TCQAE2025软件物料清单构成和要求.pdf

ICS35.080

CCSL70

团体标准

CQAE*****—2025

软件物料清单构成和要求

CompositionandRequirementsforSoftwareBillofMaterials

（报批稿）

202X-XX-XX发布202X-XX-XX实施

中国电子质量管理协会发布

CQAE*****—2025

目次

前言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5总体要求2

5.1概述2

5.2主要构成2

6文档信息数据字段3

6.1文档名称3

6.2文档版本3

6.3文档时间戳4

6.4数据格式4

6.5工具信息4

6.6创建者信息4

6.7创建者备注4

6.8文档备注5

7基本数据字段5

7.1作者名称5

7.2供应商名称5

7.3组件名称6

7.4组件版本6

7.5组件哈希值6

7.6唯一标识符7

7.7许可证7

7.8依赖关系7

7.9时间戳8

8可选数据字段8

8.1SBOM类型8

8.2与其它组件关系9

8.3组件安全信息10

8.4组件来源信息11

8.5组件版权信息11

8.6补丁信息11

8.7组件描述12

8.8文件信息12

9支持工具要求14

9.1能力要求14

I

CQAE*****—2025

9.2能力类型14

9.3格式支持15

9.4生成深度15

9.5兼容性15

9.6易用性16

10管理和应用要求16

10.1概述16

10.2覆盖范围16

10.3更新和版本管理17

10.4SBOM采用类型17

10.5声明未详尽信息17

10.6分发和交付17

10.7维护和监控17

10.8与其他关键信息系统的互操作性17

10.9访问控制17

10.10完整真实18

10.11其他18

附录A（规范性）DP-SBOM格式参考19

A.1概述19

A.2兼容性19

A.3JSON数据模型19

附录B（资料性）DP-SBOM与SPDX、CycloneDX的对比31

参考文献33

II

CQAE*****—2025

软件物料清单构成和要求

1范围

本文件确立了软件物料清单构成的总体要求，规定了文档信息数据字段、基本数据字段、可选

数据字段、支持工具要求和管理应用要求。

本文件适用于软件供应链管理的全生存周期，包括开发、采购、运维等环节。也可用于SBOM生

成、转换、验证和管理需求的其他场景。

2规范性引用文件

下列文件中的内容通过文中的规范性引用构成本文件的必不可少条款。其中，注日期的引用文

件，仅该日期的版本适用于本文件；未注日期的引用文件，其最新版本（包括所有的修改单）适用

于本文件。

GB/T7408.1-2023日期和时间信息交换表示法第1部分：基本原则

3术语和定义

下列术语和定义适用于本文件