信通院-軟件物料清單（SBOM）發(fā)展洞察報告（2023年）-2023.08

軟件物料清單?SBOMā發(fā)展洞察?告?2023?ā云計算開源產(chǎn)業(yè)聯(lián)盟OpenSource

Cloud

Alliance

for

industry，OSCAR2023年8月版h聲明本?告x權(quán)屬于?計算開源產(chǎn)業(yè)聯(lián)盟，并受法律保?2轉(zhuǎn)載1摘編或利用v它方式使用本?告文字或者ê點的，應(yīng)注明<來源：?計算開源產(chǎn)業(yè)聯(lián)盟=2違反P述聲明者，本聯(lián)盟將追究v相關(guān)

法律責(zé)任2編制人員：王媛媛1吳江偉1郭雪1劉帥1張銳剛1鄭志強1

鄭杭杰，鐘志軍，成濤1曾林青1高晟，傅逍螣，陶天一，孫肖

儀，楊威1董?偉1張淼1嚴(yán)雪倫1子芽1王雪松1陳曙光1王

瑋琪，劉軍1楊劍1徐鋒，朱×汶，劉永瑞1張達1但]u，王

媛媛，魏弋鈞1滕召智，梁堯1高尉峰，白婧婧，李博1胡曉娜，

閆小濤，馮飛，王佳敏1陳曦1周杰明1沈凱文，王書輝，夏營1

胡向亮1王盛昱?告在編寫過程中，歷經(jīng)概念策劃1提綱設(shè)計1內(nèi)容起草1征求意é等階段，得到了諸多單位的大力支持，包括：中?信息

通信研究院?計算與大數(shù)據(jù)研究所1華為?計算技術(shù)p限}司1建信金融科技p限責(zé)任}司1阿里?計算p限}司1??科技?

團股份p限}司1奇安信網(wǎng)神信息技術(shù)?X京ā股份p限}司1華為技術(shù)p限}司1懸鏡安全1深圳開源à聯(lián)網(wǎng)安全技術(shù)p限}司1聯(lián)通軟件研究院1X京神州綠盟科技p限}司1X京天融信網(wǎng)絡(luò)安全技術(shù)p限}司1杭州孝道科技p限}司1中電金信軟件p限}司1蘇州棱鏡七彩信息科技p限}司1OpenSDV

汽車軟件開源聯(lián)盟1中移系統(tǒng)?成p限}司1O~零數(shù)字安全科技?團p限}司1X京奇虎科技p限}司1深圳奧思網(wǎng)絡(luò)科技p限}司?開源中?ā1X京?起無垠科技p限}司1杭州安恒信息技術(shù)股份p限}司，在此一并致謝28VkYoZzXrWbRaO8OtRrRoMtQlOmMvNjMtQoO7NrQsMwMsRrNNZoMvN引

言軟t物yo單?SBOMāg軟tr分W表，W?了軟ttt1有關(guān)這些tt??息以??們O間?依賴關(guān)系2?年g軟t供應(yīng)鏈安全事t頻發(fā)，ó高軟t供應(yīng)鏈?明度，規(guī)避軟t供應(yīng)鏈安全問?r為^

}關(guān)注熱點與q同訴n2軟t物yo單通過明確?別ü?細(xì)?_軟t

tt?其tT關(guān)系以ó升軟t?明度，r為軟t供應(yīng)鏈安全治理?重?抓k2目_，?g?多?O^意?r維?軟t供應(yīng)鏈安全?重?性，并在軟t物yo單技o(jì)1ywü?y{多方面進行探索2在此背o下，m建軟t物yo單理論_系，?建可?軟t物yo單理念，為O^落

w軟t物yo單_系ó供行O有效?建???{O容2本?^?先明確軟t物yo單?本?念，系統(tǒng)梳理?內(nèi)外軟t物yo單發(fā)展ó狀2其次，?繞供需雙方?角剖÷O^落w建?軟t物yo單_系面臨?s戰(zhàn)并ó??建議2此外，針?ó??O^面臨缺乏統(tǒng)一規(guī)范?o準(zhǔn)g?其落w建?軟t物yo單?難?，本?^從?建者?角?發(fā)，m建可?軟t物yo單建?模?，y蓋管理^1數(shù)o^1生r^1交付^四維度，為O^落w建?軟t物yo單_系ó供參考，并分÷落wr效2最后，?\當(dāng)_ó狀_o|判軟t物y

o單未g?發(fā)展??ü方U2目

錄一1軟t物yo單明確軟ttr?依賴關(guān)系，助力降低軟t供應(yīng)鏈安全風(fēng)?....

1

?一ā軟t物yo單明確軟ttr?依賴關(guān)系.................................................

1

?二ā軟t物yo單í在ò強軟t供應(yīng)鏈安全管理.........................................

2二1T?積極探索軟t物yo單理論應(yīng)用|~........................................................3

?一ā全w重點??üO^t?積極?進軟t物yo單理論|~.................3

?二ā?際o準(zhǔn)?t關(guān)t?逐o建?軟t物yo單o準(zhǔn)格_q?.................7

?三ā???歐盟?續(xù)?動軟t物yo單應(yīng)用?y.......................................

11

?四ā我?_o探索軟t物yo單t關(guān)|~...................................................13三1落w軟t物yo單建?面臨?s戰(zhàn)ü?建議..............................................14

?一āO^落w建?軟t物yo單_系面臨多重s戰(zhàn)...................................14

?二ā促進O^落w建?軟t物yo單_系??建議...............................17四1m建可?軟t物yo單建?模?，助力O^安全管控..................................21

?一ā可?軟t物yo單建?模?...................................................................

23

?二ā軟t物yo單多角度助力O^安全管控...............................................27五1軟t物yo單發(fā)展??展望..............................................................................30附_

軟t物yo單O^落w?y............................................................................32?一ā建?金ù??于

IED

插t?軟t物yo單?SBOMā管理?y.......

32

?二ā聯(lián)通軟|院?軟t物yo單?SBOMā建??y...............................35ā

目

錄t

1

軟t物yo單y狀?念t................................................................................20

t

2

軟t物yo單?y使用÷................................................................................

22

t

3

可?軟t物yo單建?模?............................................................................

23

t

4

軟t物yo單最小數(shù)o?}

1.........................................................................24

t

5

軟t物yo單最小數(shù)o?}

2.........................................................................25表

目

錄表

1

軟t物yo單數(shù)o字??說明..........................................................................

2表

2

軟t物yo單最小元}......................................................................................

6表

3

CycloneDX

數(shù)o類?

........................................................................................

10表

4

軟t物yo單表狀?念t................................................................................

19云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā一1軟件物料清單明確軟件組r及依賴關(guān)系，?力降P軟件供應(yīng)鏈安全風(fēng)險?一ā軟件物料清單明確軟件組r及依賴關(guān)系軟t物yo單?SBOM,

Software

Bill

of

Materialsā?念最早ou

???會眾議院在

2014

年_入?一份]為:絡(luò)供應(yīng)鏈管理與?明

度法案;?ó案中k_ó?22018

年，??W務(wù)部??電?ü?息管

理局?NTIAā針?ó高軟ttt?明度發(fā)起了一n絡(luò)安全?R，目

oo培育一n軟ttt?明度更高?市場，建?并?軟t物yo單

_系，<軟t物yo單=這一?念k_問^2軟件供應(yīng)鏈攻ü?件爆

發(fā)，軟件物料清單r~關(guān)注重點2SolarWinds

擊事tü

Log4j2

漏

洞?Y后，軟t供應(yīng)鏈滲?ü安全問?r為??府ü?^}關(guān)注?

