qÏ2通过制Û统一ö数o格_

Üÿç规范，以确保O同系统Ü平台O间能_k确wë÷Ü]理软þ物ýo单数o2TO^Ûþÿ参考同样öo准ÜþÛ，可保ƒ软þ物ýo单ö可靠性ÜÞ操_性2此后，可以逐o制Û更òw_Ü普Ý适用öo准，帮助TO^更有效w创建软þ物ýo单，ó高软þï品ö安全性Ü质ß2中ÿ信息通信研究院ß计算P大数据研究所相关团队积极开展软件物料清单标准研究，编写:软件物料清单总体能力要求;标准2o准从数o^1生r^1交付^1应用^四维度óû软þ物ýo单建¿‰n，通过明确软þ物ýo单ö关¿数o‰}1使用场o以Û生ï流程{Tn必备‰}r分，进一o建û软þ物ýo单ö整n安全生态2o准适用于O^Ûþÿ在ç建软þ物ýo单÷进行参考，17云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā同÷为用w选ë\适öýwó供选ßgÿ，也可为第三方çû于O

^Ûþÿ软þ物ýo单管理能力审查Ü评估ó供o准依o22.

人工工x结合，多方式收集软件物料清单数据O^可通过人ýk动wÖvýwë动WwÖ软þ物ýo单数o2人工方式收集ÿ利用开发和产品团队资源收集软件物料清单数据2Ÿ先，·ß代码库ÿ本ï息需‰ûn开发öŸ管理者ö†c2通~情况下，开发经理可以ó供已经r并已在维æ中öþþW表，v可yo

‰n创建þþW表2其次，代码库ÿ本ï息ß可gë于ï品经理2ï品需n经理通~会gÛ软þö安全需n，这ý情况下应U分考虑软þ物ýo单需n2无论采用哪ý方法，ï品需n人员都可以U当开发ö

ŸÜ安全öŸO间ö桥梁，帮助wÖ软þ物ýo单数o2最后，系统¿«文档1ï细¿«文档1z本描ÿ文档Üç建脚本{ï品开发文档通~能_ó供软þþröï细ï息2工x方式收集ÿ利用软件组r分析工x自ú化收集软件物料清单数据2ç开发Üï品管理öŸ均无法ó供数o，可使用软þþr分÷ýwû软þ进行扫描，Ï别包öþ

þ2O^可wÖÜ整\gëO同g源ö数oç建完整Ü准确ö软þ物ýo单，包î代码仓库1依赖关系1开源库{，O^可使用ë动Wý

wgwÖ这些数o，并建û一nÖ中öï息库，以ÿ整理1审查Ü更新软þ物ýo单23.

加强责任意识，共同建设可信软件物料清单企业以断言形式ï述未知信息，通过à相补充共同完善软件物料清单数据2O^可将软þ物ýo单ö完备性ï息以íŠö_Ù入软18云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Āþ物ýo单<依赖关系=数o字ÿ中，w_包î_级þþÜ下级þþ

ö完备性íŠÿ_级þþÿ软þö顶^þþĀö完备性íŠo_级þ

þ包下级þþö知Ï，下级þþö完备性íŠo下级þþ包其下一级þþö知Ï，_级þþÜ下级þþöíŠ类别均包î未知1部分1已知Ü无四ý2软þ供应链N下游O^可增强¯ÿ意Ï，通过íŠ类别为<未知=Ü<部分=öþþ进行数oö补UÜ完善，q同逐o完善软þ物ýo单ï息2þ

2

Ü表

3

分别用表状ë念þÜy状ë念þn

ý_展{了同一n软þï品

Acme

公û<Application=ö软þ物ýo单，其中包î了íŠï息2Component

Name Application |--Browser |--Compression

Engine |--BufferSupplier

Name Acme Bob Carol BingoVersion

String 1.1 2.1 3.1 2.2Author Acme Bob Acme AcmeHash 0x123 0x223 0x323 0x423UID 234 334 434 534Relationship Self Included

in Included

in Included

inRelationship

Assertion Known Partial None Unknown数据来源：NTIA，Framing

Software

Component

Transparency:

Establishing

a

CommonSoftware

Bill

of

Materials

(SBOM)，2021

年

10

o表

4

软件物料清单表状概念Ā19云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā数据来源：NTIA，Framing

Software

Component

Transparency:

