中国信通院：软件物料清单实践指南（2023）.pdf

软件物料清单实践指南 中国信息通信研究院 2023.02 01.总体介绍 05. 生命周期 1.1 诞生背景 06. 常见问答 1.2 代表工作 07. 知产与保密 1.3 定义内涵 08. 选择与决策 02. 价值与用例 09. 行业实践 03. 组成要素 10. 发展趋势 04. 格式与工具 2 诞生背景 上世纪以来，物料清单在提高透明度中的作用愈发重要，已惠及汽车业、食品业、传统制造业等， 形成的基本理论和原则于2013年开始应用于现代软件开发，并于近5年取得长足进步。 2018年7月19日，美国国家电信和信息管理局 工作重点 （NTIA ）召开了多部门利益相关者会议，讨 论增强软件透明度的一项提案，目的是建立 定义和完善SBOM 规范， 一个通用框架，以在软件产品中描述组件。 框架工作组 推动广泛、可扩展的采用 NTIA多利益相关方流程计划 意识和采用 将SBOM 推广为一种理 NTIA 工作组 念、一种实践 Software Component 格式和工具 自动化SBOM 的生成和 Transparency 工作组 使用 格 信 促 所 支 式 息 进 有 持 构 共 实 行 活 医疗保健概念 证明SBOM的成功应用， 建 享 践 业 动 验证工作组 为其他行业提供参考 3 代表工作 自SBOM诞生以来，美西方多个组织机构积极开展研究，多个行业已开始推进SBOM的应用，使得 SBOM理论发展不断完善，并开始在实践中丰富内涵。 2020.9 ，BSA联 ISO/IEC5230:2020 ，高 2019 盟安全软件框架 质量开源许可证合规 2021 2022.2 ，NIST 《安全 软件开发框架》 2020.7 ，大西洋理事会 202