重中O重，軟t物yo單_為有助于幅ó升軟t供應(yīng)鏈?明度?一n?決方案被?予厚望2軟件物料清單指軟件r分列表，識別并列?了軟件組件1相關(guān)組件的信息以及它們之間的供應(yīng)鏈關(guān)系2軟t物yo單??念u傳統(tǒng)物y??念í生而g，g一n軟t?品?物yo單，W?了軟ttt1

tt?息以??們O間?供應(yīng)鏈關(guān)系，能_為軟t生?人員1-買者ü運營者ó供軟t開發(fā)過程中所采用?所有<原wy=t關(guān)?息?其

供應(yīng)鏈N下游依賴關(guān)系2軟件物料清單包含每個組件的基準(zhǔn)信息2軟

t物yo單字??息ó少應(yīng)包?供應(yīng)W]稱1tt]稱1ttz本1其T一o?符1依賴關(guān)系1SBOM

數(shù)o_者ü÷間戳，?é表

12

u于軟t供應(yīng)鏈??明度隨÷間1技o(jì)進o{因}發(fā)生?W，N?最1云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā小字??o軟t物yo單文t??本?r，t??可yo^務(wù)需n增ò更多?字?g描?軟t物yo單2u于軟t?}]復(fù)雜且缺少統(tǒng)一?}]規(guī)范，為了更ò方?w?別tt，可以將tt]稱}]為w備可?性?字符串，v使用符\t關(guān)o準(zhǔn)?tt?別]稱2數(shù)o字? Data

Fields 描?供應(yīng)W]稱Supplier

Name創(chuàng)建1?Oü?別tt??_]稱tt]稱 Component

Name 原供應(yīng)W?O?軟t]稱ttz本Version

of

the

Component供應(yīng)W用于g?軟tz本?W?o?符其?一o?符

Other

Unique

Identifiers其?用于?別tto?符，v_為t關(guān)數(shù)o庫?查??依賴關(guān)系Dependency

Relationship表征一nN游tt

X

包在軟t

Y

中?關(guān)系SBOM

數(shù)o_者Author

of

SBOM

Data為?tt創(chuàng)建

SBOM

數(shù)o??_]稱÷間戳 Timestamp ?_

SBOM

數(shù)o??期ü÷間數(shù)據(jù)來源：NTIA，The

Minimum

Elements

For

a

Software

Bill

of

Materials

(SBOM)，2021

年

7

o表

1

軟件物料清單數(shù)據(jù)字段及說明?Dā軟件物料清單旨在加強軟件供應(yīng)鏈安全管理軟t供應(yīng)鏈ou多nN游與下游t?tT連?r?鏈??2新技術(shù)飛?發(fā)展導(dǎo)致軟件供應(yīng)鏈復(fù)g性增à2容器1中間t1微服務(wù)

{技o(jì)?進?動軟t行^快?發(fā)展，同÷帶g軟t??開發(fā)復(fù)雜度Oíó升，軟t供應(yīng)鏈i發(fā)復(fù)雜，全鏈?安全防?難度Oíò{問?2在w_場o中，當(dāng)軟t??復(fù)雜度增ò÷，其供應(yīng)鏈?復(fù)雜性也2云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā會隨Oó升，w_?r關(guān)系1供應(yīng)鏈N下游?依賴關(guān)系也隨O模糊，從而進一o降低軟t供應(yīng)鏈整_?明度2軟件供應(yīng)鏈安全r~關(guān)注焦

點，降P軟件供應(yīng)鏈安全風(fēng)險r~業(yè)界共識2隨著用w安全意??內(nèi)

外部安全需n?Oíó升，?軟t?其供應(yīng)鏈精準(zhǔn)管控，保障軟t供應(yīng)鏈安全r為^}關(guān)注焦點üO^q同訴n2軟件物料清單í在e升軟件供應(yīng)鏈?明度2軟t物yo單??生O_?有明確目o，即ó高軟ttt?供應(yīng)鏈?明度2軟t物yo單

ó供了一t附ò?息，把軟t?trr分ü依賴關(guān)系{?息可?W，并統(tǒng)一?_管理，ó升了軟t供應(yīng)鏈整_?明度，?于降低軟t

使用ü維?r本，保障軟t供應(yīng)鏈安全w有重?意O2D1各?積極探索軟件物料清單理論應(yīng)用研究?一ā全球重點?家和企業(yè)組織積極è進軟件物料清

單理論研究1.

美?率先探索軟件物料清單理論研究NTIA

首次è廣軟件物料清單體系用于e升軟件供應(yīng)?明度2

2018

年

6

月，NTIA

動了一ùí在ó升軟t供應(yīng)鏈?明度?ù目，其核?o建?并?軟t物yo單_系，通過在軟t?品中嵌入一n

技o(jì)文檔，g_ó??品在開發(fā)過程中所采用?所有物y1g源?供

應(yīng)W關(guān)系2美?r立專項工作組分模塊研究軟件物料清單并發(fā)布研究r果?告22018

年

7

月，NTIA

t?召開了第一次{tt關(guān)方會，會議決?r?

4

n專ùy_t，分別負(fù)ˉ框÷|~1用例與?yó狀1

o準(zhǔn)與格_以?醫(yī)療?域?念驗?22019

年

11

月，4

n專ùy_t3云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā分別發(fā)_了|~r??^，分別為:軟tr分?明度框÷?建?通用?

SBOM;1:SBOM

在整n供應(yīng)鏈中?角色üt];1:ó有

SBOM格_üo準(zhǔn)調(diào)|;1:醫(yī)療u??域?念驗?;2此后，考慮r用例與?yó狀專ùy_t?務(wù)已完r，以?|~r??^明確了下一o

?y_難點，NTIA

將

4

n專ùy_t?y_方U進行了調(diào)整22021年

2

月r

3

月，T專ùy_t?續(xù)發(fā)_了

4

ù中期r?文t，分別為:SBOM

選ùü決點;1:軟tˉ份?s戰(zhàn)üg_;1:SBOM

y

w分類方法;1:SBOM

分?ü交c;2??軟t物yo單專ùy_

t較早展開軟t物yo單t關(guān)|~，分nn??輸??r?文t，為后續(xù)其T???t?|~軟t物yo單奠?了_??理論?x2D項目èú進程來看，軟件物料清單項目進入攻堅階段22019

年發(fā)_?

|~r??^內(nèi)容??，目o遠(yuǎn)并明確g?了下一o?進?難點所在，而

2021

年發(fā)_?中期r?文t字?jǐn)?shù)寥寥且避重就輕，并未為第一??g??難點ó?可行?技o(jì)?決方案2~其原因，一o?ù目本ˉí??技o(jì)因}復(fù)雜，二o在?動t關(guān)O^}?其?有?y方面×?2SolarWinds

安全?件爆發(fā)r~軟件物料清單關(guān)注轉(zhuǎn)折2軟t物y

o單ù目?

2018

年動后，府?行^??軟t物yo單?重?程度并O高22020

年

3

月?會絡(luò)空間?Y浴委員會?CSCā曾ó議增ò?軟t物yo單ù目?資源÷入，但并未被采納進入

2021

年度?防預(yù)算?權(quán)法案22021

年，隨著??

SolarWinds

絡(luò)擊事t?

Y后，部分^內(nèi)人?將目Y重新÷U軟t物yo單，ˉ為?將有效ó4云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā升軟t供應(yīng)鏈?明度，從而減少軟t供應(yīng)鏈漏洞ü風(fēng)?2美?發(fā)布系列政策及制度文件大力èú軟件物料清單發(fā)展22021

年

5

月

12

?，??總統(tǒng)拜簽署發(fā)_:}善??絡(luò)安全行?;，明確ó?}善軟t供應(yīng)鏈安全，?n為??府?軟t開發(fā)建???安全o準(zhǔn)，O僅ó供應(yīng)用程序，而且?必須ó供軟t物yo單，ó升tr?應(yīng)用程序tt??明度，?建更有性且安全?軟t供應(yīng)鏈環(huán)境，確保?

