網(wǎng)絡(luò)安全技術(shù) 軟件物料清單數(shù)據(jù)格式 征求意見稿

4GB/TXXXXX—XXXX網(wǎng)絡(luò)安全技術(shù)軟件物料清單數(shù)據(jù)格式本文件規(guī)定了軟件物料清單數(shù)據(jù)格式，包括軟件物料清單組成、軟件物料清單文件格式要求和軟件物料清單元素，以及軟件物料清單中各元素的屬性和屬性值格式等信息。本文件適用于指導(dǎo)軟件供應(yīng)鏈相關(guān)方之間進(jìn)行軟件物料清單信息的生成、共享和使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T11457-2006信息技術(shù)軟件工程術(shù)語GB/T25069-2022信息安全技術(shù)術(shù)語GB/T36475-2018軟件產(chǎn)品分類3術(shù)語和定義GB/T25069－2022中界定的以及下列術(shù)語和定義適用于本文件。3.1軟件產(chǎn)品softwareproduct向用戶提供的計(jì)算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件或在提供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時(shí)提供的計(jì)算機(jī)軟件。注1：本文件中軟件產(chǎn)品簡(jiǎn)稱為軟件。[來源：GB/T36475—2018，3.1.1，有修改]3.2軟件物料清單softwarebillofmaterials描述軟件產(chǎn)品的組成成分、內(nèi)外部依賴關(guān)系、來源信息以及潛在的安全風(fēng)險(xiǎn)信息的清單。注1：本文件中清單為軟件物料清單的簡(jiǎn)稱。3.3外部網(wǎng)絡(luò)服務(wù)externalservice通過網(wǎng)絡(luò)為軟件運(yùn)行提供必要功能的非軟件自身具備的應(yīng)用服務(wù)，例如：域名服務(wù)、CDN服務(wù)、郵件發(fā)送、短信發(fā)送、消息推送、支付接口等。3.4制品artifact5GB/TXXXXX—XXXX由某一種軟件開發(fā)過程所使用的或所產(chǎn)生的一種信息的文件。制品的實(shí)例有模型、源文件、文本和二進(jìn)制可執(zhí)行文件。[來源：GB/T11457-2006，2.76，有修改]4縮略語CPE：通用平臺(tái)枚舉（CommonPlatformEnumeration）HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）JSON：JavaScript對(duì)象標(biāo)記語言（JavaScriptObjectNotation）PURL：包統(tǒng)一資源定位符（PackageUniformResourceLocators）RPC：遠(yuǎn)程過程調(diào)用協(xié)議（RemoteProcedureCallProtocol）RTP：實(shí)時(shí)傳輸協(xié)議（Real-TimeTransportProtocol）SBOMDF：軟件物料清單數(shù)據(jù)格式（SoftwareBillofMaterialsDataFormat）SMTP：簡(jiǎn)單郵件傳輸協(xié)議(SimpleMailTransferProtocol)URL：統(tǒng)一資源定位符（UniformResourceLocator）UUID：通用唯一識(shí)別碼（UniversallyUniqueIdentifier）5軟件物料清單組成特定版本的軟件應(yīng)有一份對(duì)應(yīng)的軟件物料清單。軟件物料清單由基本信息、軟件組成信息、外部依賴信息、安全信息、擴(kuò)展信息和簽名信息六大類信息組成，每類信息包括若干清單元素（簡(jiǎn)稱“元素”）。本文件對(duì)每個(gè)清單元素所涉及的字段進(jìn)行了規(guī)定。圖1給出了軟件物料清單的組成，其中：a）基本信息：描述軟件和軟件物料清單的標(biāo)識(shí)、來源等基本信息，包括：軟件信息和清單信息；b）軟件組成信息：描述軟件組成成分、成分來源及其依賴關(guān)系的信息，包括：組件信息、文件信息、代碼片段信息和內(nèi)部依賴信息；c）外部依賴信息：描述軟件開發(fā)、部署、運(yùn)行、更新所依賴的外部工具、運(yùn)行環(huán)境、網(wǎng)絡(luò)服務(wù)等必需條件及其來源的信息，包括：外部網(wǎng)絡(luò)服務(wù)信息、基礎(chǔ)環(huán)境信息和開發(fā)工具信息；d）安全信息：描述軟件自身安全和供應(yīng)鏈安全管理相關(guān)的信息，包括網(wǎng)絡(luò)服務(wù)接口信息、補(bǔ)丁信息、許可證信息、安全漏洞、配置風(fēng)險(xiǎn)和生命周期維護(hù)中斷風(fēng)險(xiǎn)信息；e）擴(kuò)展信息：描述本文件中未定義的其他軟件物料信息；f）簽名信息：描述用于驗(yàn)證清單完整性的數(shù)字證書和簽名信息，應(yīng)使用符合國(guó)家或行業(yè)規(guī)定的機(jī)構(gòu)簽發(fā)的數(shù)字證書。