2023年4月3日，由中国信通院主办的“可信软件物料清单（SBOM）主题沙龙”成功召开。会上发布了首批产品维度可信软件物料清单能力评估结果，并邀请多位知名企业代表和技术专家围绕软件物料清单的发展趋势、技术探索等发表了主题演讲，为行业从业者带来更具实践价值的参考。

中国信通院云计算与大数据研究所副所长栗蔚致辞（图1）

会议开始，由中国信通院云计算与大数据研究所副所长栗蔚致辞。栗蔚表示，软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，成为软件供应链安全治理的重要抓手。目前，我国软件物料清单发展呈现三大态势，一是企业基于安全合规需求，积极探索软件物料清单实践。二是厂商积极布局软件物料清单配套生成工具。三是标准规范逐步完善，引导软件物料清单建设工作有序开展。整体来说，我国软件物料清单建设仍处于初期阶段，建立健全软件物料清单数据规范、发展完善配套工具、推进产业共识将是日后工作重点。

可信软件物料清单SBOM评估（图2）

中国信通院云大所持续开展软件供应链安全相关研究工作，构建软件供应链安全标准体系，牵头编写《软件物料清单总体能力要求》标准，并依据标准开展评估工作。评估分为企业和产品两大维度，围绕过程可信、工具可信、结果可信三大原则建立可信软件物料清单理念。企业维度明确构建完善的软件物料清单管理平台，将软件物料清单纳为企业资产管理，助力企业落地软件物料清单体系建设。产品维度明确产品生成的软件物料清单可信，助力需方企业进行选型参考。

首批产品维度可信软件物料清单SBOM评估结果发布（图3）

本次评估从产品维度出发重点考察数据层能力要求，会上发布了最新评估结果（评估结果见下表1）。中国信通院后续将持续调研完善可信软件物料清单评估细节指标项，测评企业范围由供方企业向需方企业拓展，从供需双方维度完善可信软件物料清单理念。

表1 可信软件物料清单SBOM评估结果

中国信通院云大所开源和软件安全部郭雪主任发表主题演讲（图4）

会上中国信通院云大所开源和软件安全部郭雪主任发布了“可信软件物料清单（SBOM）深度洞察”，全面分析了软件物料清单发展历程，洞察产业现状，帮助企业更好地将软件物料清单引入软件供应链安全建设中。未来，中国信通院将继续推进软件物料清单技术、应用等相关研究，完善软件供应链安全标准体系和系列评估。

中国信通院云计算与大数据研究所开源和软件安全部吴江伟解读标准（图5）

中国信通院云大所开源和软件安全部工程师吴江伟针对《软件物料清单总体能力要求》标准进行解读，标准从数据层、生成层、交付层、应用层四大维度明确软件物料清单要求。他指出，标准一方面规定了软件物料清单最小数据要素，另一方面为软件供应链攻击的快速定位和响应指明方向，助力降低网络安全事件风险隐患。

行业专家软件物料清单主题分享（图6）

此外，会议还邀请华为、奇安信、悬镜安全、绿盟等企业专家、技术代表进行深具实践价值的精彩分享。未来，中国信通院将继续与产业各方展开更加紧密的合作，通过制定相关标准、举办活动论坛等，推动软件物料清单生态安全、有序、健康发展。

业务联系人：

吴江伟 18810541612 wujiangwei@caict.ac.cn

王媛媛 18652930342 wangyuanyuan@caict.ac.cn