???安全2同年

7

月，NTIA

發(fā)_了:軟t物yo單?最小元};，?O如_考慮最小元}?范?，描?了軟t物yo單用例以ó高軟t供應(yīng)鏈??明度，并為未g?發(fā)展ó供了方U，w_é表

222022

年2

月，????o準(zhǔn)與技o(jì)|~院?NISTā發(fā)_:安全軟t開發(fā)框÷;，主?í?o?ü管理第三方tt1軟t物yo單生r1維?üq?t關(guān)內(nèi)容，并建議?n供應(yīng)Wó供軟t物yo單以?在-買ü部署軟t

÷使用軟t物yo單{2??拜府簽署?行?力?進了軟t物yo單發(fā)展，多方發(fā)_?r??^使軟t物yo單理論|~框÷逐o完善25云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā最小元} 描?數(shù)o字?應(yīng)當(dāng)予以追蹤??ntt?文檔?準(zhǔn)?息?供應(yīng)W1tt]稱1ttz本1其?一o?符1依賴關(guān)系1軟t物yo單數(shù)o_者以?÷間戳?動W?c?c?動W，包?通過?動生rü器可?性k展ó軟t生態(tài)系統(tǒng)2生r并使用軟t物yo單?數(shù)o格_包?SPDX1CycloneDX

ü

SWID

o??O軟t物yo單請n操_1生rü使用，包?頻÷1y?yü流程度1已知?未知1分__ü交付1訪問控制ü?誤?數(shù)據(jù)來源：NTIA，The

Minimum

Elements

For

a

Software

Bill

of

Materials

(SBOM)，2021

年

7

o表

2

軟件物料清單最小元素2.

w他重點?家和企業(yè)組織積極發(fā)布相關(guān)研究r果多個重點?家及企業(yè)組?強調(diào)需制定}認(rèn)的軟件物料清單標(biāo)準(zhǔn)化格式2???

2018

年k_?軟t物yo單_系后，其T重點?

??O^t?也ó升?軟t物yo單重?程度，積極?進t關(guān)發(fā)_，探索軟t物yo單理論|~2?家層面，2021

年，荷蘭??絡(luò)安全中??NCSCā發(fā)_:使用

SBOM

增強絡(luò)安全;白t書，ó供了關(guān)于如_創(chuàng)建，使用ü維?軟t物yo單??y建議，以?如_將軟t物yo單?rr更泛?絡(luò)安全略中2?此O外，NCSC

?期t?|討會ü訓(xùn)練?程，U

IT

專^人員ü決者傳?關(guān)于軟t物yo單?知?ü技能22022

年，英???絡(luò)安全中?:?備安全g南;中g(shù)?可{用軟t物yo單進行漏洞管理，建議甲方O^可通過ó供軟t物yo單幫助t關(guān)人員了?漏洞修復(fù)情況，確保?備?軟t更新r最新補丁22023

年，ò?絡(luò)安全中??CCCSā發(fā)_:保6云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā?t?免×軟t供應(yīng)鏈威脅;中建議在供應(yīng)W審查過程中，考察供應(yīng)

Wo否使用軟t物yo單g?蹤tt，并審?軟t物yo單包??

息?其安全性2企業(yè)組?層面，2020

年，W^軟t聯(lián)盟?BSAā發(fā)_

:BSA

聯(lián)盟安全軟t框÷;，強調(diào)了軟t物yo單在軟t供應(yīng)鏈管理

中?重?性ü_用，并ˉ為制?公ˉ?o準(zhǔn)W格_?于?ó?息q?

ü協(xié)_ó關(guān)重?2整_g說，其T重點??主??中在荷蘭1英?1

ò?{發(fā)???，府?臺t關(guān)?^1白t書{?進軟t物yo單建?，將軟t物yo單?為降低軟t供應(yīng)鏈安全風(fēng)??有效?決方案已r為q?2?Dā?×標(biāo)準(zhǔn)及相關(guān)組織

步建立軟件物料清單標(biāo)準(zhǔn)格式共識為U分?ó軟t物yo單ü軟ttt?明度?優(yōu)?，需?通過創(chuàng)建o準(zhǔn)W?數(shù)o格_?ó軟t物yo單?傳輸ü可?2NTIA

在:軟t物yo單?最小元};中從眾多格_中選?了

SPDX1CycloneDX

ü

SWID

并g?其為{準(zhǔn)?o準(zhǔn)格_21.

SPDX：Linux

基金會開發(fā)的軟件物料清單數(shù)據(jù)格式，側(cè)重開源許可合規(guī)SPDX

規(guī)范e供了通用的數(shù)據(jù)交換格式，?心重點是開源許?證合規(guī)2SPDX?Software

Package

Data

Exchangeāo一nu

Linux

?金會托管?開源ù目，其?O了一y數(shù)o交c格_以通用格_w?üq

?有關(guān)軟t包üt關(guān)內(nèi)容??息22021

年

8

月，ISO/IEC

5962:2021

:?息技o(jì)

SPDX

規(guī)范

V2.2.1;?以下簡稱<SPDX

規(guī)范=ā發(fā)_，被7云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā公ˉ為安全性1許可?\規(guī)性ü其T軟t供應(yīng)鏈tt??際開放o準(zhǔn)2

?

2010

年以g，Linux

?金會一?在開發(fā)ü完善

SPDX

o準(zhǔn)，并把SPDX

?核?重點放在開源許可??\規(guī)性N2SPDX

規(guī)范?述了生r有效

SPDX

文檔所需的部分和_段，全量詳t地?述了軟件組r信

息2?n

SPDX

文檔u創(chuàng)建?息1軟t包?息1文t?息1代碼w?

?息1其?許可?息?SPDX

許可?格_W表O外?許可?格_ā1

SPDX

中T元}O間關(guān)系描?與注釋?息tr，可以幫助開發(fā)者1供

應(yīng)Wü用w更}w\規(guī)性管理軟t包?安全1許可?ü知??權(quán){方

面??n2SPDX

能夠以多種文件格式表達，e高軟件物料信息收集P共享過程中的效率以及準(zhǔn)確性2SPDX

?息可與特??軟t?品1

tt1tt?1文t以?代碼w?t關(guān)聯(lián)，其重點o創(chuàng)建一y<語?=，

描?可交c?軟t物yo單數(shù)o2SPDX

文檔可以表{為多y文t格_?RDFa1.xlsx1.spdxā，并且k在k展為其T格_?.xml1.json

ü.yamlā，通過在O同?輸?格_O間進行傳遞與交c，并?文檔?k確性進行

k_驗?，從而ó高效÷與準(zhǔn)確性2多個企業(yè)使用

SPDX

格式共享和傳遞軟件物料清單信息，以確保

在全球軟件供應(yīng)鏈中實現(xiàn)合規(guī)和安全開發(fā)2SPDX

通過為t?ü{

ó供q?重?數(shù)o?通用格_g減少冗余y_，從而ó高軟t物yo

單?\規(guī)性1安全性ü可靠性2目_，包?英特爾1微軟1?門[1

索尼1新}ù技1VMware

ü

WindRiver

在內(nèi)?眾多公?已經(jīng)使用SPDX

在vyw中傳?軟t物yo單?息22.

CycloneDX：OWASP

創(chuàng)建的輕量級軟件物料清單標(biāo)準(zhǔn)8云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā格式，側(cè)重安全風(fēng)險管理2017

年，OWASP

t?創(chuàng)?

CycloneDX

并r?專門?開源ù目

g開發(fā)規(guī)范1?óü?，óu

CycloneDX

Core

y_t負(fù)ˉo準(zhǔn)?

戰(zhàn)略方Uü維?2CycloneDX

是一種輕量級的軟件物料清單標(biāo)準(zhǔn)，側(cè)

重于網(wǎng)絡(luò)安全風(fēng)險管理2CycloneDX

最_í在?決開源tt?漏洞?別1許可?\規(guī)性ütt分÷問?，在后續(xù)z本中添ò了其T?能2

CycloneDX

規(guī)范描?了一n規(guī)?性??í模?，其數(shù)o內(nèi)容包?軟t物yo單元數(shù)o1tt1服務(wù)1依賴關(guān)系1t\1k展{?息，可用于軟tttü服務(wù)o單描?1漏洞分÷ü修復(fù)1軟t供應(yīng)鏈風(fēng)?評估ü?明1許可?\規(guī)性{2CycloneDX

包含~種O同類型的數(shù)據(jù)，w

輕量級特性使w在多行業(yè)被廣泛應(yīng)用2CycloneDX

可以表{為O同?

文t格_?.xml1.jsonā，包六yO同類??數(shù)o?軟t物yo單

元數(shù)o1tt1服務(wù)1依賴1tt1漏洞，w_描?é表

32CycloneDX

o適用于多行^用途?輕?級o準(zhǔn)，w備易于學(xué)習(xí)ü采用?規(guī)?性?