6GB/TXXXXX—XXXX圖1軟件物料清單組成示意圖在不同的使用場(chǎng)景中，并非所有元素和元素字段都是必要信息，本文件規(guī)定了支持清單基本功能的最小元素集，包括軟件信息、清單信息、組件信息、內(nèi)部依賴信息和簽名信息等元素。最小元素集的必要字段詳見附錄A。6清單文件格式要求軟件物料清單文件為承載軟件物料清單信息的一個(gè)或一組文本文件，清單文件格式應(yīng)滿足以下要a）應(yīng)支持人類容易理解和解釋的格式；b）應(yīng)支持自動(dòng)化工具解析處理；c）應(yīng)支持獨(dú)立于編程語言的通用格式，包括JSON、XML等；d）清單文件的命名應(yīng)以SBOMDF為后綴，例如：“*.SBOMDF.json”。7軟件物料清單元素7.1概述本章按照軟件物料清單信息類別，對(duì)每一類別所涉及的清單元素和元素字段的進(jìn)行描述，每一字段的描述包含字段名、字段描述、字段類型、字段必要性，具體描述規(guī)范詳見表1。本章所涉及數(shù)據(jù)格式描述以JSON格式為例，其他格式可參照轉(zhuǎn)換。7GB/TXXXXX—XXXX表1清單信息字段描述字段命名，應(yīng)采用無縫連寫的英文詞匯或詞匯組；單詞匯采用小寫，例如：“signature”；多詞匯采用駝峰命名法，即首個(gè)詞匯小寫，后續(xù)詞匯依次首字母大寫，例如：“softwareName”。字段對(duì)應(yīng)數(shù)據(jù)類型，應(yīng)為如下類型中的一類：string（字符串）、object（對(duì)象）、number（數(shù)字）、array（數(shù)組）、enum（枚舉）、boolec）條件必選：某些條件下必須包含該字段，包括:7.2基本信息類別7.2.1類別概述基本信息類別應(yīng)包括如下元素：a）軟件信息：包含軟件所涉及的標(biāo)識(shí)、供應(yīng)商、來源、授權(quán)、完整性等信息；b）清單信息：包含軟件物料清單所涉及的版本、標(biāo)識(shí)、創(chuàng)建、獲取等信息。7.2.2軟件信息軟件信息包括如下字段：a）軟件名稱：軟件的名稱，用于標(biāo)識(shí)和區(qū)分軟件；b）軟件版本：軟件的版本編號(hào)；c）雜湊算法：對(duì)軟件的制品進(jìn)行完整性保護(hù)的雜湊算法名稱；d）消息摘要：對(duì)軟件的制品通過雜湊運(yùn)算獲取的摘要值；e）軟件產(chǎn)品的供應(yīng)商列表，每個(gè)供應(yīng)商包括如下字段：1）供應(yīng)商：軟件供應(yīng)商的注冊(cè)名稱；2）供應(yīng)商類型：軟件供應(yīng)商的類別，包括：-integrator：集成商-developer：開發(fā)商-agent：代理商-other：其他3）所屬區(qū)域：軟件供應(yīng)商注冊(cè)地所屬國(guó)家省市名稱，格式為“國(guó)家-[省]-市”，最小區(qū)域至城市，例如：“中國(guó)-北京”和“中國(guó)-廣東-深圳”；4）原始供應(yīng)商：編寫軟件的人員或組織的名稱，供應(yīng)商類型為集成商或代理商時(shí)，本字段為必選項(xiàng)；f）獲取途徑：獲取開源軟件的渠道，包括：-codeHostingPlatform：代碼托管平臺(tái)-thirdPartyDownloadSite：第三方下載站點(diǎn)-openSourceCommunity：開源社區(qū)g）許可證名稱：列出軟件的許可證名稱，許可證名稱（及其簡(jiǎn)稱）遵循ISO/IEC5962-2021中關(guān)于許可證名稱和縮略名的規(guī)定，如果許可證未在ISO/IEC5962-2021中定義，可以自定義名稱；清單中所列出的許可證名稱，可在清單安全類別信息（見7.5節(jié)）中找到對(duì)應(yīng)的許可8GB/TXXXXX—XXXXh）授權(quán)期限：軟件授權(quán)使用的截止日期，日期格式為“YYYY-MM-DD”，如為永久有效，取值為“permanent”。軟件信息的各字段描述見表2。表2軟件信息字段描述7.2.3清單信息清單信息包括如下字段：a）清單格式名稱：清單所采用格式標(biāo)準(zhǔn)的名稱，固定值“SBOMDF”；b）格式版本：清單遵循的數(shù)據(jù)格式的版本，本文件對(duì)應(yīng)版本號(hào)為“1.0”；c）清單標(biāo)識(shí)：每個(gè)生成的清單都應(yīng)該有一個(gè)唯一的序列號(hào)，采用128位的UUID，匹配正則表達(dá)式：^urn:uuid:[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}$，示例：urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79；d）生命周期：此清單生成時(shí)，軟件所處生命周期的階段，包括：-develop：開發(fā)階段-commit：交付階段-operation：運(yùn)維階段-decommission:廢止階段e）時(shí)間戳：創(chuàng)建清單的日期和時(shí)間，格式為“YYYY-MM-DDTHH:mm:ssZ”；f）創(chuàng)建者：創(chuàng)建清單的實(shí)體名稱；g）創(chuàng)建工具：創(chuàng)建清單的工具名稱和版本；h）下載鏈接：獲取清單的URL地址。