栗蔚介紹，目前，我國(guó)軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢(shì)，一是企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實(shí)踐。二是廠商積極布局軟件物料清單配套生成工具。三是標(biāo)準(zhǔn)規(guī)范逐步完善，引導(dǎo)軟件物料清單建設(shè)工作有序開(kāi)展。

　　具體來(lái)看，近年來(lái)，以Log4j和SolarWinds等為代表的軟件供應(yīng)鏈安全事件頻發(fā)，進(jìn)一步推動(dòng)了業(yè)界對(duì)于軟件物料清單的關(guān)注程度。部分頭部企業(yè)為有效進(jìn)行軟件供應(yīng)鏈安全治理已著手探索了軟件物料清單的相關(guān)規(guī)范和建設(shè)工作。供需雙方之間部分頭部企業(yè)為有效進(jìn)行軟件供應(yīng)鏈安全治理，已著手探索軟件物料清單應(yīng)用實(shí)踐，將軟件物料清單作為產(chǎn)品交付物之一。

　　與此同時(shí)，軟件物料清單的成分表復(fù)雜，貫穿軟件生產(chǎn)、運(yùn)維和交付整個(gè)流程，在這個(gè)流程里需要大量記錄軟件的生產(chǎn)和生成信息，以及組成成分，通過(guò)人力很難完成，所以很多企業(yè)開(kāi)始探索用自動(dòng)化工具生成軟件物料清單，這已經(jīng)成為業(yè)界生成軟件物料清單的主要共識(shí)。目前已有企業(yè)形成相關(guān)商業(yè)解決方案。

　　另外，當(dāng)前國(guó)內(nèi)針對(duì)軟件物料清單相關(guān)的標(biāo)準(zhǔn)規(guī)范方面開(kāi)展積極探索，關(guān)鍵是在明確軟件物料清單的相關(guān)組成成分還有相關(guān)數(shù)據(jù)要素、使用場(chǎng)景，以及生產(chǎn)流程等各個(gè)必備要素成分，進(jìn)一步建立軟件物料清單的整個(gè)安全生態(tài)。

　　栗蔚表示，整體來(lái)說(shuō)，我國(guó)軟件物料清單建設(shè)仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進(jìn)產(chǎn)業(yè)共識(shí)將是日后工作重點(diǎn)。

　　在中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所軟件安全團(tuán)隊(duì)的共同努力下，聯(lián)合業(yè)界專家率先制定了國(guó)內(nèi)首個(gè)SBOM標(biāo)準(zhǔn)，這是軟件物料清單總體能力要求。

　　針對(duì)SBOM標(biāo)準(zhǔn)，根據(jù)要求首先進(jìn)行了可信軟件物料清單的試點(diǎn)摸排工作，進(jìn)行了相關(guān)評(píng)估。通過(guò)評(píng)估，一方面摸排了業(yè)界軟件物料清單現(xiàn)狀，明確了目前SBOM的使用場(chǎng)景還有一些痛點(diǎn)需求。另一方面推動(dòng)供需雙方在建設(shè)軟件物料清單方面的優(yōu)化以及形成標(biāo)準(zhǔn)化共識(shí)。

　　推進(jìn)產(chǎn)業(yè)共識(shí)方面，依托中國(guó)信通院軟件供應(yīng)鏈安全實(shí)驗(yàn)室(3S-Lab)，凝聚專家力量，共同舉辦軟件物料清單相關(guān)實(shí)踐活動(dòng)。栗蔚表示，未來(lái)中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所軟件安全團(tuán)隊(duì)將不斷地聯(lián)合業(yè)界完善軟件物料清單的相關(guān)安全體系建設(shè)工作，對(duì)于軟件物料清單的新技術(shù)、新理念、新方向不斷細(xì)化，共同推動(dòng)軟件物料清單產(chǎn)業(yè)更加快速、繁榮、健康地發(fā)展，共同建立軟件供應(yīng)鏈安全可信體系。