软件物料清单（SBOM）发展 洞察报告 （2023年） 云计算开源产业联盟 OpenSource Cloud Alliance for industry，OSCAR 2023年8月 版权声明 本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。 编制人员：王媛媛、吴江伟、郭雪、刘帅、张锐刚、郑志强、郑杭杰，钟志军，成涛、曾林青、高晟，傅逍螣，陶天一，孙肖仪，杨威、董国伟、张淼、严雪伦、子芽、王雪松、陈曙光、王玮琪，刘军、杨剑、徐锋，朱雅汶，刘永瑞、张达、但吉兵，王媛媛，魏弋钧、滕召智，梁尧、高尉峰，白婧婧，李博、胡晓娜，闫小涛，冯飞，王佳敏、陈曦、周杰明、沈凯文，王书辉，夏营、胡向亮、王盛昱 报告在编写过程中，历经概念策划、提纲设计、内容起草、征求意见等阶段，得到了诸多单位的大力支持，包括：中国信息通信研究院云计算与大数据研究所、华为云计算技术有限公司、建信金融科技有限责任公司、阿里云计算有限公司、蚂蚁科技集团股份有限公司、奇安信网神信息技术（北京）股份有限公司、华为技术有限公司、悬镜安全、深圳开源互联网安全技术有限公 oMpMmQoPxVxVyWtMnRmRoQqPaQbPbRnPpPpNpMkPmMzReRsQwP8OmNrQuOqNqRMYsPtR 司、联通软件研究院、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、杭州孝道科技有限公司、中电金信软件有限公司、苏州棱镜七彩信息科技有限公司、OpenSDV汽车软件开源联盟、中移系统集成有限公司、三六零数字安全科技集团有限公司、北京奇虎科技有限公司、深圳奥思网络科技有限公司（开源中国）、北京云起无垠科技有限公司、杭州安恒信息技术股份有限公司，在此一并致谢。 引 言 软件物料清单（SBOM）指软件成分列表，列出了软件组件、有关这些组件的信息以及它们之间的依赖关系。近年来软件供应链安全事件频发，提高软件供应链透明度，规避软件供应链安全问题成为业界关注热点与共同诉求。软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，成为软件供应链安全治理的重要抓手。目前，越来越多的企业意识到维护软件供应链安全的重要性，并在软件物料清单技术、工具和实践等多方面进行探索。在此背景下，搭建软件物料清单理论体系，构建可信软件物料清单理念，为企业落地软件物料清单体系提供行之有效的建设路径刻不容缓。 本报告首先明确软件物料清单基本概念，系统梳理国内外软件物料清单发展现状。其次，围绕供需双方视角剖析企业落地建设软件物料清单体系面临的挑战并提出对策建议。此外，针对现阶段企业面临缺乏统一规范的标准指导其落地建设软件物料清单的难题，本报告从构建者视角出发，搭建可信软件物料清单建设模型，涵盖管理层、数据层、生成层、交付层四大维度，为企业落地建设软件物料清单体系提供参考，并分析落地成效。最后，结合当前现状初步研判软件物料清单未来的发展趋势和方向。 目 录 一、软件物料清单明确软件组成及依赖关系，助力降低软件供应链安全风险 .... 1 （一）软件物料清单明确软件组成及依赖关系 ................................................. 1 （二）软件物料清单旨在加强软件供应链安全管理 ......................................... 2 二、各国积极探索软件物料清单理论应用研究 ........................................................ 3 （一）全球重点国家和企业组织积极推进软件物料清单理论研究 ................. 3 （二）国际标准及相关组织逐步建立软件物料清单标准格式共识 ................. 7 （三）美国及欧盟陆续推动软件物料清单应用实践 ....................................... 11 （四）我国初步探索软件物料清单相关研究 ................................................... 13 三、落地软件物料清单建设面临的挑战和对策建议 .............................................. 14 （一）企业落地建设软件物料清单体系面临多重挑战 ................................... 14 （二）促进企业落地建设软件物料清单体系的对策建议 ............................... 17 四、搭建可信软件物料清单建设模型，助力企业安全管控 .................................. 21 （一）可信软件物料清单建设模型 ................................................................... 23 （二）软件物料清单多角度助力企业安全管控 ............................................... 27 五、软件物料清单发展趋势展望 .............................................................................. 30 附录 软件物料清单企业落地实践 ............................................................................ 