国家工信安全中心发布软件物料清单 (SBOM) 标准社区版

10月24日，国家工业信息安全发展研究中心（简称“国家工信安全中心”）正式发布软件物料清单（SBOM）标准——《软件物料清单构成和要求》，旨在规范软件开发过程中物料清单构成及相关要求，提高软件产品的质量和可维护性，促进软件产业健康发展，对于提升我国软件产业链供应链韧性和安全性水平具有重要意义。

进入数字化时代，软件已成为支撑经济社会正常运行的关键基础设施。软件开发模式逐步由闭源集约开发转变为开源规模化协作，软件供应链也愈发复杂多元，与此同时，漏洞缺陷、协议合规、供应链“投毒”等安全事件屡有发生，给软件供应链安全带来巨大挑战。

为加快推动我国软件物料清单体系建设，强化SBOM标准协同创新和应用推广，今年9月，国家工信安全中心依托“开源社区软件物料清单（SBOM）平台”国家专项，联合华为、中科院软件所等39家科研院所和行业企业，牵头建设“SBOM标准社区”，发起“SBOM筑链计划”，重点聚焦SBOM标准开源、技术攻关、应用实践等方面，共同探索SBOM的创新应用，加强软件供应链风险治理。

此次发布的SBOM标准，在借鉴国际先进经验的基础上，结合我国软件产业发展实际，明确了文档构成、数据字段、工具能力要求、管理和应用要求四部分内容，为业界提供了标准化的管理工具和方法，具有较强的实用性和可操作性。其中，文档构成部分主要阐述了已生成的SBOM清单本身的属性，包括名称、版本、时间戳、数据格式等内容。数据字段部分明确了表达SBOM信息的最基础字段，包括作者名称、依赖关系、组件版本、唯一标识符等；同时给定了部分额外字段，包括SBOM类型、组件描述、来源信息等。工具能力要求部分对SBOM相关工具的功能性能提出了具体要求，包括格式支持、生成深度等。管理和应用要求部分对SBOM的应用推广以及具体管理提出了详细要求，包括覆盖范围、版本管理、采用类型等。

未来，我中心将继续深化与产业各方的交流与合作，依托SBOM标准社区，通过组建兴趣小组、召开技术交流会等方式，不断推进SBOM相关标准更新和工具迭代，加速研究成果在更多领域应用。欢迎大家积极参与SBOM标准社区活动，共同推动开源技术和SBOM应用创新发展。

扫描或登录网页可查看标准全文及SBOM标准社区相关内容。

https://sbom.atomgit.com/

投稿部门：软件所

声明：本文来自国家工业信息安全发展研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。