1、 软件物料清单（软件物料清单（SBOM）发展）发展 洞察报告洞察报告（2023年年）云计算开源产业联盟云计算开源产业联盟 OpenSource Cloud Alliance for industry，OSCAR 2023年年8月月 版权声明 本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。编制人员：王媛媛、吴江伟、郭雪、刘帅、张锐刚、郑志强、郑杭杰，钟志军，成涛、曾林青、高晟，傅逍螣，陶天一，孙肖仪，杨威、董国伟、张淼、严雪伦、子芽、王雪松、陈曙光、王玮琪，刘军、杨

2、剑、徐锋，朱雅汶，刘永瑞、张达、但吉兵，王媛媛，魏弋钧、滕召智，梁尧、高尉峰，白婧婧，李博、胡晓娜，闫小涛，冯飞，王佳敏、陈曦、周杰明、沈凯文，王书辉，夏营、胡向亮、王盛昱 报告在编写过程中，历经概念策划、提纲设计、内容起草、征求意见等阶段，得到了诸多单位的大力支持，包括：中国信息通信研究院云计算与大数据研究所、华为云计算技术有限公司、建信金融科技有限责任公司、阿里云计算有限公司、蚂蚁科技集团股份有限公司、奇安信网神信息技术（北京）股份有限公司、华为技术有限公司、悬镜安全、深圳开源互联网安全技术有限公 司、联通软件研究院、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、杭州孝道科技有

3、限公司、中电金信软件有限公司、苏州棱镜七彩信息科技有限公司、OpenSDV 汽车软件开源联盟、中移系统集成有限公司、三六零数字安全科技集团有限公司、北京奇虎科技有限公司、深圳奥思网络科技有限公司（开源中国）、北京云起无垠科技有限公司、杭州安恒信息技术股份有限公司，在此一并致谢。引引 言言 软件物料清单（SBOM）指软件成分列表，列出了软件组件、有关这些组件的信息以及它们之间的依赖关系。近年来软件供应链安全事件频发，提高软件供应链透明度，规避软件供应链安全问题成为业界关注热点与共同诉求。软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，成为软件供应链安全治理的重要抓手。目前

4、，越来越多的企业意识到维护软件供应链安全的重要性，并在软件物料清单技术、工具和实践等多方面进行探索。在此背景下，搭建软件物料清单理论体系，构建可信软件物料清单理念，为企业落地软件物料清单体系提供行之有效的建设路径刻不容缓。本报告首先明确软件物料清单基本概念，系统梳理国内外软件物料清单发展现状。其次，围绕供需双方视角剖析企业落地建设软件物料清单体系面临的挑战并提出对策建议。此外，针对现阶段企业面临缺乏统一规范的标准指导其落地建设软件物料清单的难题，本报告从构建者视角出发，搭建可信软件物料清单建设模型，涵盖管理层、数据层、生成层、交付层四大维度，为企业落地建设软件物料清单体系提供参考，并分析落地成

5、效。最后，结合当前现状初步研判软件物料清单未来的发展趋势和方向。目目 录录 一、软件物料清单明确软件组成及依赖关系，助力降低软件供应链安全风险.1（一）软件物料清单明确软件组成及依赖关系.1（二）软件物料清单旨在加强软件供应链安全管理.2 二、各国积极探索软件物料清单理论应用研究.3（一）全球重点国家和企业组织积极推进软件物料清单理论研究.3（二）国际标准及相关组织逐步建立软件物料清单标准格式共识.7（三）美国及欧盟陆续推动软件物料清单应用实践.11（四）我国初步探索软件物料清单相关研究.13 三、落地软件物料清单建设面临的挑战和对策建议.14（一）企业落地建设软件物料清单体系面临多重挑战.1

6、4（二）促进企业落地建设软件物料清单体系的对策建议.17 四、搭建可信软件物料清单建设模型，助力企业安全管控.21（一）可信软件物料清单建设模型.23（二）软件物料清单多角度助力企业安全管控.27 五、软件物料清单发展趋势展望.30 附录 软件物料清单企业落地实践.32（一）建信金科：基于 IED 插件的软件物料清单（SBOM）管理实践.32（二）联通软研院：软件物料清单（SBOM）建设实践.35 图图 目目 录录 图 1 软件物料清单树状概念图.20 图 2 软件物料清单实践使用率.22 图 3 可信软件物料清单建设模型.23 图 4 软件物料清单最小数据要素 1.24 图 5 软件物料清单