2023年4月3日，由中國信通院主辦的“可信軟件物料清單（SBOM）主題沙龍”成功召開。會上發(fā)布了首批產(chǎn)品維度可信軟件物料清單能力評估結果，并邀請多位知名企業(yè)代表和技術專家圍繞軟件物料清單的發(fā)展趨勢、技術探索等發(fā)表了主題演講，為行業(yè)從業(yè)者帶來更具實踐價值的參考。

會議開始，由中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚致辭。栗蔚表示，軟件物料清單通過明確識別和詳細記錄軟件組件及其相互關系以提升軟件透明度，成為軟件供應鏈安全治理的重要抓手。目前，我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢，一是企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標準規(guī)范逐步完善，引導軟件物料清單建設工作有序開展。整體來說，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進產(chǎn)業(yè)共識將是日后工作重點。

中國信通院云大所持續(xù)開展軟件供應鏈安全相關研究工作，構建軟件供應鏈安全標準體系，牽頭編寫《軟件物料清單總體能力要求》標準，并依據(jù)標準開展評估工作。評估分為企業(yè)和產(chǎn)品兩大維度，圍繞過程可信、工具可信、結果可信三大原則建立可信軟件物料清單理念。企業(yè)維度明確構建完善的軟件物料清單管理平臺，將軟件物料清單納為企業(yè)資產(chǎn)管理，助力企業(yè)落地軟件物料清單體系建設。產(chǎn)品維度明確產(chǎn)品生成的軟件物料清單可信，助力需方企業(yè)進行選型參考。

本次評估從產(chǎn)品維度出發(fā)重點考察數(shù)據(jù)層能力要求，會上發(fā)布了最新評估結果（評估結果見下表1）。中國信通院后續(xù)將持續(xù)調(diào)研完善可信軟件物料清單評估細節(jié)指標項，測評企業(yè)范圍由供方企業(yè)向需方企業(yè)拓展，從供需雙方維度完善可信軟件物料清單理念。

會上中國信通院云大所開源和軟件安全部郭雪主任發(fā)布了“可信軟件物料清單（SBOM）深度洞察”，全面分析了軟件物料清單發(fā)展歷程，洞察產(chǎn)業(yè)現(xiàn)狀，幫助企業(yè)更好地將軟件物料清單引入軟件供應鏈安全建設中。未來，中國信通院將繼續(xù)推進軟件物料清單技術、應用等相關研究，完善軟件供應鏈安全標準體系和系列評估。

中國信通院云大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》標準進行解讀，標準從數(shù)據(jù)層、生成層、交付層、應用層四大維度明確軟件物料清單要求。他指出，標準一方面規(guī)定了軟件物料清單最小數(shù)據(jù)要素，另一方面為軟件供應鏈攻擊的快速定位和響應指明方向，助力降低網(wǎng)絡安全事件風險隱患。

此外，會議還邀請華為、奇安信、懸鏡安全、綠盟等企業(yè)專家、技術代表進行深具實踐價值的精彩分享。未來，中國信通院將繼續(xù)與產(chǎn)業(yè)各方展開更加緊密的合作，通過制定相關標準、舉辦活動論壇等，推動軟件物料清單生態(tài)安全、有序、健康發(fā)展。