9GB/TXXXXX—XXXX清單信息的各字段描述見表3。表3清單信息字段描述7.3軟件組成信息類別7.3.1類別概述軟件組成信息類別應(yīng)包括如下元素：a）組件信息列表：軟件包含的所有組件列表，每個(gè)組件包含組件標(biāo)識(shí)、供應(yīng)商、許可協(xié)議、完整性校驗(yàn)等組件信息。b）內(nèi)部依賴信息列表：描述組件、文件、代碼片段之間依賴關(guān)系的信息。可根據(jù)實(shí)際情況選擇性包括如下元素：a）文件信息列表：軟件的第一層解壓和鏡像加載的制品文件列表，包含文件名稱、路徑、用途、完整性校驗(yàn)等信息；b）代碼片段信息列表：自研源代碼中所包含的從社區(qū)、論壇等其他渠道獲取的源代碼片段列表，包含片段標(biāo)識(shí)、位置、來源、許可證等信息。7.3.2組件信息組件信息包括如下字段：a）組件標(biāo)識(shí)：組件在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）組件名稱：組件的名稱，通常是組件的一個(gè)縮略名稱，例如：“commons-lang3”；c）組件版本：組件的版本編號(hào)；d）組件描述：組件基本功能的詳細(xì)描述；e）自研比例：組件中自研代碼的占比，包括：-all：全部自研組件-part：部分自研組件-none：外部組件f）組件注冊(cè)標(biāo)識(shí)符：由一定范圍（如國(guó)家、行業(yè)、組織等）內(nèi)的管理機(jī)構(gòu)維護(hù)的唯一識(shí)別組件的標(biāo)識(shí)符，例如：通用平臺(tái)枚舉（CPEg）重要性：組件對(duì)于保證軟件正常運(yùn)行的重要程度，例如：可以根據(jù)組件的是否支持核心業(yè)務(wù)功能判定組件為“關(guān)鍵組件”；h）安全度：描述組件的安全測(cè)評(píng)結(jié)果或安全等級(jí)信息，例如：開源組件經(jīng)過社區(qū)安全審查情況、GB/TXXXXX—XXXX組件經(jīng)過權(quán)威機(jī)構(gòu)安全認(rèn)證情況等；i）組件的供應(yīng)商列表，每個(gè)供應(yīng)商包括如下字段：1）供應(yīng)商：組件供應(yīng)商的注冊(cè)名稱，非開源組件應(yīng)填寫本字段；2）供應(yīng)商類型：組件供應(yīng)商的類別，非開源組件應(yīng)填寫本字段，包括：-integrator：集成商-developer：開發(fā)商-agent：代理商-other：其他3）所屬區(qū)域：組件供應(yīng)商注冊(cè)地所屬國(guó)家省市名稱，格式為“國(guó)家-[省]-市”，最小區(qū)域至城市，例如：“中國(guó)-北京”和“中國(guó)-廣東-深圳”，非開源組件應(yīng)填寫本字段；4）原始供應(yīng)商：編寫組件的人員或組織的名稱，供應(yīng)商類型為集成商或代理商時(shí)，本字段為必選項(xiàng)，非開源組件應(yīng)填寫本字段；j）獲取途徑：獲取開源組件的渠道，包括-codeHostingPlatform代碼托管平臺(tái)-thirdPartyDownloadSite第三方下載站點(diǎn)-openSourceCommunity開源社區(qū)k）組件編程語言：組件使用的編程語言列表；l）許可證名稱：列出組件相關(guān)的許可證名稱列表，許可證名稱（及其簡(jiǎn)稱）遵循ISO/IEC5962-2021中關(guān)于許可證名稱和縮略名的規(guī)定，如果許可證未在ISO/IEC5962-2021中定義，可以自定義名稱；m）下載鏈接：下載組件的URL地址；n）主頁(yè)鏈接：查看組件信息的主頁(yè)URL地址；o）構(gòu)建完備性：構(gòu)建和編譯過程中依賴的其他組件識(shí)別信息的完整程度，包括：-none：無下級(jí)組件-known：全部列出下級(jí)組件-part：部分列出下級(jí)組件-unknown：未知，不知道當(dāng)前組件的下級(jí)組件p）雜湊算法：對(duì)組件進(jìn)行完整性保護(hù)的雜湊算法名稱q）消息摘要：對(duì)組件通過雜湊運(yùn)算獲取的摘要值。組件信息的各字段描述見表4。表4組件信息字段描述表4（續(xù)）GB/TXXXXX—XXXX7.3.3文件信息文件信息包括如下字段：a）文件標(biāo)識(shí)：文件在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）文件名稱：包含擴(kuò)展名的完整文件名稱；c）文件路徑：文件在制品文件目錄中的完整相對(duì)路徑；d）用途描述：文件在軟件中的功能和作用的簡(jiǎn)要說明；e）雜湊算法：對(duì)文件進(jìn)行完整性保護(hù)的雜湊算法名稱；f）消息摘要：對(duì)文件通過雜湊運(yùn)算獲取的摘要值。文件信息的各字段描述見表5。