本報記者 郭冀川
4月3日��,由中國信通院主辦的可信軟件物料清單(SBOM)主題沙龍召開��,會上發(fā)布了首批產(chǎn)品維度可信軟件物料清單能力評估結(jié)果。中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚在致辭時表示��,軟件物料清單通過明確識別和詳細(xì)記錄軟件組件及其相互關(guān)系以提升軟件透明度��,成為軟件供應(yīng)鏈安全治理的重要抓手��。
中國信通院云計算與大數(shù)據(jù)研究所副所長栗蔚致辭(圖片來源:中國信通院)
“目前��,我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢��,一是企業(yè)基于安全合規(guī)需求��,積極探索軟件物料清單實踐��。二是廠商積極布局軟件物料清單配套生成工具��。三是標(biāo)準(zhǔn)規(guī)范逐步完善��,引導(dǎo)軟件物料清單建設(shè)工作有序開展��。整體來說��,我國軟件物料清單建設(shè)仍處于初期階段��,建立健全軟件物料清單數(shù)據(jù)規(guī)范��、發(fā)展完善配套工具、推進產(chǎn)業(yè)共識將是日后工作重點��。”栗蔚說��。
中國信通院云大所開源和軟件安全部郭雪主任發(fā)布了“可信軟件物料清單(SBOM)深度洞察”��,全面分析了軟件物料清單發(fā)展歷程��,洞察產(chǎn)業(yè)現(xiàn)狀��,幫助企業(yè)更好地將軟件物料清單引入軟件供應(yīng)鏈安全建設(shè)中��。她表示��,未來中國信通院將繼續(xù)推進軟件物料清單技術(shù)��、應(yīng)用等相關(guān)研究��,完善軟件供應(yīng)鏈安全標(biāo)準(zhǔn)體系和系列評估��。
中國信通院云大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》標(biāo)準(zhǔn)進行解讀��,標(biāo)準(zhǔn)從數(shù)據(jù)層��、生成層��、交付層��、應(yīng)用層四大維度明確軟件物料清單要求��。他指出��,標(biāo)準(zhǔn)一方面規(guī)定了軟件物料清單最小數(shù)據(jù)要素��,另一方面為軟件供應(yīng)鏈攻擊的快速定位和響應(yīng)指明方向��,助力降低網(wǎng)絡(luò)安全事件風(fēng)險隱患��。
中國信通院云大所牽頭編寫《軟件物料清單總體能力要求》標(biāo)準(zhǔn)��,并依據(jù)標(biāo)準(zhǔn)開展評估工作��。評估分為企業(yè)和產(chǎn)品兩大維度��,圍繞過程可信��、工具可信��、結(jié)果可信三大原則建立可信軟件物料清單理念��。企業(yè)維度明確構(gòu)建完善的軟件物料清單管理平臺,將軟件物料清單納為企業(yè)資產(chǎn)管理��,助力企業(yè)落地軟件物料清單體系建設(shè)��。
可信軟件物料清單SBOM評估結(jié)果(圖片來源:中國信通院)
(編輯 張明富)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
