(资料图片仅供参考)

4月3日，由中国信通院主办的可信软件物料清单(SBOM)主题沙龙召开，会上发布了首批产品维度可信软件物料清单能力评估结果。中国信通院云计算与大数据研究所副所长栗蔚在致辞时表示，软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，成为软件供应链安全治理的重要抓手。

“目前，我国软件物料清单发展呈现三大态势，一是企业基于安全合规需求，积极探索软件物料清单实践。二是厂商积极布局软件物料清单配套生成工具。三是标准规范逐步完善，引导软件物料清单建设工作有序开展。整体来说，我国软件物料清单建设仍处于初期阶段，建立健全软件物料清单数据规范、发展完善配套工具、推进产业共识将是日后工作重点。”栗蔚说。

中国信通院云大所开源和软件安全部郭雪主任发布了“可信软件物料清单(SBOM)深度洞察”，全面分析了软件物料清单发展历程，洞察产业现状，帮助企业更好地将软件物料清单引入软件供应链安全建设中。她表示，未来中国信通院将继续推进软件物料清单技术、应用等相关研究，完善软件供应链安全标准体系和系列评估。

中国信通院云大所开源和软件安全部工程师吴江伟针对《软件物料清单总体能力要求》标准进行解读，标准从数据层、生成层、交付层、应用层四大维度明确软件物料清单要求。他指出，标准一方面规定了软件物料清单最小数据要素，另一方面为软件供应链攻击的快速定位和响应指明方向，助力降低网络安全事件风险隐患。

中国信通院云大所牵头编写《软件物料清单总体能力要求》标准，并依据标准开展评估工作。评估分为企业和产品两大维度，围绕过程可信、工具可信、结果可信三大原则建立可信软件物料清单理念。企业维度明确构建完善的软件物料清单管理平台，将软件物料清单纳为企业资产管理，助力企业落地软件物料清单体系建设。

可信软件物料清单SBOM评估结果(图片来源：中国信通院)