表5文件信息字段描述7.3.4代碼片段信息GB/TXXXXX—XXXX代碼片段信息包括如下字段：a）片段標(biāo)識(shí)：代碼片段的在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）關(guān)聯(lián)文件：包含此代碼片段的自研文件的路徑和文件名；c）起點(diǎn)字節(jié)數(shù)：代碼片段在自研源文件中的起始位置（按字節(jié)計(jì)算d）終點(diǎn)字節(jié)數(shù)：代碼片段在自研源文件中的結(jié)束位置（按字節(jié)計(jì)算e）起點(diǎn)行數(shù)：代碼片段在自研源文件中的起始位置（按行數(shù)計(jì)算f）終點(diǎn)行數(shù)：代碼片段在自研源文件中的結(jié)束位置（按行數(shù)計(jì)算g）片段來源：代碼片段所屬開源項(xiàng)目名稱；h）片段鏈接：代碼片段所屬開源項(xiàng)目的URL地址；i）許可證名稱：列出代碼片段相關(guān)的許可證名稱，許可證名稱（及其簡(jiǎn)稱）遵循ISO/IEC5962-2021中關(guān)于許可證名稱和縮略名的規(guī)定，如果許可證未在ISO/IEC5962-2021中定義，可以自定義名稱；j）雜湊算法：對(duì)代碼片段進(jìn)行完整性保護(hù)的雜湊算法名稱；k）消息摘要：對(duì)代碼片段通過雜湊運(yùn)算獲得的摘要值。代碼片段信息的各字段描述見表6。表6代碼片段信息字段描述7.3.5內(nèi)部依賴信息內(nèi)部依賴信息包括如下字段：a）依賴標(biāo)識(shí)：描述存在依賴關(guān)系的組件、文件或代碼片段實(shí)體在本清單內(nèi)的標(biāo)識(shí)符；b）關(guān)系：描述關(guān)系類型，包括：-dependsOn：依賴-contain：包含-other：其他c）被依賴標(biāo)識(shí)：描述被依賴的組件、文件或代碼片段實(shí)體在本清單內(nèi)的標(biāo)識(shí)符。內(nèi)部依賴信息的各字段描述見表7。GB/TXXXXX—XXXX表7內(nèi)部依賴信息字段描述7.4外部依賴信息類別7.4.1類別概述外部依賴信息類別可根據(jù)實(shí)際情況選擇性的包括如下元素：a）外部網(wǎng)絡(luò)服務(wù)信息列表：為軟件運(yùn)行提供必要功能的外部網(wǎng)絡(luò)服務(wù)列表（例如：域名服務(wù)、CDN服務(wù)、郵件發(fā)送、短信發(fā)送、支付接口等包含服務(wù)名稱、可替代性、供應(yīng)商、服務(wù)環(huán)境、服務(wù)數(shù)據(jù)等信息；b）基礎(chǔ)環(huán)境信息列表：支撐軟件運(yùn)行的數(shù)據(jù)庫(kù)管理系統(tǒng)、web應(yīng)用框架、中間件、操作系統(tǒng)、BIOS等基礎(chǔ)運(yùn)行環(huán)境的列表，包含基礎(chǔ)環(huán)境名稱、版本、可替代性、供應(yīng)商等信息；c）開發(fā)工具信息列表：能夠生成或影響最終軟件代碼的開發(fā)工具的列表，例如：編譯器、構(gòu)建工具、配置管理工具等，包含開發(fā)工具名稱、版本、用途等信息。7.4.2外部網(wǎng)絡(luò)服務(wù)信息外部網(wǎng)絡(luò)服務(wù)包括如下字段：a）服務(wù)標(biāo)識(shí)：外部網(wǎng)絡(luò)服務(wù)在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）服務(wù)名稱：外部網(wǎng)絡(luò)服務(wù)的中英文名稱；c）可替代性：是否存在其他的供應(yīng)商能提供相同功能的外部網(wǎng)絡(luò)服務(wù)，包括-true：存在-false：不存在d）供應(yīng)商：外部網(wǎng)絡(luò)服務(wù)供應(yīng)商的注冊(cè)名稱，如果可替代性取值為“false”，本字段為必選項(xiàng)；e）所屬區(qū)域：外部網(wǎng)絡(luò)服務(wù)供應(yīng)商注冊(cè)地所屬國(guó)家省市名稱，格式為“國(guó)家-[省]-市”，最小區(qū)域至城市，例如：“中國(guó)-北京”和“中國(guó)-廣東-深圳”，如果可替代段為必選項(xiàng)；f）服務(wù)地址：服務(wù)端的URL地址，如果可替代性取值為“false”，本字段為必選項(xiàng)；g）服務(wù)環(huán)境：服務(wù)端所在地理位置區(qū)域，如果可替代性取值為“false”，本字段為必選項(xiàng)，包括：-domestic：國(guó)內(nèi)計(jì)算環(huán)境-overseas：國(guó)外計(jì)算環(huán)境h）服務(wù)協(xié)議：服務(wù)使用的網(wǎng)絡(luò)應(yīng)用協(xié)議的名稱，例如：HTTP、SMTP、DNS等；i）數(shù)據(jù)描述：對(duì)服務(wù)傳輸?shù)拿舾袛?shù)據(jù)內(nèi)容的描述。外部網(wǎng)絡(luò)服務(wù)信息的各字段描述見表8。