信通院栗蔚:软件物料清单是软件供应链安全治理的重要抓手

4月4日消息(水易)日前,在由中国信通院主办的“可信软件物料清单(SBOM)主题沙龙”上,中国信通院云计算与大数据研究所副所长栗蔚表示,数字经济时代,软件成为生产生活的必备要素。软件物料清单是软件的“成分表”,通过明确识别和详细记录软件组件及其相互关系以提升软件透明度,成为软件供应链安全治理的重要抓手。

栗蔚介绍,目前,我国软件物料清单发展呈现三大态势,一是企业基于安全合规需求,积极探索软件物料清单实践。二是厂商积极布局软件物料清单配套生成工具。三是标准规范逐步完善,引导软件物料清单建设工作有序开展。

具体来看,近年来,以Log4j和SolarWinds等为代表的软件供应链安全事件频发,进一步推动了业界对于软件物料清单的关注程度。部分头部企业为有效进行软件供应链安全治理已着手探索了软件物料清单的相关规范和建设工作。供需双方之间部分头部企业为有效进行软件供应链安全治理,已着手探索软件物料清单应用实践,将软件物料清单作为产品交付物之一。

与此同时,软件物料清单的成分表复杂,贯穿软件生产、运维和交付整个流程,在这个流程里需要大量记录软件的生产和生成信息,以及组成成分,通过人力很难完成,所以很多企业开始探索用自动化工具生成软件物料清单,这已经成为业界生成软件物料清单的主要共识。目前已有企业形成相关商业解决方案。

另外,当前国内针对软件物料清单相关的标准规范方面开展积极探索,关键是在明确软件物料清单的相关组成成分还有相关数据要素、使用场景,以及生产流程等各个必备要素成分,进一步建立软件物料清单的整个安全生态。

栗蔚表示,整体来说,我国软件物料清单建设仍处于初期阶段,建立健全软件物料清单数据规范、发展完善配套工具、推进产业共识将是日后工作重点。

在中国信通院云计算与大数据研究所软件安全团队的共同努力下,联合业界专家率先制定了国内首个SBOM标准,这是软件物料清单总体能力要求。

针对SBOM标准,根据要求首先进行了可信软件物料清单的试点摸排工作,进行了相关评估。通过评估,一方面摸排了业界软件物料清单现状,明确了目前SBOM的使用场景还有一些痛点需求。另一方面推动供需双方在建设软件物料清单方面的优化以及形成标准化共识。

推进产业共识方面,依托中国信通院软件供应链安全实验室(3S-Lab),凝聚专家力量,共同举办软件物料清单相关实践活动。栗蔚表示,未来中国信通院云计算与大数据研究所软件安全团队将不断地联合业界完善软件物料清单的相关安全体系建设工作,对于软件物料清单的新技术、新理念、新方向不断细化,共同推动软件物料清单产业更加快速、繁荣、健康地发展,共同建立软件供应链安全可信体系。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2023-04-04
信通院栗蔚:软件物料清单是软件供应链安全治理的重要抓手
信通院栗蔚:软件物料清单是软件供应链安全治理的重要抓手,C114讯 4月4日消息(水易)日前,在由中国信通院主办的可信软件物料清单(SBOM)主题沙龙上,中

长按扫码 阅读全文