中新網4月3日電 題：提升軟件供應鏈透明度 中國信通院推廣“可信軟件物料清單”理念

　　中新財經記者 劉育英

　　4月3日，在中國信息通信研究院主辦的“可信軟件物料清單(SBOM)主題沙龍”上，中國信通院雲(yun) 計算與(yu) 大數據研究所副所長栗蔚表示，我國軟件物料清單建設仍處於(yu) 初期階段，建立健全軟件物料清單數據規範、發展完善配套工具、推進產(chan) 業(ye) 共識將是日後工作重點。

　　栗蔚介紹，軟件物料清單通過明確識別和詳細記錄軟件組件及其相互關(guan) 係以提升軟件透明度，成為(wei) 軟件供應鏈安全治理的重要抓手。目前，我國軟件物料清單發展呈現三大態勢：企業(ye) 基於(yu) 安全合規需求，積極探索軟件物料清單實踐；廠商積極布局軟件物料清單配套生成工具；標準規範逐步完善，引導軟件物料清單建設工作有序開展。

　　據了解，目前，美國和歐盟都出台了SBOM相關(guan) 政策以及法規。其意義(yi) 和價(jia) 值在於(yu) ，一方麵SBOM可以有效地提升軟件的透明度，可以更快、更有效地識別受攻擊的組件；另一方麵，SBOM可以提高供應商自身的競爭(zheng) 力，發生相關(guan) 安全風險事件之後能夠快速地處理和響應，同時高效地識別相關(guan) 風險。

　　栗蔚表示，整體(ti) 來說，我國軟件物料清單建設仍處於(yu) 初期階段，建立健全軟件物料清單數據規範、發展完善配套工具、推進產(chan) 業(ye) 共識將是日後工作重點。

　　中國信通院雲(yun) 大所持續開展軟件供應鏈安全相關(guan) 研究工作，構建軟件供應鏈安全標準體(ti) 係，牽頭編寫(xie) 《軟件物料清單總體(ti) 能力要求》標準，並依據標準開展評估工作。

　　中國信通院當日發布了首批產(chan) 品維度可信軟件物料清單能力評估結果，北京安普諾信息技術有限公司(懸鏡安全) 的懸鏡源鑒SCA開源威脅管控平台(V4.0) 、奇安信網神信息技術(北京)股份有限公司 的奇安信網神開源衛士係統(V2.0) 、用友網絡科技股份有限公司的YonBIP高級版V3 (R1_2207_1) 通過評估。(完)