GB/TXXXXX—XXXX表8外部網(wǎng)絡(luò)服務(wù)信息字段描述7.4.3基礎(chǔ)環(huán)境信息基礎(chǔ)環(huán)境信息包括如下字段：a）基礎(chǔ)環(huán)境標(biāo)識(shí)：基礎(chǔ)環(huán)境軟件在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）基礎(chǔ)環(huán)境名稱：可用于識(shí)別基礎(chǔ)環(huán)境軟件的名稱；c）基礎(chǔ)環(huán)境版本：基礎(chǔ)環(huán)境軟件的版本編號(hào)；d）可替代性：軟件是否支持其他供應(yīng)商提供的相同功能的基礎(chǔ)環(huán)境軟件，包括：-true：支持-false：不支持e）供應(yīng)商：基礎(chǔ)環(huán)境軟件供應(yīng)商的注冊(cè)名稱，如果可替代性取值為“false”，本字段為必選項(xiàng)；f）所屬區(qū)域：外部網(wǎng)絡(luò)服務(wù)供應(yīng)商注冊(cè)地所屬國(guó)家省市名稱，格式為“國(guó)家-[省]-市”，最小區(qū)域至城市，例如：“中國(guó)-北京”和“中國(guó)-廣東-深圳”，如果可替代性取值為“段為必選項(xiàng)?；A(chǔ)環(huán)境信息的各字段描述見表9。表9基礎(chǔ)環(huán)境信息字段描述7.4.4開發(fā)工具信息GB/TXXXXX—XXXX開發(fā)工具信息包括如下字段：a）工具標(biāo)識(shí)：開發(fā)工具在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）工具名稱：開發(fā)工具的名稱；c）工具類型：開發(fā)工具的類型說明，例如：代碼編輯器、配置管理工具、需求跟蹤工具、代碼倉(cāng)庫(kù)、持續(xù)集成/部署工具、包管理器、容器工具等；d）工具版本：開發(fā)工具的版本編號(hào)；e）用途描述：使用開發(fā)工具完成開發(fā)工作內(nèi)容的簡(jiǎn)要說明。開發(fā)工具信息的各字段描述見表10。表10開發(fā)工具信息字段描述7.5安全信息類別7.5.1類別概述安全信息類別應(yīng)包括如下元素：a）生命周期維護(hù)中斷風(fēng)險(xiǎn)列表：軟件生命周期中可能發(fā)生的維護(hù)服務(wù)終止的風(fēng)險(xiǎn)列表，包含中斷類型、描述、預(yù)計(jì)中斷時(shí)間、處置情況等信息?？筛鶕?jù)實(shí)際情況選擇性包括如下元素：a）網(wǎng)絡(luò)服務(wù)接口信息列表：軟件提供的可被訪問或調(diào)用的網(wǎng)絡(luò)服務(wù)接口列表，包含接口描述、協(xié)議、地址、請(qǐng)求方式等信息；b）補(bǔ)丁信息列表：從軟件發(fā)布到生成軟件物料清單期間為了修復(fù)問題和漏洞、優(yōu)化性能而發(fā)布的補(bǔ)丁列表，包含補(bǔ)丁名稱、原廠標(biāo)識(shí)、用途描述等信息；c）許可證信息列表：軟件及其組件和代碼片段中使用的許可證列表，包含許可證名稱、內(nèi)容、風(fēng)險(xiǎn)等信息；d）安全漏洞列表：生成清單之前已修復(fù)的組件安全漏洞信息列表，包含漏洞名稱、相關(guān)編號(hào)、影響對(duì)象、修復(fù)情況等信息；e）配置風(fēng)險(xiǎn)列表：從軟件發(fā)布到生成軟件物料清單期間發(fā)現(xiàn)的軟件默認(rèn)配置項(xiàng)可能存在的已知配置風(fēng)險(xiǎn)信息列表，包含風(fēng)險(xiǎn)名稱、受影響配置項(xiàng)、處置建議等信息。7.5.2網(wǎng)絡(luò)服務(wù)接口信息網(wǎng)絡(luò)服務(wù)接口信息包括如下字段：a）接口標(biāo)識(shí)：接口在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）接口類型：接口的類型，例如：Restful、RPC等；c）接口描述：描述接口調(diào)用方法和具體功能的信息；d）接口必要性：接口對(duì)軟件在當(dāng)前配置狀態(tài)下正常使用的必要性說明，包括：-true：必要GB/TXXXXX—XXXX-false：非必要e）請(qǐng)求方式：接口的請(qǐng)求方式，例如：GET、POST、HEAD等，接口類型為“Restful”時(shí)，此字段為必選項(xiàng)；f）接口地址：接口訪問URL地址，可以有一個(gè)或多個(gè)接口地址，接口類型為“Restful”時(shí)，此字段為必選項(xiàng)；g）方法簽名：接口在代碼中的入口點(diǎn)函數(shù)名和參數(shù)列表，接口類型為“Restful”時(shí)，此字段為必選項(xiàng)。網(wǎng)絡(luò)服務(wù)接口信息的各字段描述見表11。