í模?1高度?動W1?c多ytto?o準(zhǔn)1規(guī)范可k展1表{t

t?系{特點2目_，金融服務(wù)1制造1府1軟tü安全公?{行^t??k在生?ü使用

CycloneDX

格_?軟t物yo單29數(shù)o類?描?元數(shù)o包有關(guān)應(yīng)用程序v?品本ˉ??息tt包一n完整?描?W表，y蓋閉源ttü開源tt服務(wù)描?了軟t調(diào)用?外部

API，包?服務(wù)?

URI?統(tǒng)一資源o?符ā1ˉ份驗??n1軟tü服務(wù)O間?數(shù)o流Uü數(shù)o類?依賴包?軟ttt???依賴ü間?依賴關(guān)系描?云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā數(shù)據(jù)來源：https://表

3

CycloneDX

數(shù)據(jù)類型3.

SWID：通過標(biāo)簽形式定義組件信息及依賴關(guān)系，目前已r為?×標(biāo)準(zhǔn)在N^紀(jì)末，ISO

開?建?一n可??軟ttto簽o準(zhǔn)2

SWID

?第一z于

2009

年發(fā)_，并于

2015

年r為?際o準(zhǔn)

ISO/IEC

19770-2:20152SWID

標(biāo)簽í在~組?e供一種?明度方式來跟蹤安裝在w托管?備P的軟件2SWID?Software

Identification，軟to?ā

o簽文t包有關(guān)軟t?品特?z本?描?性?息，通過帶有?品]稱üz本?細(xì)?息?一?o簽，在?備N~{軟t?品存在?o準(zhǔn)g

o2SWID

規(guī)范?O了4

y主?類??o簽，分別為主o簽?Primaryā1補丁o簽?Patchā1語y庫o簽?Corpusāü補Uo簽?Supplementalā2

SWID

o簽可在整n軟t生}周期中更輕松w發(fā)ó1?別ü情境W軟t，幫助O^創(chuàng)建準(zhǔn)確?軟to單2SWID

標(biāo)準(zhǔn)獲

NIST

支持，NIST建議軟t生?W采用

SWID

o簽，包?

TCG?可??算tāü

IETF

?T聯(lián)y程?務(wù)tā在內(nèi)?多no準(zhǔn)?在其o準(zhǔn)中使用

SWID

o簽2NIST

|~表明，SWID

o準(zhǔn)?O了一n生}周期，其中

SWID

o簽_為軟t?品安裝過程?一部分添òr?點，并在?品{載過程中被刪?2當(dāng)遵循此生}周期÷，??

SWID

o簽?存在???應(yīng)于o簽描??軟t?品?存在2多個企業(yè)使用

SWID

標(biāo)簽?力企業(yè)資產(chǎn)和漏洞管理，包?微軟1Adobe1IBM1Symantec1Flexera

{公?泛10tt描?了軟t?tr部t?其完備性漏洞用于表?ü傳遞tt?漏洞?息云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā使用

SWID

o簽g描?其軟t?品，í在使?w更o{w了?安全?軟tttüz本?息，并幫助O^管理軟t資?1許可??漏洞?息，ó升軟t供應(yīng)鏈?可追溯性2?三ā美?及歐盟?續(xù)èú軟件物料清單應(yīng)用實踐1.

美?多行業(yè)將軟件物料清單視為安全建設(shè)的重要途?美?在醫(yī)療1汽車1能源領(lǐng)域率先探索軟件物料清單應(yīng)用實踐，鼓勵各方共同研究軟件物料清單標(biāo)準(zhǔn)及最佳實踐2??多行^府

?發(fā)_軟t物yo單t關(guān)文t，建議在ó交軟t?備?同÷ó供軟t物yo單，包?醫(yī)療行^1汽車行^1能源行^{2FDA

要求制商e供?備的軟件物料清單信息22020

年

4

月，???品ü?物管理局?FDAā發(fā)_:醫(yī)療?備絡(luò)安全草案;，?n制造W在U

FDA

ó交?備?安全評估?^÷，必須ó供?備?軟t物yo單?息2草案建議

FDA

可以與行^T方q同|~開發(fā)最?y，包?軟t物y

o單?編制üq?{，以確保在?備供應(yīng)鏈ü部署過程中，軟t物y

o單?息?準(zhǔn)確性ü?用性2隨著ó代汽車?軟t系統(tǒng)?依賴程度ó高，NHTSA

將軟件物料清單視~降P汽車行業(yè)軟件供應(yīng)鏈安全風(fēng)險的有效工x22021

年

1

月，????公?交通安全局?NHTSAā發(fā)_:ó代車?安全性?絡(luò)安全最?y;，重點o通過?息q?1規(guī)范Wü供應(yīng)鏈管理gó高ó代車??安全性，并ˉ為軟t物yo單可以_為一y有效?yw，幫助廠W更}w了?供應(yīng)Wó供?主?t

t?g源并評估風(fēng)?2??y建議

NHTSA

ü其Tt關(guān){tt關(guān)者應(yīng)11云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023āq同協(xié)_，制?統(tǒng)一?軟t物yo單o準(zhǔn)ü格_2多機構(gòu)聯(lián)合發(fā)布軟件物料清單共享框架?力能源部門安全建?22023

年

4

月，??能源部絡(luò)安全1能源安全ü應(yīng)eY應(yīng)辦公??CESERāü???土安全部絡(luò)安全ü?x?施安全局?CISAā聯(lián)\發(fā)_新?軟t物yo單q?框÷，以g?軟t開發(fā)人員ü用w?nq?軟t物yo單，助力??能源部門?安全性ü性建?2??府?積極Y應(yīng)軟t物y

o單建?需n，建議多行^?軟t1?備ó供W在ó供軟t1?備?同÷ó供軟t物yo單，但目_暫未r為強制性?n22.

歐盟重點在醫(yī)療行業(yè)探索軟件物料清單應(yīng)用實踐歐盟D醫(yī)療行業(yè)?發(fā)積極è進軟件物料清單落地2歐盟?軟t?明度有高度?n??域o醫(yī)療器?ˉ??域，歐盟發(fā)_多ù規(guī)?

?n?備制造W保留醫(yī)療器?tt?完整可追溯?_，目_已r為CE

ˉ??強制性?n2歐盟?

CE

ˉ?o歐盟法???品ó??一y強制性?n，O論o歐盟內(nèi)部O^生???品，?o其T??生?

??品，?ó在歐盟市場N?u流通，就必須ò貼

CE

o志2在歐盟市場中，CE

o志^強制性ˉ?o志2醫(yī)療器械

CE

認(rèn)證要求軟件組件追溯清單2CE

針?醫(yī)療器??ˉ??n?備制造W保留醫(yī)療器?

tt?完整可追溯?_，軟ttt?完整可追溯o單o·?

CE

ˉ?

?強制性?n，這y軟t?明度?完整可追溯性o單與軟t物yo單內(nèi)容非~t似2在安全性方面，CE

ˉ?o準(zhǔn)?n醫(yī)療器?生?W將其醫(yī)療器?安全漏洞主動^知用w2但歐盟

CE

ˉ?o準(zhǔn)關(guān)于軟tt

t追溯o單??n?有}進?余w2目_，生?Wó供?漏洞?息并12云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā未統(tǒng)一o準(zhǔn)數(shù)o格_，資?管理系統(tǒng)ü安全運營平臺難以將其?動W

]理2ENISA

?告中建議生產(chǎn)物聯(lián)網(wǎng)?備和醫(yī)療器械時生r軟件物

料清單22020

年，歐盟絡(luò)安全局?ENISAā發(fā)_n本?^，ó?軟

t物yo單o一yó高安全性?措施2:物聯(lián)安全g南;??物聯(lián)

供應(yīng)鏈安全準(zhǔn)[，在?^中

ENISA

建議將軟t物yo單用于物聯(lián)?備，并建議使用yw?別?^依賴軟t并生r軟t物yo單2:醫(yī)

療?絡(luò)安全采-g南;為醫(yī)院在采-服務(wù)1?品ü?x?施÷ó

供絡(luò)安全g南，并鼓勵在選?醫(yī)療器?÷考慮?n供應(yīng)Wó供軟t

物yo單2歐盟醫(yī)療器?行^已將tt?完整可追溯?_?為強制性?n，同÷ó?{tt關(guān)者應(yīng)q同協(xié)_，制?統(tǒng)一?軟t物yo單o

