栗蔚介紹,目前,我國(guó)軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢(shì),一是企業(yè)基于安全合規(guī)需求,積極探索軟件物料清單實(shí)踐。二是廠商積極布局軟件物料清單配套生成工具。三是標(biāo)準(zhǔn)規(guī)范逐步完善,引導(dǎo)軟件物料清單建設(shè)工作有序開(kāi)展。
具體來(lái)看,近年來(lái),以Log4j和SolarWinds等為代表的軟件供應(yīng)鏈安全事件頻發(fā),進(jìn)一步推動(dòng)了業(yè)界對(duì)于軟件物料清單的關(guān)注程度。部分頭部企業(yè)為有效進(jìn)行軟件供應(yīng)鏈安全治理已著手探索了軟件物料清單的相關(guān)規(guī)范和建設(shè)工作。供需雙方之間部分頭部企業(yè)為有效進(jìn)行軟件供應(yīng)鏈安全治理,已著手探索軟件物料清單應(yīng)用實(shí)踐,將軟件物料清單作為產(chǎn)品交付物之一。
與此同時(shí),軟件物料清單的成分表復(fù)雜,貫穿軟件生產(chǎn)、運(yùn)維和交付整個(gè)流程,在這個(gè)流程里需要大量記錄軟件的生產(chǎn)和生成信息,以及組成成分,通過(guò)人力很難完成,所以很多企業(yè)開(kāi)始探索用自動(dòng)化工具生成軟件物料清單,這已經(jīng)成為業(yè)界生成軟件物料清單的主要共識(shí)。目前已有企業(yè)形成相關(guān)商業(yè)解決方案。
另外,當(dāng)前國(guó)內(nèi)針對(duì)軟件物料清單相關(guān)的標(biāo)準(zhǔn)規(guī)范方面開(kāi)展積極探索,關(guān)鍵是在明確軟件物料清單的相關(guān)組成成分還有相關(guān)數(shù)據(jù)要素、使用場(chǎng)景,以及生產(chǎn)流程等各個(gè)必備要素成分,進(jìn)一步建立軟件物料清單的整個(gè)安全生態(tài)。
栗蔚表示,整體來(lái)說(shuō),我國(guó)軟件物料清單建設(shè)仍處于初期階段,建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進(jìn)產(chǎn)業(yè)共識(shí)將是日后工作重點(diǎn)。
在中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所軟件安全團(tuán)隊(duì)的共同努力下,聯(lián)合業(yè)界專家率先制定了國(guó)內(nèi)首個(gè)SBOM標(biāo)準(zhǔn),這是軟件物料清單總體能力要求。
針對(duì)SBOM標(biāo)準(zhǔn),根據(jù)要求首先進(jìn)行了可信軟件物料清單的試點(diǎn)摸排工作,進(jìn)行了相關(guān)評(píng)估。通過(guò)評(píng)估,一方面摸排了業(yè)界軟件物料清單現(xiàn)狀,明確了目前SBOM的使用場(chǎng)景還有一些痛點(diǎn)需求。另一方面推動(dòng)供需雙方在建設(shè)軟件物料清單方面的優(yōu)化以及形成標(biāo)準(zhǔn)化共識(shí)。
推進(jìn)產(chǎn)業(yè)共識(shí)方面,依托中國(guó)信通院軟件供應(yīng)鏈安全實(shí)驗(yàn)室(3S-Lab),凝聚專家力量,共同舉辦軟件物料清單相關(guān)實(shí)踐活動(dòng)。栗蔚表示,未來(lái)中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所軟件安全團(tuán)隊(duì)將不斷地聯(lián)合業(yè)界完善軟件物料清單的相關(guān)安全體系建設(shè)工作,對(duì)于軟件物料清單的新技術(shù)、新理念、新方向不斷細(xì)化,共同推動(dòng)軟件物料清單產(chǎn)業(yè)更加快速、繁榮、健康地發(fā)展,共同建立軟件供應(yīng)鏈安全可信體系。