【资料图】
中新网4月3日电 题:提升软件供应链透明度 中国信通院推广“可信软件物料清单”理念
中新财经记者 刘育英
4月3日,在中国信息通信研究院主办的“可信软件物料清单(SBOM)主题沙龙”上,中国信通院云计算与大数据研究所副所长栗蔚表示,我国软件物料清单建设仍处于初期阶段,建立健全软件物料清单数据规范、发展完善配套工具、推进产业共识将是日后工作重点。
栗蔚介绍,软件物料清单通过明确识别和详细记录软件组件及其相互关系以提升软件透明度,成为软件供应链安全治理的重要抓手。目前,我国软件物料清单发展呈现三大态势:企业基于安全合规需求,积极探索软件物料清单实践;厂商积极布局软件物料清单配套生成工具;标准规范逐步完善,引导软件物料清单建设工作有序开展。
据了解,目前,美国和欧盟都出台了SBOM相关政策以及法规。其意义和价值在于,一方面SBOM可以有效地提升软件的透明度,可以更快、更有效地识别受攻击的组件;另一方面,SBOM可以提高供应商自身的竞争力,发生相关安全风险事件之后能够快速地处理和响应,同时高效地识别相关风险。
栗蔚表示,整体来说,我国软件物料清单建设仍处于初期阶段,建立健全软件物料清单数据规范、发展完善配套工具、推进产业共识将是日后工作重点。
中国信通院云大所持续开展软件供应链安全相关研究工作,构建软件供应链安全标准体系,牵头编写《软件物料清单总体能力要求》标准,并依据标准开展评估工作。
中国信通院当日发布了首批产品维度可信软件物料清单能力评估结果,北京安普诺信息技术有限公司(悬镜安全) 的悬镜源鉴SCA开源威胁管控平台(V4.0) 、奇安信网神信息技术(北京)股份有限公司 的奇安信网神开源卫士系统(V2.0) 、用友网络科技股份有限公司的YonBIP高级版V3 (R1_2207_1) 通过评估。(完)