準(zhǔn)ü格_，以ó高

SBOM

?可用性?訴n2?四ās?初步探索軟件物料清單相關(guān)研究s?積極è進軟件物料清單建?，但?`較大e升空間2標(biāo)準(zhǔn)層

面，在|?o:?息安全技o(jì)

軟t供應(yīng)鏈安全?n;?征n意éā

中ó?軟t?rt?t關(guān)?念2在|?o:軟t物yo單總_能力?

n;從數(shù)o^1生r^1交付^1應(yīng)用^四維度明確軟t物yo單

?建能力，為O^?建軟t物yo單ó供參考2政策層面，當(dāng)_軟t物yo單在?內(nèi)^缺乏泛?ˉ知ü了?，暫未?臺t關(guān)?法規(guī)，頂^?o準(zhǔn)與行^?n也]于|~??，O^生r軟t物yo單缺乏

統(tǒng)一?規(guī)范g?2應(yīng)用層面，金融?1軟t}部O^1少部分yw

廠W{_o探索軟t物yo單落w?y，包?制度建?1yw選?{，但部分中小O^?未開展t關(guān)建?|~2o

2022

年度:DevSecOps13云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā行^洞察?^;~{，jk目_為k僅有

3%?×調(diào)者所在O^t?保留了完整?軟t物yo單2在中??息通?|~院?調(diào)|中，超過50%?O^缺乏軟tr分分÷yw，且^未建?軟t物yo單?生r與管理制2O1落地軟件物料清單建?面臨的挑戰(zhàn)和對策建議?一ā企業(yè)落地建設(shè)軟件物料清單體系面臨多重挑戰(zhàn)軟t物yo單通過ó高軟t?明度r為軟t供應(yīng)鏈治理?重?抓k，已r為?際公ˉ?重?方法論2但目_?內(nèi)O^軟t物yo單

_系建??存在較多難點與s戰(zhàn)，w_表ó為?1.

統(tǒng)一的軟件物料清單標(biāo)準(zhǔn)體系和行業(yè)共識亟à建設(shè)缺乏統(tǒng)一規(guī)范的標(biāo)準(zhǔn)和指南指導(dǎo)企業(yè)落地建?軟件物料清單2ó

??面臨?一難?o?內(nèi)^無明確?軟t物yo單o準(zhǔn)，缺乏統(tǒng)一?o準(zhǔn)與g南2SPDX1CycloneDX1SWID

o準(zhǔn)僅明確軟t物yo單數(shù)o格_，其?重點TOt同，且與O^落w建?軟t物yo單?y流程?存_差2O^?能參考?內(nèi)外?一些最?yZ法，其?施方案缺少w_?g行o準(zhǔn)與規(guī)范，其落w效?缺少評?_系?與???評?2O^面臨<如_Z=1<Zr?么程度=1<如_?明Z?}=

{諸多問?2此外，TO^üt?通過t???規(guī)范并建?軟t物y

o單，造r?重復(fù)y_2O同行業(yè)企業(yè)缺乏共識導(dǎo)致軟件物料清單數(shù)據(jù)O兼容2當(dāng)_，ó有法??重??\ó，而非過程?n2ó行規(guī)??o單o準(zhǔn)格_1生ryw{缺乏規(guī)范性g?，O同?O^v

t?可能使用O同}]üo?方_g描?軟t物y，??數(shù)o?混亂14云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023āüO一?，而O同?數(shù)o格_ü????數(shù)o?T操_性較低2因此，亟需建?w備行^q??g行o準(zhǔn)ü評估_系，為O^建?軟t物y

o單ó供g_22.

軟件系統(tǒng)復(fù)g多樣加大軟件物料清單數(shù)據(jù)收集難度現(xiàn)代軟件系統(tǒng)軟件組r多1?能復(fù)g，軟件物料清單數(shù)據(jù)難以收集2多重原因??軟t物yo單數(shù)ow?較為?難，w_如下?ó代軟t系統(tǒng)通~u多n軟tütttr，這些軟tütt可能g?O同?供應(yīng)W，使用O同?編程語?ü技o(jì)2這y多樣性使?創(chuàng)建ü維?軟t物yo單??更ò復(fù)雜，需??TyO同類??軟tütt進行分÷ü評估2其次，ó代軟t系統(tǒng)??w有復(fù)雜??能ü交T邏輯，í?r多n模塊ü[系統(tǒng)2這增ò了?軟t物yo單中軟tüttO間關(guān)系?理?ü管理?s戰(zhàn)2O^需?確保軟t物yo單能_準(zhǔn)確w反映?軟t系統(tǒng)??能??，并能_追蹤ü管理Tn模塊O間?依賴關(guān)系2此外，ó代軟t系統(tǒng)通~依賴于第三方庫1框÷ü服務(wù)，用于?ó特???能vó供額外??能2這些第三方tt可能o開源?v

W^?，需??其進行評估ü管理2因此，O^亟需采用ù學(xué)?方法w?并維?軟t物yo單數(shù)o23.

軟件物料清單數(shù)據(jù)完整性和準(zhǔn)確性難以保證軟件供應(yīng)鏈PQ游企業(yè)建?能力O衡使得軟件物料清單數(shù)據(jù)完整性難以保證2理ó情況下，?n軟t供應(yīng)W都會為其軟ttt創(chuàng)建軟t物yo單2然而，軟t物yo單??念ü知?較新并且k在發(fā)展，很多O^?軟t暫無軟t物yo單，下游?品供應(yīng)W需?yoN15云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā游軟ttt??息創(chuàng)建2如?N游軟t缺少軟t物yo單，就可能?

?最t?品?軟t物yo單?息O完備2目_N下游O^?軟t物y

o單建?能力O足，會??O^在建?軟t物yo單_系過程中部分??ü間?軟t物y依賴?息?缺失，軟t物yo單數(shù)o完備性難以保?2軟件更新迭代?度過快和較高的維?r本導(dǎo)致軟件物料清單數(shù)據(jù)準(zhǔn)確性難以保證2在軟t物yo單建?過程中，人為?誤v系統(tǒng)?

?制可能??o單O完整，ttv庫?z本迭代?度迅?，可能會?

ó更新O?÷?情況2u于人員?流動?管理?缺失也可能??存?軟t中?tt已經(jīng)無法追溯其準(zhǔn)確??息2此外，一些ttv庫_入后沒有被?際使用，但u于維?r本過高，冗余?O準(zhǔn)確數(shù)o難以從o單中去?24.

軟件物料清單或?qū)⒓哟髷?shù)據(jù)泄露和濫用風(fēng)險軟t物yo單通過o準(zhǔn)?格_在N下游t?O間進行?息?傳遞交c，以增進整n軟t生}周期供應(yīng)鏈??明性，協(xié)助N下游廠W應(yīng)?在?風(fēng)?ü威脅2軟件物料清單數(shù)據(jù)信息暴露資產(chǎn)?心數(shù)據(jù)r潛在安全風(fēng)險2一旦O^生r了完整1真??軟t物yo單，這就

r為其軟t資?tr?其在漏洞風(fēng)??數(shù)o庫，o關(guān)乎O^軟t?品}脈?核?數(shù)o2軟t物yo單數(shù)o泄·可能會?·軟t?所有t

tü依賴關(guān)系，這?于惡意擊者g說o一份寶貴??息，T們可以{用這些?息找r軟t?點進行擊2軟件物料清單數(shù)據(jù)泄露或?qū)⒈┞渡虡I(yè)秘密2軟t物yo單數(shù)o泄·可能會讓競爭?k了?r公?

?軟t開發(fā)略1技o(jì)細(xì)節(jié)ü供應(yīng)W關(guān)系{帶g?W^秘密風(fēng)?，|16云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā其O^?主|發(fā)?軟t可能í?專{üW^秘密{知??權(quán)2缺乏相關(guān)法律法規(guī)確保軟件物料清單數(shù)據(jù)安全和創(chuàng)作者相關(guān)h益2軟t物y

o單在多次復(fù)制ü傳遞過程中，容易被非?權(quán)方竊取，同÷存?ü傳輸中?數(shù)o如_防k被篡}o亟待?決?問?2÷外目_暫無明確?法?法規(guī)保障軟t物yo單創(chuàng)建者?t關(guān)權(quán)t2?Dā促進企業(yè)落地建設(shè)軟件物料清單體系的對策建議1.