Establishing

a

CommonSoftware

Bill

of

Materials

(SBOM)，2021

年

10

oĀ

1

软件物料清单树状概念Ā企业需强化相关人员的责任意识，并使用ÿ信的工x确保组件信息准确2在软þ开发周期中，ïnöŸ都必须理ë软þ物ýo单ö重‰性，并且o{ë己ö¯ÿ范öÜ目o，通过统一ö流程Ü规范g确保o单可以从源}rþ点完整w»_下g，确保所有ö软þþþ都能_被k确»_2此外，应ï{用可ïöë动Wýw，通过ë动扫描1Ï别Ü分÷软þþþg保障o单ö完整性Ü准确性2同÷，需‰ò强û软þþþö管理，Û÷更新þþï息，避免存在未使用öþþv库ö情况，从而更有效wó高软þ物ýo单整_质ß24.

建立互信机制，合规使用软件物料清单信息企业ÿ通过多重安全措施降P软件物料清单数据的篡改风险2O

^可{用数字签]1访问控制{kÿ，强W文þö完整性验ƒÜ安全访问，防k数o泄密Ü被窃取2同÷，O^需‰T部门通力\_，ë决采Ö1生r1传输Ü安全性{方面öq性需n，通过流程}进1o20云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā准ß施Ü安全ò固措施，以降低软þ物ýo单建¿ö复杂度，减少软þ物ýo单数o泄·ö可能2合规地获×和使用软件物料清单，避免产生知识产h纠纷2为保æ软þ物ýo单ï息创建者öþ关权þ以Û

û软þ物ýo单ö修}Ü分发进行规范，T行^可参考开源þþ许可ƒR分，就þ关许可协议Ü使用g款{¿rqÏ2建立行业à信机制，实现PQ游协作过程中数据的ÿ信和安全2软þ供应链下游ûN游ö

‰no可ï，N游û下游ö‰no安全，可ïÜ安全o决Û软þ物ý

o单能否有效w在ï^链N下游中ßó流转，能否切ß起r其应有效ÿö关¿因}2行^间建ûÞï制，就软þ物ýo单如_安全1\规wU下游þÿ传递，下游þÿ如_\理w使用{问˜进行仔细论ƒ并¿rqÏ，q建软þ物ýo单可ï安全生态2四1搭建ÿ信软件物料清单建¿模型，û力企业安全管ç目前ÿ内外企业在落地软件物料清单体系建¿时Ï缺乏实践指导2Anchore:2022

软þ供应链安全ç^;gû，尽管软þ物ýo单在ó高软þ供应链Ÿ明度方面发挥着重‰_用，但Ïû有三分O一ö

þÿ遵循软þ物ýo单最ßý，w_数oÉþ

1221云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023ĀĀw来源：Anchore，Software

Supply

Chain

Security

Report，2022

年Ā

2

软件物料清单实践使用率在此背o下，本ç^将从软þ物ýo单ç建方Ï角û发，从软þ物ýo单ç建管理^1数o^1生r^1交付^四维度m建软þ物ýo单建¿模ß，为O^Ûþÿ在ç建软þ物ýo单_系÷进行参考，Éþ

32Āw来源：中ÿ信息通信研究院22云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023ĀĀ

3

可信软件物料清单建设模型ÿ一Ā可信软件物料清单建设模型1.

管理层：建立清晰的制度体系和专业的技术团队O^可将þÿ建¿1制度流程Ü专^培训纳入r软þ物ýo单全

生}管理周期中，ë动软þ物ýo单ö落wß施2明确的组ÿ架构是èú软件物料清单建¿的基础2在O^建¿软þ物ýo单过程中，Ÿ

先o建ûþÿ¯ÿ_系，制Ûþÿ^面ö建¿略Ü目o2O^需建

û专门ö管理öŸvgÛ专人负¯软þ物ýo单öwÖÜ管理ý_，明确岗位̯1权{以ÛO务2清p的制度流程是实现软件物料清单

落地的保障2O^需制Û完善ö软þ物ýo单建¿ö制度Ü管理规范，建û统一öÿÿ，保障Tn环节都能_被Û÷Ý应，Tùÿ务能_被

顺{传递1衔ç，确保建¿流程o晰Ÿ明2此外，O^可建û软þ物ýo单安全评估Ü风ÿ管理制，保ƒ软þ使用过程中ö安全性Ü\

规性2专业的技术团队是完r软件物料清单实践的有力支撑2O^针

û软þ物ýo单建¿þ关人员进行必‰ö技o培训Ü专^知Ï学习，ó升员ýö专^能力与意Ï水平，必‰÷可进行þ应ö考核管理22.

