信通院发布《软件物料清单实践指南》(附全文)

软件物料清单（SBOM）通过提高软件全生命周期对利益相关方的可见性来提高漏洞和许可管理能力，目前已成为国际公认的重要方法论。Gartner预测，到2025年，60%负责开发关键基础设施相关软件的组织将在其软件工程实践中强制使用标准化的SBOM，我们正在见证SBOM被认可和发挥作用的未来。

为指导SBOM在我国高质量落地实践，提高我国相关企业的国际竞争力，中国信息通信研究院（以下简称“中国信通院”）联合中国联通，协同来自多家机构的专家学者开展系统研究，发布《软件物料清单实践指南》（以下简称“《指南》”）。《指南》从10个重要维度展开论述，为有效推动企业展开落地实践指明了方向。

《指南》框架如下：

● 总体介绍

诞生背景

代表工作

定义内涵

● 价值用例

软件透明度的价值

SBOM的价值

SBOM的用例

● 组成要素

数据字段

自动化支持

实践流程

● 格式与工具

SPDX

CycloneDX

SWID

● 生命周期

生成

交付

使用

验证

● 常见问答

优势

误解与事实

创建与维护

共享与交付

● 知识产权与保密

● 选择与决策

● 行业实践

● 未来发展趋势

统一软件标识

优化共享途径

信息技术赋能

受信第三方支持

关联硬件数据

建立通用标准

《指南》内容如下：

后续，中国信通院将继续组织推进SBOM的落地试点工作，以开源软件为切入点，着力打通工具格式应用、与外部数据库接入等技术堵点，提高可见性、透明度，推动网络风险高效治理。欢迎有意向的企事业单位、组织团体与我们联系！

声明：本文来自中国信通院CAICT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。