网络安全技术 软件物料清单数据格式.pdf

网络安全技术软件物料清单数据格式

1范围

本文件规定了软件物料清单数据格式，包括软件物料清单组成、软件物料清单文件格式要求和软

件物料清单元素，以及软件物料清单中各元素的属性和属性值格式等信息。

本文件适用于指导软件供应链相关方之间进行软件物料清单信息的生成、共享和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T11457-2006信息技术软件工程术语

GB/T25069-2022信息安全技术术语

GB/T36475-2018软件产品分类

3术语和定义

GB/T25069－2022中界定的以及下列术语和定义适用于本文件。

3.1

软件产品softwareproduct

向用户提供的计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服

务等技术服务时提供的计算机软件。

注1：本文件中软件产品简称为软件。

[来源：GB/T36475—2018，3.1.1，有修改]

3.2

软件物料清单softwarebillofmaterials

描述软件产品的组成成分、内外部依赖关系、来源信息以及潜在的安全风险信息的清单。

4

注1：本文件中清单为软件物料清单的简称。

3.3

外部网络服务externalservice

通过网络为软件运行提供必要功能的非软件自身具备的应用服务，例如：域名服务、CDN服务、邮

件发送、短信发送、消息推送、支付接口等。

3.4

制品artifact

由某一种软件开发过程所使用的或所产生的一种信息的文件。制品的实例有模型、源文件、文本

和二进制可执行文件。

[来源：GB/T11457-2006，2.76，有修改]

4缩略语

CPE：通用平台枚举（CommonPlatformEnumeration）

HTTP：超文本传输协议（HypertextTransferProtocol）

JSON：JavaScript对象标记语言（JavaScriptObjectNotation）

PURL：包统一资源定位符（PackageUniformResourceLocators）

RPC：远程过程调用协议（RemoteProcedureCallProtocol）

RTP：实时传输协议（Real-TimeTransportProtocol）SBOMDF：软件物料清单数据格式

（SoftwareBillofMaterialsDataFormat）

SMTP：简单邮件传输协议(SimpleMailTransferProtocol)

URL：统一资源定位符（UniformResourceLocator）

UUID：通用唯一识别码（UniversallyUniqueIdentifier）

5软件物料清单组成

特定版本的软件应有一份对应的软件物料清单。软件物料清单由基本信息、软件组成信息、外部

依赖信息、安全信息、扩展信息和签名信息六大类信息组成，每类信息包括若干清单元素（简称“元

素”）。本文件对每个清单元素所涉及的字段进行了规定。图1给出了软件物料清单的组成，其中：

5

a）基本信息：描述软件和软件物料清单的标识、来源等基本信息，包括：软件信息和清单信息；

b）软件组成信息：描述软件组成成分、成分来源及其依赖关系的信息，包括：组件信息、文件

信息、代码片段信息和内部依赖信息；

c）外部依赖信息：描述软件开发、部署、运行、更新所依赖的外部工具、运行环境、网络服务

等必需条件及其来源的信息，包括：外部网络服务信息、基础环境信息和开发工具信息；

注：外部指不包含在软件中的功能、服务、特性等。

d）安全信息：描述软件自身安全和供应链安全管理相关的信息，包括网络服务接口信息、补丁

信息、许可证信息、安全漏洞、配置风险和生命周期维护中断风险信息；