促進行業(yè)共識，è進軟件物料清單標(biāo)準(zhǔn)化建設(shè)各行業(yè)企業(yè)應(yīng)積極貢獻，è進軟件物料清單共識2T行^內(nèi)應(yīng)建?t關(guān)o準(zhǔn)?討論üy_t，從軟t物yo單供需雙方?角?發(fā)，明確規(guī)?o單內(nèi)容1格_{，促進行^q?2通過制?統(tǒng)一?數(shù)o格_

ü??規(guī)范，以確保O同系統(tǒng)ü平臺O間能_k確w?÷ü]理軟t物yo單數(shù)o2TO^?t?參考同樣?o準(zhǔn)üt?，可保?軟t物yo單?可靠性üT操_性2此后，可以逐o制?更òw_ü普Y適用?o準(zhǔn)，幫助TO^更有效w創(chuàng)建軟t物yo單，ó高軟t?品?安全性ü質(zhì)?2中?信息通信研究院?計算P大數(shù)據(jù)研究所相關(guān)團隊積極開展軟件物料清單標(biāo)準(zhǔn)研究，編寫:軟件物料清單總體能力要求;標(biāo)準(zhǔn)2o準(zhǔn)從數(shù)o^1生r^1交付^1應(yīng)用^四維度ó?軟t物yo單建??n，通過明確軟t物yo單?關(guān)?數(shù)o?}1使用場o以?生?流程{Tn必備?}r分，進一o建?軟t物yo單?整n安全生態(tài)2o準(zhǔn)適用于O^?t?在?建軟t物yo單÷進行參考，17云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā同÷為用w選?\適?ywó供選?g?，也可為第三方??于O

^?t?軟t物yo單管理能力審查ü評估ó供o準(zhǔn)依o22.

人工工x結(jié)合，多方式收集軟件物料清單數(shù)據(jù)O^可通過人yk動w?vyw?動Ww?軟t物yo單數(shù)o2人工方式收集?利用開發(fā)和產(chǎn)品團隊資源收集軟件物料清單數(shù)據(jù)2?先，·?代碼庫?本?息需??n開發(fā)??管理者??c2通~情況下，開發(fā)經(jīng)理可以ó供已經(jīng)r并已在維?中?ttW表，v可yo

?n創(chuàng)建ttW表2其次，代碼庫?本?息?可g?于?品經(jīng)理2?品需n經(jīng)理通~會g?軟t?安全需n，這y情況下應(yīng)U分考慮軟t物yo單需n2無論采用哪y方法，?品需n人員都可以U當(dāng)開發(fā)?

?ü安全??O間?橋梁，幫助w?軟t物yo單數(shù)o2最后，系統(tǒng)??文檔1?細(xì)??文檔1z本描?文檔ü?建腳本{?品開發(fā)文檔通~能_ó供軟ttr??細(xì)?息2工x方式收集?利用軟件組r分析工x自ú化收集軟件物料清單數(shù)據(jù)2?開發(fā)ü?品管理??均無法ó供數(shù)o，可使用軟ttr分÷yw?軟t進行掃描，?別包?t

t2O^可w?ü整\g?O同g源?數(shù)o?建完整ü準(zhǔn)確?軟t物yo單，包?代碼倉庫1依賴關(guān)系1開源庫{，O^可使用?動Wy

wgw?這些數(shù)o，并建?一n?中??息庫，以?整理1審查ü更新軟t物yo單23.

加強責(zé)任意識，共同建設(shè)可信軟件物料清單企業(yè)以斷言形式?述未知信息，通過à相補充共同完善軟件物料清單數(shù)據(jù)2O^可將軟t物yo單?完備性?息以í??_ù入軟18云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023āt物yo單<依賴關(guān)系=數(shù)o字?中，w_包?_級ttü下級tt

?完備性í??_級tt?軟t?頂^ttā?完備性í?o_級t

t包下級tt?知?，下級tt?完備性í?o下級tt包其下一級tt?知?，_級ttü下級tt?í?類別均包?未知1部分1已知ü無四y2軟t供應(yīng)鏈N下游O^可增強ˉ?意?，通過í?類別為<未知=ü<部分=?tt進行數(shù)o?補Uü完善，q同逐o完善軟t物yo單?息2t

2

ü表

3

分別用表狀?念tüy狀?念tn

y_展{了同一n軟t?品

Acme

公?<Application=?軟t物yo單，其中包?了í??息2Component

Name Application |--Browser |--Compression

Engine |--BufferSupplier

Name Acme Bob Carol BingoVersion

String 1.1 2.1 3.1 2.2Author Acme Bob Acme AcmeHash 0x123 0x223 0x323 0x423UID 234 334 434 534Relationship Self Included

in Included

in Included

inRelationship

Assertion Known Partial None Unknown數(shù)據(jù)來源：NTIA，F(xiàn)raming

Software

Component

Transparency:

Establishing

a

CommonSoftware

Bill

of

Materials

(SBOM)，2021

年

10

o表

4

軟件物料清單表狀概念ā19云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā數(shù)據(jù)來源：NTIA，F(xiàn)raming

Software

Component

Transparency:

Establishing

a

CommonSoftware

Bill

of

Materials

(SBOM)，2021

年

10

oā

1

軟件物料清單樹狀概念ā企業(yè)需強化相關(guān)人員的責(zé)任意識，并使用?信的工x確保組件信息準(zhǔn)確2在軟t開發(fā)周期中，?n??都必須理?軟t物yo單?重?性，并且o{?己?ˉ?范?ü目o，通過統(tǒng)一?流程ü規(guī)范g確保o單可以從源}rt點完整w?_下g，確保所有?軟ttt都能_被k確?_2此外，應(yīng)?{用可???動Wyw，通過?動掃描1?別ü分÷軟tttg保障o單?完整性ü準(zhǔn)確性2同÷，需?ò強?軟ttt?管理，?÷更新tt?息，避免存在未使用?ttv庫?情況，從而更有效wó高軟t物yo單整_質(zhì)?24.

建立互信機制，合規(guī)使用軟件物料清單信息企業(yè)?通過多重安全措施降P軟件物料清單數(shù)據(jù)的篡改風(fēng)險2O

^可{用數(shù)字簽]1訪問控制{k?，強W文t?完整性驗?ü安全訪問，防k數(shù)o泄密ü被竊取2同÷，O^需?T部門通力\_，?決采?1生r1傳輸ü安全性{方面?q性需n，通過流程}進1o20云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā準(zhǔn)?施ü安全ò固措施，以降低軟t物yo單建??復(fù)雜度，減少軟t物yo單數(shù)o泄·?可能2合規(guī)地獲×和使用軟件物料清單，避免產(chǎn)生知識產(chǎn)h糾紛2為保?軟t物yo單?息創(chuàng)建者?t關(guān)權(quán)t以?

?軟t物yo單?修}ü分發(fā)進行規(guī)范，T行^可參考開源tt許可?R分，就t關(guān)許可協(xié)議ü使用g款{?rq?2建立行業(yè)à信機制，實現(xiàn)PQ游協(xié)作過程中數(shù)據(jù)的?信和安全2軟t供應(yīng)鏈下游?N游?

?no可?，N游?下游??no安全，可?ü安全o決?軟t物y

o單能否有效w在?^鏈N下游中?ó流轉(zhuǎn)，能否切?起r其應(yīng)有效??關(guān)?因}2行^間建?T?制，就軟t物yo單如_安全1\規(guī)wU下游t?傳遞，下游t?如_\理w使用{問?進行仔細(xì)論?并?rq?，q建軟t物yo單可?安全生態(tài)2四1搭建?信軟件物料清單建?模型，?力企業(yè)安全管?目前?內(nèi)外企業(yè)在落地軟件物料清單體系建?時?缺乏實踐指導(dǎo)2Anchore:2022

軟t供應(yīng)鏈安全?^;g?，盡管軟t物yo單在ó高軟t供應(yīng)鏈?明度方面發(fā)揮著重?_用，但??有三分O一?

t?遵循軟t物yo單最?y，w_數(shù)oét

1221云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023āāw來源：Anchore，Software

Supply

Chain

Security

Report，2022

年ā

2

軟件物料清單實踐使用率在此背o下，本?^將從軟t物yo單?建方?角?發(fā)，從軟t物yo單?建管理^1數(shù)o^1生r^1交付^四維度m建軟t物yo單建?模?，為O^?t?在?建軟t物yo單_系÷進行參考，ét

32āw來源：中?信息通信研究院22云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023āā

3

可信軟件物料清單建設(shè)模型?一ā可信軟件物料清單建設(shè)模型1.

