中青报客户端讯(中青报·中青报记者 王琳)4月3日,中国信息通信研究院举办“可信软件物料清单(SBOM)主题沙龙”并发布首批产品维度可信软件 BOM 能力评估结果。
中国信息通信研究院云计算与大数据研究所副所长李伟致辞。中国信息通信研究院供图
中国信息通信研究院云计算与大数据研究所副所长李伟表示,通过清晰识别并详细记录软件组件及其相互关系,提高软件透明度,软件物料清单已成为软件供应链安全治理的重要抓手。 我国软件BOM的建设还处于早期阶段。 目前新点清单软件,我国软件BOM发展呈现三大趋势:一是企业积极探索基于安全合规要求的软件BOM实践; 其次,厂商积极部署软件BOM配套生成工具; 三是逐步完善标准规范,引导软件物料清单有序发展。
中国信息通信研究院云研究院持续开展软件供应链安全相关研究工作,构建软件供应链安全标准体系,牵头编写《软件物料清单总体能力要求》标准新点清单软件,并依据标准开展评价工作。 评价分为企业和产品两个维度。 可信软件物料清单的概念是围绕过程可信性、工具可信性和结果可信性三个原则建立的。
本次评测从产品角度重点关注数据层能力需求,会上发布了最新评测结果。 未来,中国信息通信研究院将继续与行业各方更加紧密地合作,通过制定相关标准、举办活动论坛等方式,推动软件BOM生态系统安全、有序、健康发展。