表11網(wǎng)絡(luò)服務(wù)接口信息字段描述7.5.3補(bǔ)丁信息補(bǔ)丁信息包括如下字段：a）補(bǔ)丁標(biāo)識(shí)：補(bǔ)丁在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）補(bǔ)丁名稱：可用于識(shí)別補(bǔ)丁的名稱；c）發(fā)布日期：公開發(fā)布補(bǔ)丁的日期，日期格式為“YYYY-MM-DD”；d）原廠標(biāo)識(shí)：軟件原始供應(yīng)商維護(hù)的補(bǔ)丁唯一標(biāo)識(shí)符；e）補(bǔ)丁地址：下載補(bǔ)丁的URL地址；f）用途描述：補(bǔ)丁更新內(nèi)容等說明信息；g）補(bǔ)丁清單文件：補(bǔ)丁配套的軟件物料清單文件名稱，應(yīng)為每個(gè)補(bǔ)丁文件建立軟件物料清單。補(bǔ)丁信息的各字段描述見表12。表12補(bǔ)丁信息字段描述表12（續(xù)）GB/TXXXXX—XXXX7.5.4許可證信息許可證信息包括如下字段：a）許可證標(biāo)識(shí)：許可證在軟件物料清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）許可證名稱：軟件、組件、文件使用的許可證名稱，許可證名稱應(yīng)與軟件信息、組件信息、文件信息中的licenseName字段值一一對(duì)應(yīng)；c）下載鏈接：獲取許可證信息的URL地址；d）許可方：授予許可證的個(gè)人或組織的名稱，本字段適用于商用許可證；e）被許可方：被授予許可證的個(gè)人或組織的名稱，本字段適用于商用許可證；f）到期日期：商用許可證有效期最后一天的日期，日期格式為“YYYY-MM-DD”，如果是永久有效，本字段應(yīng)填“permanent”，本字段適用于商用許可證；g）條款約束：使用者的權(quán)利和義務(wù)的詳細(xì)描述；h）適用范圍：許可證適用地理區(qū)域范圍，例如：“全球”；i）專利權(quán)：許可證是否包含授予專利許可的聲明，包括：-true：包含-false：不包含j）風(fēng)險(xiǎn)描述：許可證的風(fēng)險(xiǎn)信息的詳細(xì)描述，例如：違規(guī)使用許可證的行為和可能造成的影響。許可證信息的各字段描述見表13。表13許可證信息字段描述7.5.5安全漏洞安全漏洞包括如下字段：a）漏洞標(biāo)識(shí)：漏洞在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）漏洞名稱：漏洞信息的概括性描述；GB/TXXXXX—XXXXc）影響對(duì)象：存在漏洞的組件在清單范圍內(nèi)的標(biāo)識(shí)符；d）相關(guān)編號(hào)：漏洞發(fā)布平臺(tái)提供的漏洞編號(hào)，例如：“CNVD-2023-27109”,可以有多個(gè)相關(guān)編號(hào)；e）修復(fù)情況：修復(fù)組件漏洞采取的措施說明，包括：-codelevel：代碼級(jí)修復(fù)-patchrepair:使用補(bǔ)丁修復(fù)-other：其他緩解措施安全漏洞的各字段描述見表14。表14安全漏洞字段描述7.5.6配置風(fēng)險(xiǎn)配置風(fēng)險(xiǎn)包括如下字段：a）配置風(fēng)險(xiǎn)標(biāo)識(shí)：配置風(fēng)險(xiǎn)在軟件物料清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）配置風(fēng)險(xiǎn)名稱：描述配置風(fēng)險(xiǎn)的簡(jiǎn)短的中文名稱；c）配置項(xiàng)：存在安全風(fēng)險(xiǎn)的配置項(xiàng)及其默認(rèn)取值的描述；d）處置建議：配置風(fēng)險(xiǎn)處置建議的描述；e）檢測(cè)工具：推薦的配置風(fēng)險(xiǎn)檢測(cè)工具名稱；f）相關(guān)鏈接：可獲取配置風(fēng)險(xiǎn)詳細(xì)信息的URL地址。配置風(fēng)險(xiǎn)的各字段描述見表15。表15配置風(fēng)險(xiǎn)字段描述7.5.7生命周期維護(hù)中斷風(fēng)險(xiǎn)生命周期維護(hù)中斷風(fēng)險(xiǎn)包括如下字段：a）中斷標(biāo)識(shí)：中斷風(fēng)險(xiǎn)的在清單范圍內(nèi)的唯一標(biāo)識(shí)符；b）中斷類型：說明引起中斷的具體原因，包括：GB/TXXXXX—XXXX-authorizationexpires：證書授權(quán)到期-notupdated：長(zhǎng)期未更新-stopupdating：停止更新-singlesource：有且只有唯一高風(fēng)險(xiǎn)供應(yīng)商-others：其他c）影響對(duì)象：受中斷風(fēng)險(xiǎn)影響的組件、外部網(wǎng)絡(luò)服務(wù)、基礎(chǔ)環(huán)境在清單范圍內(nèi)的標(biāo)識(shí)；d）風(fēng)險(xiǎn)描述：中斷風(fēng)險(xiǎn)的詳細(xì)說明；e）預(yù)計(jì)中斷時(shí)間：可能發(fā)生中斷事件的具體時(shí)間，格式為“YYYY-MM-DDTHH:mm:ssZ”；f）處置情況：針對(duì)存在生命周期維護(hù)中斷風(fēng)險(xiǎn)的外部組件，供應(yīng)商是否能夠在中斷事件發(fā)生后繼續(xù)提供運(yùn)維服務(wù)的說明，包括：-true：能夠繼續(xù)提供運(yùn)維服務(wù)-false：不能繼續(xù)提供運(yùn)維服務(wù)生命周期維護(hù)中斷風(fēng)險(xiǎn)的各字段描述見表16。