管理層：建立清晰的制度體系和專業(yè)的技術(shù)團隊O^可將t?建?1制度流程ü專^培訓(xùn)納入r軟t物yo單全

生}管理周期中，?動軟t物yo單?落w?施2明確的組?架構(gòu)是èú軟件物料清單建?的基礎(chǔ)2在O^建?軟t物yo單過程中，?

先o建?t?ˉ?_系，制?t?^面?建?略ü目o2O^需建

?專門?管理??vg?專人負(fù)ˉ軟t物yo單?w?ü管理y_，明確崗位ìˉ1權(quán){以?O務(wù)2清p的制度流程是實現(xiàn)軟件物料清單

落地的保障2O^需制?完善?軟t物yo單建??制度ü管理規(guī)范，建?統(tǒng)一???，保障Tn環(huán)節(jié)都能_被?÷Y應(yīng)，Tù?務(wù)能_被

順{傳遞1銜?，確保建?流程o晰?明2此外，O^可建?軟t物yo單安全評估ü風(fēng)?管理制，保?軟t使用過程中?安全性ü\

規(guī)性2專業(yè)的技術(shù)團隊是完r軟件物料清單實踐的有力支撐2O^針

?軟t物yo單建?t關(guān)人員進行必??技o(jì)培訓(xùn)ü專^知?學(xué)習(xí)，ó升員y?專^能力與意?水平，必?÷可進行t應(yīng)?考核管理22.

數(shù)據(jù)層：

步涵蓋根節(jié)點至葉子節(jié)點全部組r信息數(shù)據(jù)層明確構(gòu)建軟件物料清單所應(yīng)x備的最小數(shù)據(jù)要素2軟t物yo單?包?r?軟t?tt??本?息，也包ttO間?依賴

關(guān)聯(lián)關(guān)系2軟t物yo單應(yīng)明確軟ttr，?細(xì)展{tt?息，從y

節(jié)點ü÷[節(jié)點可R分為多n^級2目_，u于軟t物yo單建?]

于_級??，O^可從?_o單創(chuàng)建?息1軟t?息1tt?息三部23云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā分進行?_，w_內(nèi)容ét

42清單創(chuàng)建信息og在軟t物yo單中應(yīng)?o單創(chuàng)建方1o單創(chuàng)建÷間1o單創(chuàng)建??1o單一o?符{內(nèi)容進行明確2軟件包信息是指在軟t物yo單中，針?軟t包維度，應(yīng)?于軟t包]稱1軟t包z本1軟t包g源1一o?符1供應(yīng)W

?息1許可??息1_入tt數(shù)?{內(nèi)容進行明確2組件信息og在軟t物yo單中，針?tt維度，應(yīng)?于tt]稱1ttz本1一o?符1tt依賴關(guān)系1許可??息{內(nèi)容進行明確2āw來源：中?信息通信研究院ā

4

軟件物料清單最小數(shù)據(jù)要素

1隨著企業(yè)建?能力的e升，后續(xù)?將軟件物料清單數(shù)據(jù)

步完

善2O^可yo?ˉ建?能力ü^務(wù)需n，將數(shù)o?t度細(xì)Wó文t?息ü代碼w??息，w_內(nèi)容ét

52文件信息og在軟t物yo單中，針?文t維度，應(yīng)?于文t]稱1參與者1類?1校驗24云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā碼{內(nèi)容進行明確2代碼w段信息og在軟t物yo單中，針?代

碼w?維度，應(yīng)?于代碼w?一o?符1代碼w?行范?{內(nèi)容

進行明確2āw來源：中?信息通信研究院ā

5

軟件物料清單最小數(shù)據(jù)要素

23.

生r層：多角度提升軟件物料清單可追溯性和準(zhǔn)確性生r層明確基于收集的數(shù)據(jù)要素軟件物料清單的生r方式2軟t物yo單數(shù)o生rí?r生r方_1生ry度1生r頻÷ü更新校驗制{多方面內(nèi)容2生r方式和生r深度?e升軟件物料清單的完備性和?追溯性2生r方式包?人y生rü?動W生rny方_，其中人y生r方_可能適\tt數(shù)目較少?ù目，通過表格v文t{_

k動W?所有軟ttt，以??ntt?z本1許可?1依賴ùü?

_其Tt關(guān)?息，應(yīng)明確w???üw?方法2?動W生ro將生r軟t物yo單??動Wyw整\rc續(xù)?rüc續(xù)交付管道中，掃描所有軟tù目并W?專有ü開源軟ttt以?t關(guān)^性，例如許可?

ü?第三方庫?依賴關(guān)系，并yo需?更新其t關(guān)tt，應(yīng)?_生r25云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā????采用??動Wyw?息，以?后期回溯2生r深度?n軟t物yo單應(yīng)包所有主??頂^ātt，并W?其中包????依賴，?于可以??·取r完整依賴y?技o(jì)棧，應(yīng)?_從y節(jié)點r÷[節(jié)點全部y度?o單2此外，軟t物yo單用w可通過下級tt^級?數(shù)?v運營技o(jì)g?生ry度?n，如按照軟t^性1軟t?能W?

t應(yīng)?tt?息2生r頻率和更新校驗機制e升軟件物料清單的準(zhǔn)確性2生r頻率?n當(dāng)軟ttt以新z本v發(fā)_?_更新，應(yīng)創(chuàng)建新?t?應(yīng)z本?軟t物yo單，包??r已更新ttv依賴?ttz本2同÷，當(dāng)軟t物yo單創(chuàng)建者更k已有軟t物yo單數(shù)o中??誤，應(yīng)第一÷間發(fā)_新?經(jīng)過修??軟t物yo單2更新校驗機制?n建?動態(tài)更新制，k動v者?動?_操_人1操_÷間1操_??{，確保軟t物yo單?可靠性2此外，軟t物yo單生r?n包?軟t物yo單創(chuàng)建者應(yīng)通過ò密v數(shù)字簽]?方_?軟t物yo單?真?性ü完整性進行保?24.

交付層：通過明確軟件物料清單傳輸方式確保交付

安全軟件物料清單要的傳遞機制是將清單作~交付物之一通過供應(yīng)鏈D供應(yīng)商直接到用戶，需明確交付流程2交付雙方應(yīng)建?完善?軟t物yo單交付流程，包?但O?于制度流程1驗w方_{2此外，交付雙方應(yīng)明確軟to單交付物?情，包?但O?于明確軟t物yo單交付數(shù)o最小?}1文t格_1說明1z本{2軟件物料清單交付26云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā方式?分~直接交付和ú態(tài)à問2??交付g供應(yīng)W應(yīng)將軟t物yo單_為交付物O一交付ó軟t需n方，一些ó有格_如

SPDX1

CycloneDX

ü

SWID，可_為軟t?附ò文tó供2u于軟t生態(tài)系統(tǒng)?多樣性，單一?軟t物yo單傳遞制并O能完全滿足需?，?于本w存?資源ü電源有?制gt?

IoT

{?備g說，動態(tài)訪問o一

n很}?選?，包?但O?于軟t物yo單?閱平臺1URL

{2通過采用安全的à問?制和傳輸方式確保軟件物料清單的安全傳輸2O^應(yīng)通過技o(jì)方案üyw?交付n?進行主_ˉ份?別üˉ?，同÷?交付通道ü軟t物yo單采用ò密保?措施，保?傳輸鏈?安全，如?于絡(luò)??息傳輸可采用

HTTPS

ò密協(xié)議，?雙方?ˉ份進行驗?，有效防k?息泄·2?Dā軟件物料清單多角度?力企業(yè)安全管?1.

