中國信通院“可信軟件物料清單(SBOM)主題沙龍”成功召開
責編:gltian |2023-04-06 16:31:492023年4月3日,由中國信通院主辦的“可信軟件物料清單(SBOM)主題沙龍”成功召開。會上發布了首批產品維度可信軟件物料清單能力評估結果,并邀請多位知名企業代表和技術專家圍繞軟件物料清單的發展趨勢、技術探索等發表了主題演講,為行業從業者帶來更具實踐價值的參考。
中國信通院云計算與大數據研究所副所長栗蔚致辭(圖1)
會議開始,由中國信通院云計算與大數據研究所副所長栗蔚致辭。栗蔚表示,軟件物料清單通過明確識別和詳細記錄軟件組件及其相互關系以提升軟件透明度,成為軟件供應鏈安全治理的重要抓手。目前,我國軟件物料清單發展呈現三大態勢,一是企業基于安全合規需求,積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標準規范逐步完善,引導軟件物料清單建設工作有序開展。整體來說,我國軟件物料清單建設仍處于初期階段,建立健全軟件物料清單數據規范、發展完善配套工具、推進產業共識將是日后工作重點。
可信軟件物料清單SBOM評估(圖2)
中國信通院云大所持續開展軟件供應鏈安全相關研究工作,構建軟件供應鏈安全標準體系,牽頭編寫《軟件物料清單總體能力要求》標準,并依據標準開展評估工作。評估分為企業和產品兩大維度,圍繞過程可信、工具可信、結果可信三大原則建立可信軟件物料清單理念。企業維度明確構建完善的軟件物料清單管理平臺,將軟件物料清單納為企業資產管理,助力企業落地軟件物料清單體系建設。產品維度明確產品生成的軟件物料清單可信,助力需方企業進行選型參考。
首批產品維度可信軟件物料清單SBOM評估結果發布(圖3)
本次評估從產品維度出發重點考察數據層能力要求,會上發布了最新評估結果(評估結果見下表1)。中國信通院后續將持續調研完善可信軟件物料清單評估細節指標項,測評企業范圍由供方企業向需方企業拓展,從供需雙方維度完善可信軟件物料清單理念。
| 產品名稱 | 版本號 | 所屬企業 |
| 懸鏡源鑒SCA開源威脅管控平臺 | V4.0 | 北京安普諾信息技術有限公司(懸鏡安全) |
| 奇安信網神開源衛士系統 | V2.0 | 奇安信網神信息技術(北京)股份有限公司 |
| YonBIP高級版 | V3(R1_2207_1) | 用友網絡科技股份有限公司 |
表1 可信軟件物料清單SBOM評估結果
中國信通院云大所開源和軟件安全部郭雪主任發表主題演講(圖4)
會上中國信通院云大所開源和軟件安全部郭雪主任發布了“可信軟件物料清單(SBOM)深度洞察”,全面分析了軟件物料清單發展歷程,洞察產業現狀,幫助企業更好地將軟件物料清單引入軟件供應鏈安全建設中。未來,中國信通院將繼續推進軟件物料清單技術、應用等相關研究,完善軟件供應鏈安全標準體系和系列評估。
中國信通院云計算與大數據研究所開源和軟件安全部吳江偉解讀標準(圖5)
中國信通院云大所開源和軟件安全部工程師吳江偉針對《軟件物料清單總體能力要求》標準進行解讀,標準從數據層、生成層、交付層、應用層四大維度明確軟件物料清單要求。他指出,標準一方面規定了軟件物料清單最小數據要素,另一方面為軟件供應鏈攻擊的快速定位和響應指明方向,助力降低網絡安全事件風險隱患。
行業專家軟件物料清單主題分享(圖6)
此外,會議還邀請華為、奇安信、懸鏡安全、綠盟等企業專家、技術代表進行深具實踐價值的精彩分享。未來,中國信通院將繼續與產業各方展開更加緊密的合作,通過制定相關標準、舉辦活動論壇等,推動軟件物料清單生態安全、有序、健康發展。
業務聯系人:
吳江偉 18810541612 wujiangwei@caict.ac.cn
王媛媛 18652930342 wangyuanyuan@caict.ac.cn