表16生命周期維護(hù)中斷風(fēng)險(xiǎn)字段描述7.6擴(kuò)展信息類別7.6.1類別概述擴(kuò)展信息類別可根據(jù)實(shí)際情況選擇性的包括本文件中未定義的其他物料信息列表，包括擴(kuò)展信息的屬性名稱和屬性值。7.6.2擴(kuò)展信息擴(kuò)展信息包括如下字段：a）屬性名稱：自定義的屬性名稱；b）屬性值：屬性的具體取值。擴(kuò)展信息的各字段描述見表17。表17擴(kuò)展信息字段描述GB/TXXXXX—XXXX7.7簽名信息類別7.7.1類別概述安全信息類別應(yīng)包括軟件物料清單的簽名信息，對(duì)清單所有內(nèi)容的進(jìn)行數(shù)字簽名，并提供簽名文件和數(shù)字證書文件信息。7.7.2簽名信息簽名信息包括如下字段：a）簽名文件：保存簽名后的摘要信息的文件名稱，簽名文件應(yīng)與軟件物料清單同時(shí)交付；b）數(shù)字證書文件：保存用于驗(yàn)簽的數(shù)字證書的文件名稱。簽名信息的各字段描述見表18。表18簽名信息字段描述GB/TXXXXX—XXXX附錄A軟件物料清單必要字段軟件物料清單必要字段如表A.1所示。表A.1軟件物料清單必要字段GB/TXXXXX—XXXX表A.1（續(xù)）GB/TXXXXX—XXXX軟件物料清單實(shí)例參考B.1軟件信息JSON格式示例：a）定制化開發(fā)或商業(yè)采購(gòu)軟件：{"software":{"softwareName":"MyApp","softwareVersion":"1.2.0","integrity":{"hashAlg":"MD5","messageDigest":"fc3aa394c8787e019eda27be38d65cdf""supplier":{"supplierName":"supplierA","supplierType":"agent","area":"China","developer":"developerA",}"licenseName":"CommercialAgreementA""authorizationTerm":"2024-11-11"}{"software":{"softwareName":"MyApp","softwareVersion":"1.2.0","integrity":{"hashAlg":"MD5","messageDigest":"fc3aa394c8787e019eda27be38d65cdf""acquisitionChannel":"openSourceCommunity","licenseName":"Apache-2.0"}GB/TXXXXX—XXXXB.2清單信息JSON格式示例：{"document":{"formatName":"SBOMDF","formatVersion":"1.0","serialNumber":"urn:uuid:f47ac10b-58cc-4372-a567-0e02b2c3d479","lifecycle":"commit","timestamp":"2024-01-1010:00:00","authors":"SBOMDFCreatorA","createTools":"AutomationToolv2.1","downloadUrl":"/download/sbom"}}B.3組件信息JSON格式示例：a）定制化開發(fā)或商業(yè)采購(gòu)軟件：{"components":[{"componentId":"lib-001","componentName":"LoggingLibrary","componentVersion":"v2.5","componentDescription":"Libraryforapplicationlogging.","selfDevelopedProportion":"none","regIdentifier":"cpe:/a:microsoft:sql_server:6.5","importance":"核心組件","security":"經(jīng)過三方機(jī)構(gòu)安全檢測(cè)","supplier":{"supplierName":"supplierA","supplierType":"integrator","area":"China","developer":"developerA",}"language":"Java","licenseName":"CommercialAgreementB","downloadUrl":"/log-lib","homePgaeUrl":"","completeness":"known",GB/TXXXXX—XXXX"integrity":{"hashAlg":"MD5","messageDigest":"d41d8cd98f00b204e9800998ecf8427e"}}{"components":[{"componentId":"lib-001","componentName":"LoggingLibrary","