中国信通院“可信软件物料清单（SBOM）主题沙龙”召开

　　4月3日，由中国信通院主办的“可信软件物料清单（SBOM）主题沙龙”召开。会上发布了首批产品维度可信软件物料清单能力评估结果，并邀请多位知名企业代表和技术专家围绕软件物料清单的发展趋势、技术探索等发表了主题演讲，为行业从业者带来更具实践价值的参考。

　　中国信通院云计算与大数据研究所副所长栗蔚表示，软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，成为软件供应链安全治理的重要抓手。

　　栗蔚说，目前，我国软件物料清单发展呈现三大态势，一是企业基于安全合规需求，积极探索软件物料清单实践。二是厂商积极布局软件物料清单配套生成工具。三是标准规范逐步完善，引导软件物料清单建设工作有序开展。整体来说，我国软件物料清单建设仍处于初期阶段，建立健全软件物料清单数据规范、发展完善配套工具、推进产业共识将是日后工作重点。

　　据介绍，中国信通院云大所持续开展软件供应链安全相关研究工作，构建软件供应链安全标准体系，牵头编写《软件物料清单总体能力要求》标准，并依据标准开展评估工作。评估分为企业和产品两大维度，围绕过程可信、工具可信、结果可信三大原则建立可信软件物料清单理念。企业维度明确构建完善的软件物料清单管理平台，将软件物料清单纳为企业资产管理，助力企业落地软件物料清单体系建设。产品维度明确产品生成的软件物料清单可信，助力需方企业进行选型参考。

　　本次评估从产品维度出发重点考察数据层能力要求，会上发布了最新评估结果。中国信通院后续将持续调研完善可信软件物料清单评估细节指标项，测评企业范围由供方企业向需方企业拓展，从供需双方维度完善可信软件物料清单理念。

　　会上，中国信通院云大所开源和软件安全部郭雪主任发布了“可信软件物料清单（SBOM）深度洞察”，全面分析了软件物料清单发展历程，洞察产业现状，帮助企业更好地将软件物料清单引入软件供应链安全建设中。据了解，未来，中国信通院将继续推进软件物料清单技术、应用等相关研究，完善软件供应链安全标准体系和系列评估。