新京报贝壳财经讯(记者许诺)4月3日,在中国信息通信研究院主办的“可信软件物料清单(SBOM)主题沙龙”上,中国信息通信研究院云计算与大数据研究所中国信息通信研究院(以下简称“信通院”)副所长李伟在演讲中指出,软件物料清单是软件的“配料表”。软件物料清单,涵盖了软件所使用的组件,以及组件之间的包含和依赖关系,软件物料清单通过清晰识别和详细记录软件组件及其相互关系,提高了软件透明度,已成为一个重要的起点软件供应链安全治理的重点。
李伟表示,数字经济时代,软件已成为生产生活必不可少的要素。 总体来看,软件BOM仍是一项新兴技术新点清单软件,国内发展具有以下特点:一是近年来软件供应链安全事件频发,进一步推动了业界对软件BOM的重视。 其次,制造商正在积极部署配套的软件BOM生成工具,并探索使用自动化工具生成软件BOM。 逐步完善标准规范新点清单软件,引导软件物料清单建设工作有序开展。
李伟指出,总体来看,我国软件BOM建设仍处于早期阶段。 建立健全软件BOM数据规范、开发完善支撑工具、推动行业共识将是未来工作的重点。 信通院云所联合行业专家制定了国内首个可信软件BOM标准。 持续研究完善可信软件BOM评估的详细指标,从供需双方角度完善可信软件BOM理念。
编辑 岳彩洲
校对刘宝庆