componentVersion":"v2.5","componentDescription":"Libraryforapplicationlogging.","selfDevelopedProportion":"none","regIdentifier":"cpe:/a:microsoft:sql_server:6.5","importance":"核心組件","security":"經(jīng)過開源社區(qū)安全審查","acquisitionChannel":"openSourceCommunity","language":"Java","licenseName":"ApacheLicense2.0","downloadUrl":"/log-lib","homePgae":"","completeness":"known","integrity":{"hashAlg":"MD5","messageDigest":"d41d8cd98f00b204e9800998ecf8427e"}]}B.4文件信息JSON格式示例：{{"fileId":"file-001","fileName":"syslog.java",GB/TXXXXX—XXXX"filePath":"/src/com/myapp/syslog.java","purpose":"實(shí)現(xiàn)軟件日志信息生成的源代碼文件","integrity":{"hashAlg":"MD5","messageDigest":"03ac674216f3e15c761ee1a5e255f067"}B.5代碼片段信息JSON格式示例：{{"snippetId":"snippet-001","snippetFile":"/src/com/myapp/Main.java","byteStartPointer":100,"byteEndPointer":200,"lineStartPointer":10,"lineEndPointer":20,"snippetSource":"OpensourceprojectA","snippetUrl":"http://www.OpenSourceC/projectA/homepage","licenseName":"ApacheLicense2.0","integrity":{"hashAlg":"MD5","messageDigest":"a8a06469b6d584543e5619746e3d62d4"}]}B.6內(nèi)部依賴信息JSON格式示例：{{"identityAId":"lib-001","relationship":"dependsOn","identityBId":"lib-002"GB/TXXXXX—XXXX{"identityAId":"file-001","relationship":"contains","identityBId":"snippet-001"]}B.7外部網(wǎng)絡(luò)服務(wù)信息JSON格式示例：{{"serviceId":"service-001","serviceName":"AuthenticationService","substitutability":false,"supplier":{"supplierName":"paymentserviceprovider","area":"China","serviceUrl":"/api","serviceArea":"國(guó)內(nèi)計(jì)算環(huán)境","serviceProtocol":"http","dataDescription":"包含電話、身份證、銀行卡號(hào)等個(gè)人隱私信息"}B.8基礎(chǔ)環(huán)境信息JSON格式示例：{{"assetId":"java-runtime","assetName":"JavaRuntimeEnvironment","assetVersion":"v8.0","substitutability":false,"source":"","supplier":{"supplierName":"Javaprovider","area":"China"GB/TXXXXX—XXXX}B.9開發(fā)工具信息JSON格式示例：{"developmentTools":[{"toolId":"tool-001","toolName":"IDE","toolType":"代碼編輯器","toolVersion":"v5.3","purpose":"編輯源代碼",}B.10網(wǎng)絡(luò)服務(wù)接口信息JSON格式示例：{"interfaces":[{"interfaceId":"INT-001","interfaceType":"Restful","description":"這是一個(gè)對(duì)外提供遠(yuǎn)程更新服務(wù)的外部接口","necessity":false,"requestMethod":"GET","interfaceAddress":"27/api/update","method":"update"]}B.11補(bǔ)丁信息JSON格式示例：{{GB/TXXXXX—XXXX"patchId":"patch-001","patchName":"SecurityUpdate","rele