32 （一）建信金科：基于IED插件的软件物料清单（SBOM）管理实践....... 32 （二）联通软研院：软件物料清单（SBOM）建设实践 ............................... 35 图 目 录 图 1 软件物料清单树状概念图 ................................................................................ 20 图 2 软件物料清单实践使用率 ................................................................................ 22 图 3 可信软件物料清单建设模型 ............................................................................ 23 图 4 软件物料清单最小数据要素1 ......................................................................... 24 图 5 软件物料清单最小数据要素2 ......................................................................... 25 表 目 录 表 1 软件物料清单数据字段及说明 .......................................................................... 2 表 2 软件物料清单最小元素 ...................................................................................... 6 表 3 CycloneDX数据类型 ........................................................................................ 10 表 4 软件物料清单表状概念图 ................................................................................ 19 云计算开源产业联盟 软件物料清单（SBOM）发展洞察报告（2023） 1 一、软件物料清单明确软件组成及依赖关系，助力降低软件供应链安全风险 （一）软件物料清单明确软件组成及依赖关系 软件物料清单（SBOM, Software Bill of Materials）概念最早是由美国国会众议院在2014年引入的一份名为《网络供应链管理与透明度法案》的提案中正式提出。2018年，美国商务部国家电信和信息管理局（NTIA）针对提高软件组件透明度发起了一个网络安全计划，目标是培育一个软件组件透明度更高的市场，建立并推广软件物料清单体系，“软件物料清单”这一概念正式问世。软件供应链攻击事件爆发，软件物料清单成为关注重点。SolarWinds攻击事件和Log4j2漏洞曝光后，软件供应链渗透和安全问题成为美国政府和产业界关注的重中之重，软件物料清单作为有助于大幅提升软件供应链透明度的一个解决方案被寄予厚望。 软件物料清单指软件成分列表，识别并列出了软件组件、相关组件的信息以及它们之间的供应链关系。软件物料清单的概念由传统物料的概念衍生而来，指一个软件产品的物料清单，列出了软件组件、组件信息以及它们之间的供应链关系，能够为软件生产人员、购买者和运营者提供软件开发过程中所采用的所有“原材料”相关信息及其供应链上下游依赖关系。软件物料清单包含每个组件的基准信息。软件物料清单字段信息至少应包括供应商名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM数据作者和时间戳，详见表1。由于软件供应链的透明度随时间、技术进步等因素发生变化，上述最 云计算开源产业联盟 软件物料清单（SBOM）发展洞察报告（2023） 2 小字段只是软件物料清单文件的基本构成，组织机构可根据业务需求增加更多的字段来描述软件物料清单。由于软件的命名复杂且缺少统一的命名规范，为了更加方便地识别组件，可以将组件名称命名为具备可读性的字符串，或使用符合相关标准的组件识别名称。 数据字段 Data Fields 描述 供应商名称 Supplier Name 创建、定义和识别组件的实体名称 组件名称 Component Name 原供应商定义的软件名称 组件版本 Version of the Component 供应商用于指定软件版本变化的标识符 其它唯一标识符 Other Unique Identifiers 其它用于识别组件标识符，或作为相关数据库的查询键 依赖关系 Dependency Relationship 表征一个上游组件X包含在软件Y中的关系 SBOM数据作者 Author of SBOM Data 为该组件创建SBOM数据的实体名称 时间戳 Timestamp 记录SBOM数据的日期和时间 数据来源：NTIA，The Minimum Elements For a Software Bill of Materials (SBOM)， 2021年7月 表 1 软件物料清单数据字段及说明 （二）软件物料清单旨在加强软件供应链安全管理 软件供应链是由多个上游与下游组织相互连接形成的网链结构。新技术飞速发展导致软件供应链复杂性增加。容器、中间件、微服务等技术的演进推动软件行业快速发展，同时带来软件设计开发复杂度不断提升，软件供应链愈发复杂，全链路安全防护难度不断加大等问题。在具体场景中，当软件设计复杂度增加时，其供应链的复杂性也 云计算开源产业联盟