中新網(wǎng)4月3日電 題：提升軟件供應(yīng)鏈透明度 中國(guó)信通院推廣“可信軟件物料清單”理念

　　中新財(cái)經(jīng)記者 劉育英

　　4月3日，在中國(guó)信息通信研究院主辦的“可信軟件物料清單(SBOM)主題沙龍”上，中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所副所長(zhǎng)栗蔚表示，我國(guó)軟件物料清單建設(shè)仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進(jìn)產(chǎn)業(yè)共識(shí)將是日后工作重點(diǎn)。

　　栗蔚介紹，軟件物料清單通過明確識(shí)別和詳細(xì)記錄軟件組件及其相互關(guān)系以提升軟件透明度，成為軟件供應(yīng)鏈安全治理的重要抓手。目前，我國(guó)軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢(shì)：企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實(shí)踐；廠商積極布局軟件物料清單配套生成工具；標(biāo)準(zhǔn)規(guī)范逐步完善，引導(dǎo)軟件物料清單建設(shè)工作有序開展。

　　據(jù)了解，目前，美國(guó)和歐盟都出臺(tái)了SBOM相關(guān)政策以及法規(guī)。其意義和價(jià)值在于，一方面SBOM可以有效地提升軟件的透明度，可以更快、更有效地識(shí)別受攻擊的組件；另一方面，SBOM可以提高供應(yīng)商自身的競(jìng)爭(zhēng)力，發(fā)生相關(guān)安全風(fēng)險(xiǎn)事件之后能夠快速地處理和響應(yīng)，同時(shí)高效地識(shí)別相關(guān)風(fēng)險(xiǎn)。

　　栗蔚表示，整體來說，我國(guó)軟件物料清單建設(shè)仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進(jìn)產(chǎn)業(yè)共識(shí)將是日后工作重點(diǎn)。

　　中國(guó)信通院云大所持續(xù)開展軟件供應(yīng)鏈安全相關(guān)研究工作，構(gòu)建軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系，牽頭編寫《軟件物料清單總體能力要求》標(biāo)準(zhǔn)，并依據(jù)標(biāo)準(zhǔn)開展評(píng)估工作。

　　中國(guó)信通院當(dāng)日發(fā)布了首批產(chǎn)品維度可信軟件物料清單能力評(píng)估結(jié)果，北京安普諾信息技術(shù)有限公司(懸鏡安全) 的懸鏡源鑒SCA開源威脅管控平臺(tái)(V4.0) 、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司 的奇安信網(wǎng)神開源衛(wèi)士系統(tǒng)(V2.0) 、用友網(wǎng)絡(luò)科技股份有限公司的YonBIP高級(jí)版V3 (R1_2207_1) 通過評(píng)估。(完)