軟件物料清單?力提高軟件系統(tǒng)?明度目_，軟t行^^未r一些o準(zhǔn)W??品tr?息交c方_，軟t供應(yīng)鏈中N下游供應(yīng)WO?明?開發(fā)過程可能造ro重?軟t質(zhì)?安全問?，?礙軟t行^?整_發(fā)展，t?ü?普Y缺乏?系統(tǒng)中?品ü服務(wù)?可é度?能力已r為軟t安全亟需?決?問?O一2軟件物料清單明確軟件組r，?力e高軟件系統(tǒng)的?明度2軟t物yo單ó供了一n全面而準(zhǔn)確?tto單，?細(xì)?_了軟t中所使用?tt?其關(guān)??息，使?軟t??rüg源可追溯2O^可通過軟t物yo單o晰w了?其軟t?tt?r?依賴關(guān)系，發(fā)ó系統(tǒng)內(nèi)27云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023āO需??1存在安全風(fēng)??tt，ó高軟t系統(tǒng)??明度，從而降低軟t安全風(fēng)?22.

軟件物料清單?力優(yōu)化資產(chǎn)全局化管理軟件物料清單à強軟件資產(chǎn)?追溯性，?力企業(yè)實現(xiàn)軟件資產(chǎn)全局化管理2軟t物yo單通過?軟t內(nèi)部trr分?精細(xì)W拆?與風(fēng)?關(guān)聯(lián)，r為s開軟t資?<黑匣[=?關(guān)?鑰[2O^可_助軟t物yo單準(zhǔn)確掌握T類^務(wù)系統(tǒng)所使用?軟t資?并關(guān)聯(lián)T類許可?

?息1漏洞?息，?軟t資??ó全局W管理2此外，O^可通過軟t物yo單?息??_，準(zhǔn)確w追蹤軟t中使用?Tntt?g源ü

?×程，了?軟t資??起源1?更×ó以?所í??風(fēng)?ü\規(guī)性問?2軟件物料清單?力e升企業(yè)的決策能力1制定合規(guī)策略和優(yōu)化資產(chǎn)管理2?先，決者可通過準(zhǔn)確?軟t物yo單·?關(guān)???息，從而更有效wZ?決2軟t物yo單?{了在?ó?1重復(fù)

v過÷?tt，為軟t更新1\并v?có供g?2其次，軟t物y

o單能_準(zhǔn)確?別ü?蹤軟t資?中使用?開源ttüt關(guān)許可?

?息，有助于O^制?\規(guī)略，確保軟t符\適用?許可??n，并避免在?\規(guī)風(fēng)?2最后，軟t物yo單ó供了全面?資??t，t?可以優(yōu)W軟t采-1部署ü維?過程，減少資源浪費ür本2此外，軟t物yo單ó升了供應(yīng)鏈??明度，O^能_更}w管理ü評估供應(yīng)WO間?關(guān)系，為O^在軟t資?管理方面?\理規(guī)Rü決

ó供參考，ó高資???|ü降低風(fēng)?23.

軟件物料清單?力提供清晰的漏洞視ā28云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā軟件物料清單e供了組件漏洞的清p視ā，?力企業(yè)軟件漏洞管

理2漏洞管理o?息安全管理?重?tr部分2一旦漏洞被惡意擊

者{用，可能會??系統(tǒng)遭×入侵1數(shù)o泄·ü?息竊取{風(fēng)?，?

n人?ù1公?密ü??安全都將?ry威脅2漏洞?發(fā)ó1修

補與管理一?o軟t安全?域?重?y_，漏洞管理?本質(zhì)o在漏洞

被{用O_有效開展漏洞修復(fù)y_2在漏洞管理中，÷間oó關(guān)重?

?，但修復(fù)已部署系統(tǒng)?÷間可能會t?r數(shù)月甚ó?dāng)?shù)年，因為?n

{tt關(guān)者都必須{待N游供應(yīng)W??·2然而，軟t物yo單ó供

了?tt漏洞?o晰?t，使?{tt關(guān)者無需{待供應(yīng)W??·即

可開?評估漏洞，這使?t?能_更快w采取措施，修復(fù)在?漏洞，并降低安全風(fēng)?2軟件物料清單降P企業(yè)對P游供應(yīng)商的依賴，更?

識別評估潛在的安全風(fēng)險2ó??，u于軟t?低?明度??軟tt

t?位置?其依賴并O明晰，漏洞?位?N下游tt?脆性分÷，o一t?÷?ˉ?y_，部分下游O^需從供應(yīng)W]·?漏洞?息2而軟t物yo單中?數(shù)o能_幫助漏洞管理平臺vt關(guān)人員發(fā)ó漏

洞位置，有{于供應(yīng)W1用wü安全廠W評估tt漏洞所帶g?在安全風(fēng)?，?n下游用w都能?我評估在影Y，并采取快?ü準(zhǔn)確

?應(yīng)?措施2這使?防?者能_t?wZ?決，并采取必??tk

措施，以降低漏洞{用?風(fēng)?24.

軟件物料清單?力提升安全?件響應(yīng)速度通過軟件物料清單?快遞定O?影響的系統(tǒng)和x本，e高安全?

件響應(yīng)?度2在低?明度?軟t供應(yīng)鏈末?，O^從t關(guān)軟ttt漏29云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā洞?·r修復(fù)已部署?×?漏洞影Y??息系統(tǒng)÷，??需?幾n月

甚óo數(shù)年?÷間2軟t物yo單?_了軟t?tr?息，當(dāng)一n已

知?漏洞被公開v被發(fā)ó÷，O^無需3?÷間逐一排查即可快?

?位×影Y系統(tǒng)üz本，進行評估風(fēng)?并?動t關(guān)方面進行漏洞修復(fù)，縮?安全事tY應(yīng)周期2軟件物料清單e高軟件供應(yīng)鏈PQ游企業(yè)安全管理能力，共建?信安全生態(tài)2以?漏洞?ó÷，軟t供應(yīng)鏈下游?O^需{待N游軟t供應(yīng)Wó供軟t補丁，o可以進行漏洞修復(fù)，在{待?÷間內(nèi)，下游O^??會面臨無法預(yù)知?安全風(fēng)?2而軟t

物yo單可確?在某n應(yīng)用程序中部署了哪些tt，當(dāng)?ó重漏洞

÷，O^?可U所有×影Y?應(yīng)用程序??，包?軟t供應(yīng)鏈?N下

游O^，?÷生r風(fēng)?通知ü漏洞預(yù)?，使T方?÷知悉t關(guān)安全風(fēng)?2此外，O^能_與供應(yīng)W1開發(fā)者ü其Tt關(guān)方快?進行溝通\

_，q同應(yīng)?安全事t，q同建?可?安全生態(tài)2五1軟件物料清單發(fā)展趨勢展望當(dāng)下，軟tr為數(shù)字經(jīng)o發(fā)展?x?同÷，軟t供應(yīng)鏈安全?重

?性O(shè)?而?2軟t物yo單以其ó升供應(yīng)鏈?明?t特優(yōu)?r為?

動軟t供應(yīng)鏈安全管理y_落w?重?抓k2軟t物yo單??1建?1應(yīng)用í?÷管?1開發(fā)者1供應(yīng)Wü用w{多重角色，通過跨角色\_，?動軟t物yo單o準(zhǔn)W1?動W1?^W，?于?建

安全1?明1可??軟t供應(yīng)鏈安全生態(tài)w有重?意O2從÷管角度g說，目_已明確r??^面?動軟t物yo單數(shù)

o格_需n??臺2未g可以預(yù)é將會進一o完善軟t物yo單?o30云計算開源產(chǎn)業(yè)聯(lián)盟 軟件物料清單?SBOMā發(fā)展洞察報告?2023ā準(zhǔn)_系，為開發(fā)者ü供應(yīng)Wó供更???軟t物yo單，用w選?w備可?軟t物yo單?息?軟tó供g?參考2開發(fā)者ü供應(yīng)W_為軟t?創(chuàng)造者1傳遞者，將會進一oò強ˉ

?意?，一方面將更ò關(guān)注軟t?依賴管理üz本控制，?施更o格

?審核ü驗?流程，確保tt?g源可靠ü安全可用，同÷通過?動Wyww?維?軟t物yo單數(shù)o2÷一方面將可能會采用{塊鏈1

?ù?算{技o(jì)，確