2023 年 4 月 3 日,由中國信通院主辦的 " 可信軟件物料清單(SBOM)主題沙龍 " 成功召開。會上發布了首批産品維度可信軟件物料清單能力評估結果,并邀請多位知名企業代表和技術專家圍繞軟件物料清單的發展趨勢、技術探索等發表了主題演講,爲行業從業者帶來更具實踐價值的參考。
中國信通院雲計算與大數據研究所副所長栗蔚緻辭(圖 1)
會議開始,由中國信通院雲計算與大數據研究所副所長栗蔚緻辭。栗蔚表示,軟件物料清單通過明确識别和詳細記錄軟件組件及其相互關系以提升軟件透明度,成爲軟件供應鏈安全治理的重要抓手。目前,我國軟件物料清單發展呈現三大态勢,一是企業基于安全合規需求,積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是标準規範逐步完善,引導軟件物料清單建設工作有序開展。整體來說,我國軟件物料清單建設仍處于初期階段,建立健全軟件物料清單數據規範、發展完善配套工具、推進産業共識将是日後工作重點。
可信軟件物料清單 SBOM 評估(圖 2)
中國信通院雲大所持續開展軟件供應鏈安全相關研究工作,構建軟件供應鏈安全标準體系,牽頭編寫《軟件物料清單總體能力要求》标準,并依據标準開展評估工作。評估分爲企業和産品兩大維度,圍繞過程可信、工具可信、結果可信三大原則建立可信軟件物料清單理念。企業維度明确構建完善的軟件物料清單管理平台,将軟件物料清單納爲企業資産管理,助力企業落地軟件物料清單體系建設。産品維度明确産品生成的軟件物料清單可信,助力需方企業進行選型參考。
首批産品維度可信軟件物料清單 SBOM 評估結果發布(圖 3)
本次評估從産品維度出發重點考察數據層能力要求,會上發布了最新評估結果(評估結果見下表 1)。中國信通院後續将持續調研完善可信軟件物料清單評估細節指标項,測評企業範圍由供方企業向需方企業拓展,從供需雙方維度完善可信軟件物料清單理念。
表 1 可信軟件物料清單 SBOM 評估結果
中國信通院雲大所開源和軟件安全部郭雪主任發表主題演講(圖 4)
會上中國信通院雲大所開源和軟件安全部郭雪主任發布了 " 可信軟件物料清單(SBOM)深度洞察 ",全面分析了軟件物料清單發展曆程,洞察産業現狀,幫助企業更好地将軟件物料清單引入軟件供應鏈安全建設中。未來,中國信通院将繼續推進軟件物料清單技術、應用等相關研究,完善軟件供應鏈安全标準體系和系列評估。
中國信通院雲計算與大數據研究所開源和軟件安全部吳江偉解讀标準(圖 5)
中國信通院雲大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》标準進行解讀,标準從數據層、生成層、交付層、應用層四大維度明确軟件物料清單要求。他指出,标準一方面規定了軟件物料清單最小數據要素,另一方面爲軟件供應鏈攻擊的快速定位和響應指明方向,助力降低網絡安全事件風險隐患。
行業專家軟件物料清單主題分享(圖 6)
此外,會議還邀請華爲、奇安信、懸鏡安全、綠盟等企業專家、技術代表進行深具實踐價值的精彩分享。未來,中國信通院将繼續與産業各方展開更加緊密的合作,通過制定相關标準、舉辦活動論壇等,推動軟件物料清單生态安全、有序、健康發展。