数据层：

步涵盖根节点至叶子节点全部组r信息数据层明确构建软件物料清单所应x备的最小数据要素2软þ物ýo单ç包çrï软þöþþöÿ本ï息，也包þþO间ö依赖

关联关系2软þ物ýo单应明确软þþr，ï细展{þþï息，从y

节点Ü÷[节点可R分为多n^级2目_，u于软þ物ýo单建¿]

于_级¶ÿ，O^可从»_o单创建ï息1软þï息1þþï息三部23云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā分进行»_，w_内容Éþ

42清单创建信息og在软þ物ýo单中应ûo单创建方1o单创建÷间1o单创建¶ÿ1o单一oÏ符{内容进行明确2软件包信息是指在软þ物ýo单中，针û软þ包维度，应û于软þ包]称1软þ包z本1软þ包g源1一oÏ符1供应W

ï息1许可ƒï息1_入þþ数ß{内容进行明确2组件信息og在软þ物ýo单中，针ûþþ维度，应û于þþ]称1þþz本1一oÏ符1þþ依赖关系1许可ƒï息{内容进行明确2Āw来源：中ÿ信息通信研究院Ā

4

软件物料清单最小数据要素

1随着企业建¿能力的ð升，后续ÿ将软件物料清单数据

步完

善2O^可yoë¯建¿能力Ü^务需n，将数oŸþ度细Wó文þï息Ü代码wÿï息，w_内容Éþ

52文件信息og在软þ物ýo单中，针û文þ维度，应û于文þ]称1参与者1类ß1校验24云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā码{内容进行明确2代码w段信息og在软þ物ýo单中，针û代

码wÿ维度，应û于代码wÿ一oÏ符1代码wÿ行范ö{内容

进行明确2Āw来源：中ÿ信息通信研究院Ā

5

软件物料清单最小数据要素

23.

生r层：多角度提升软件物料清单可追溯性和准确性生r层明确基于收集的数据要素软件物料清单的生r方式2软þ物ýo单数o生ríÛr生r方_1生rý度1生r频÷Ü更新校验制{多方面内容2生r方式和生r深度ÿð升软件物料清单的完备性和ÿ追溯性2生r方式包î人ý生rÜë动W生rný方_，其中人ý生r方_可能适\þþ数目较少öù目，通过表格v文þ{_

k动Wû所有软þþþ，以Ûïnþþöz本1许可ƒ1依赖ùÜÿ

_其Þþ关ï息，应明确wÖ¶ÿÜwÖ方法2ë动W生ro将生r软þ物ýo单öë动Wýw整\rc续ÖrÜc续交付管道中，扫描所有软þù目并Wû专有Ü开源软þþþ以Ûþ关^性，例如许可ƒ

Üû第三方库ö依赖关系，并yo需‰更新其þ关þþ，应»_生r25云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Āö¶ÿÛ采用öë动Wýwï息，以ÿ后期回溯2生r深度‰n软þ物ýo单应包所有主‰ÿ顶^Āþþ，并Wû其中包îööç依赖，û于可以öç·取r完整依赖yö技o栈，应»_从y节点r÷[节点全部ý度öo单2此外，软þ物ýo单用w可通过下级þþ^级ö数ßv运营技ogÛ生rý度‰n，如按照软þ^性1软þß能Wû

þ应öþþï息2生r频率和更新校验机制ð升软件物料清单的准确性2生r频率‰n当软þþþ以新z本v发_ö_更新，应创建新öþû应z本ö软þ物ýo单，包îÖr已更新þþv依赖öþþz本2同÷，当软þ物ýo单创建者更k已有软þ物ýo单数o中ö误，应第一÷间发_新ö经过修«ö软þ物ýo单2更新校验机制‰n建û动态更新制，k动v者ë动»_操_人1操_÷间1操_ÿÿ{，确保软þ物ýo单ö可靠性2此外，软þ物ýo单生r‰n包î软þ物ýo单创建者应通过ò密v数字签]ö方_û软þ物ýo单ö真ß性Ü完整性进行保ƒ24.

