原创力文档- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
ICS35.240
CCSL67
团体标准
CQAE*****—2024
软件物料清单构成和要求
CompositionandRequirementsforSoftwareBillofMaterials
(征求意见稿)
(在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。)
202X-XX-XX发布202X-XX-XX实施
中国电子质量管理协会发布
CQAE*****—2024
软件物料清单构成和要求
1范围
本标准规定了软件物料清单(SBOM)的构成和要求,旨在准确表述软件中的各类组件及其元数
据信息,规范相关信息的工程能力及管理与应用要求。
本标准适用于软件开发、采购、应用、运维等环节的相关实体和管理部门,以及第三方检测机
构和软件供应商等相关方,用以指导软件物料清单的生成、验证、维护、存储、交换与输出。
2规范性引用文件
下列文件中的内容通过文中的规范性引用构成本标准的必不可少条款。注日期的引用文件,仅
该日期的版本适用于本标准;未注日期的引用文件,其最新版本(包括所有的修改单)适用于本标
准。
GB/T11457-2006信息技术软件工程术语
GB/T36475-2018软件产品分类
ISO8601:2019数据存储和交换形式·信息交换·日期和时间的表示方法
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
1.1.1
软件物料清单SoftwareBillofMaterials
软件物料清单(SoftwareBillofMaterials,SBOM)是一种正式的、结构化的记录,用于唯
一标识软件,详细记录软件产品的组件构成,并描述这些组件之间的供应链关系。SBOM应包括软件
中各类包、库、文件及代码片段的信息,以及这些元素与其他上游项目之间的关联。
1.1.2
开源软件OpenSourceSoftware
指公开源代码的软件,允许用户查看、修改和分发。
1.1.3
组件Components
构成软件的基本单元,如库、包、模块、文件、代码片段等。
1.1.4
数据字段DataField
用于描述组件特定类型信息的基本组成部分。
2
CQAE*****—2024
3.2缩略语
下列缩略语适用于本文件。
SBOM软件物料清单(SoftwareBillofMaterials)
SPDX软件包数据交换(SoftwarePackageDataExchange)
URL统一资源定位符(UniformResourceLocator)
PURL包统一资源定位符(PackageUniformResourceLocator)
CPE通用平台枚举(CommonPlatformEnumeration)
UUID通用唯一识别码(UniversallyUniqueIdentifier)
JSONJavaScript对象标记语言(JavaScriptObjectNotation)
VEX漏洞可利用性交换(VulnerabilityExploitabilityExchange)
4软件物料清单总体要求
4.1概述
软件物料清单(SBOM)的所有数据应基于标准格式构建,并可根据实际需要选择最适合的格式。
SBOM通过对软件组件及其相互关系、安全性、版权和许可证等成分数据的明确识别和详细记录,可
实现对漏洞的追踪溯源,提前对风险进行防御部署。在软件产品受到
文档评论(0)