中新網4月3日電 題：提升軟件供應鏈透明度 中國信通院推廣“可信軟件物料清單”理念

　　中新財經記者 劉育英

　　4月3日，在中國信息通信研究院主辦的“可信軟件物料清單(SBOM)主題沙龍”上，中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚表示，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進產業(yè)共識將是日后工作重點。

　　栗蔚介紹，軟件物料清單通過明確識別和詳細記錄軟件組件及其相互關系以提升軟件透明度，成為軟件供應鏈安全治理的重要抓手。目前，我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢：企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實踐；廠商積極布局軟件物料清單配套生成工具；標準規(guī)范逐步完善，引導軟件物料清單建設工作有序開展。

　　據(jù)了解，目前，美國和歐盟都出臺了SBOM相關政策以及法規(guī)。其意義和價值在于，一方面SBOM可以有效地提升軟件的透明度，可以更快、更有效地識別受攻擊的組件；另一方面，SBOM可以提高供應商自身的競爭力，發(fā)生相關安全風險事件之后能夠快速地處理和響應，同時高效地識別相關風險。

　　栗蔚表示，整體來說，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進產業(yè)共識將是日后工作重點。

　　中國信通院云大所持續(xù)開展軟件供應鏈安全相關研究工作，構建軟件供應鏈安全標準體系，牽頭編寫《軟件物料清單總體能力要求》標準，并依據(jù)標準開展評估工作。

　　中國信通院當日發(fā)布了首批產品維度可信軟件物料清單能力評估結果，北京安普諾信息技術有限公司(懸鏡安全) 的懸鏡源鑒SCA開源威脅管控平臺(V4.0) 、奇安信網神信息技術(北京)股份有限公司 的奇安信網神開源衛(wèi)士系統(tǒng)(V2.0) 、用友網絡科技股份有限公司的YonBIP高級版V3 (R1_2207_1) 通過評估。(完)