交付层：通过明确软件物料清单传输方式确保交付

安全软件物料清单要的传递机制是将清单作~交付物之一通过供应链Ð供应商直接到用户，需明确交付流程2交付双方应建û完善ö软þ物ýo单交付流程，包î但OÖ于制度流程1验w方_{2此外，交付双方应明确软þo单交付物ï情，包î但OÖ于明确软þ物ýo单交付数o最小‰}1文þ格_1说明1z本{2软件物料清单交付26云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā方式ÿ分~直接交付和ú态À问2öç交付g供应W应将软þ物ýo单_为交付物O一交付ó软þ需n方，一些ó有格_如

SPDX1

CycloneDX

Ü

SWID，可_为软þö附ò文þó供2u于软þ生态系统ö多样性，单一ö软þ物ýo单传递制并O能完全满足需‰，û于本w存ø资源Ü电源有Ö制gþö

IoT

{¿备g说，动态访问o一

n很}ö选ë，包î但OÖ于软þ物ýo单«阅平台1URL

{2通过采用安全的À问ç制和传输方式确保软件物料清单的安全传输2O^应通过技o方案Üýwû交付nÿ进行主_¯份ö别ܯƒ，同÷û交付通道Ü软þ物ýo单采用ò密保æ措施，保ƒ传输链ï安全，如ÿ于络öï息传输可采用

HTTPS

ò密协议，û双方ö¯份进行验ƒ，有效防kï息泄·2ÿÐĀ软件物料清单多角度û力企业安全管ç1.

软件物料清单û力提高软件系统Ÿ明度目_，软þ行^^未r一些o准Wöï品þrï息交c方_，软þ供应链中N下游供应WOŸ明ö开发过程可能造ro重ö软þ质ß安全问˜，¿碍软þ行^ö整_发展，þÿÜç普Ý缺乏û系统中ï品Ü服务ö可É度ö能力已r为软þ安全亟需ë决ö问˜O一2软件物料清单明确软件组r，û力ð高软件系统的Ÿ明度2软þ物ýo单ó供了一n全面而准确öþþo单，ï细»_了软þ中所使用öþþÛ其关¿ï息，使ß软þöçrÜg源可追溯2O^可通过软þ物ýo单o晰w了ë其软þöþþçrÛ依赖关系，发ó系统内27云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023ĀO需‰ö1存在安全风ÿöþþ，ó高软þ系统öŸ明度，从而降低软þ安全风ÿ22.

软件物料清单û力优化资产全局化管理软件物料清单à强软件资产ÿ追溯性，û力企业实现软件资产全局化管理2软þ物ýo单通过û软þ内部þrr分ö精细W拆ë与风ÿ关联，r为s开软þ资ï<黑匣[=ö关¿钥[2O^可_助软þ物ýo单准确掌握T类^务系统所使用ö软þ资ï并关联T类许可ƒ

ï息1漏洞ï息，û软þ资ïßó全局W管理2此外，O^可通过软þ物ýo单ï息ö»_，准确w追踪软þ中使用öTnþþög源Ü

Û×程，了ë软þ资ïö起源1Û更×ó以Û所íÛö风ÿÜ\规性问˜2软件物料清单û力ð升企业的决策能力1制定合规策略和优化资产管理2Ÿ先，决者可通过准确ö软þ物ýo单·ß关¿öï息，从而更有效wZû决2软þ物ýo单ï{了在öóû1重复

v过÷öþþ，为软þ更新1\并vÿcó供gÿ2其次，软þ物ý

o单能_准确Ï别Üß踪软þ资ï中使用ö开源þþÜþ关许可ƒ

ï息，有助于O^制Û\规略，确保软þ符\适用ö许可ƒ‰n，并避免在ö\规风ÿ2最后，软þ物ýo单ó供了全面ö资ïÏþ，þÿ可以优W软þ采-1部署Ü维æ过程，减少资源浪费Ür本2此外，软þ物ýo单ó升了供应链öŸ明度，O^能_更}w管理Ü评估供应WO间ö关系，为O^在软þ资ï管理方面ö\理规RÜ决

ó供参考，ó高资ïöÿ|Ü降低风ÿ23.

软件物料清单û力提供清晰的漏洞视Ā28云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā软件物料清单ð供了组件漏洞的清p视Ā，û力企业软件漏洞管

理2漏洞管理oï息安全管理ö重‰þr部分2一旦漏洞被恶意击

者{用，可能会ÿô系统遭×入侵1数o泄·Üï息窃取{风ÿ，û

n人–ù1公û密Üÿÿ安全都将çrý威胁2漏洞ö发ó1修

补与管理一öo软þ安全ž域ö重‰ý_，漏洞管理ö本质o在漏洞

被{用O_有效开展漏洞修复ý_2在漏洞管理中，÷间oó关重‰

ö，但修复已部署系统ö÷间可能会þÿr数月甚ó数年，因为ïn

{þþ关者都必须{待N游供应Wöë·2然而，软þ物ýo单ó供

了ûþþ漏洞öo晰Ïþ，使ß{þþ关者无需{待供应Wöë·即

可开Û评估漏洞，这使ßþÿ能_更快w采取措施，修复在ö漏洞，并降低安全风ÿ2软件物料清单降P企业对P游供应商的依赖，更î

识别评估潜在的安全风险2ó¶ÿ，u于软þö低Ÿ明度ÿô软þþ

þö位置Û其依赖并O明晰，漏洞Û位ÛN下游þþö脆性分÷，o一þ—÷—¯öý_，部分下游O^需从供应W]·ß漏洞ï息2而软þ物ýo单中ö数o能_帮助漏洞管理平台vþ关人员发ó漏

洞位置，有{于供应W1用wÜ安全厂W评估þþ漏洞所带gö在安全风ÿ，ïn下游用w都能ë我评估在影Ý，并采取快ŸÜ准确

ö应û措施2这使ß防ÿ者能_þûwZû决，并采取必‰öþk

措施，以降低漏洞{用ö风ÿ24.

软件物料清单û力提升安全Ï件响应速度通过软件物料清单ÿ快递定OØ影响的系统和x本，ð高安全Ï

件响应Ÿ度2在低Ÿ明度ö软þ供应链末ÿ，O^从þ关软þþþ漏29云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā洞ë·r修复已部署ö×ï漏洞影Ýöï息系统÷，ßß需‰几n月

甚óo数年ö÷间2软þ物ýo单»_了软þöþrï息，当一n已

知ö漏洞被公开v被发ó÷，O^无需³ß÷间逐一排查即可快Ÿ

Û位×影Ý系统Üz本，进行评估风ÿ并ë动þ关方面进行漏洞修复，缩ÿ安全事þÝ应周期2软件物料清单ð高软件供应链PQ游企业安全管理能力，共建ÿ信安全生态2以ß漏洞ûó÷，软þ供应链下游öO^需{待N游软þ供应Wó供软þ补丁，o可以进行漏洞修复，在{待ö÷间内，下游O^ßß会面临无法预知ö安全风ÿ2而软þ

物ýo单可确Û在某n应用程序中部署了哪些þþ，当ûó重漏洞

÷，O^ÿ可U所有×影Ýö应用程序öŸ，包î软þ供应链öN下

游O^，Û÷生r风ÿ通知Ü漏洞预ï，使T方Û÷知悉þ关安全风ÿ2此外，O^能_与供应W1开发者Ü其Þþ关方快Ÿ进行沟通\

_，q同应û安全事þ，q同建¿可ï安全生态2五1软件物料清单发展趋势展望当下，软þr为数字经o发展ÿxö同÷，软þ供应链安全ö重

‰性OŠ而ÿ2软þ物ýo单以其ó升供应链Ÿ明öþ特优ÿr为ë

动软þ供应链安全管理ý_落wö重‰抓k2软þ物ýo单öë1建¿1应用íÛ÷管ç1开发者1供应WÜ用w{多重角色，通过跨角色\_，ë动软þ物ýo单o准W1ë动W1ï^W，û于ç建

安全1Ÿ明1可ïö软þ供应链安全生态w有重‰意O2从÷管角度g说，目_已明确rÿÿ^面ë动软þ物ýo单数

o格_需nöû台2未g可以预É将会进一o完善软þ物ýo单öo30云计算开源产业联盟 软件物料清单ÿSBOMĀ发展洞察报告ÿ2023Ā准_系，为开发者Ü供应Wó供更ïßö软þ物ýo单，用w选ëw备可ï软þ物ýo单ï息ö软þó供gÿ参考2开发者Ü供应W_为软þö创造者1传递者，将会进一oò强¯

ÿ意Ï，一方面将更ò关注软þö依赖管理Üz本控制，ß施更o格

ö审核Ü验ƒ流程，确保þþög源可靠Ü安全可用，同÷通过ë动WýwwÖ维æ软þ物ýo单数o2÷一方面将可能会采用{块链1

–ù«算{技o，确