近年来软件供应链安全事件频发，提高软件供应链透明度，规避软件供应链安全问题成为业界关注热点与共同诉求。软件物料清单（SBOM）指软件成分列表，列出了软件组件、有关这些组件的信息以及它们之间的供应链关系。软件物料清单（SBOM）通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，从而增强软件供应链的安全可控能力，成为软件供应链安全治理的重要抓手。

2023年4月3日，中国信息通信研究院在可信软件物料清单（SBOM）主题沙龙上隆重公布了评估结果，悬镜安全顺利通过“产品维度可信软件物料清单SBOM能力评估”。

中国信通院云计算与大数据研究所副所长栗蔚公布评估结果

悬镜安全首批通过可信软件物料清单能力评估

本次，中国信通院采访了悬镜安全 CMO Sunny，分享悬镜在软件物料清单的建设实践及参与评估的收获。

Q：Sunny您好，请介绍一下您所在的企业

悬镜安全，起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。作为 DevSecOps 敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代 DevSecOps 智适应威胁管理体系，创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。

--------------------------------------------------------------------------

Q：请问您对软件物料清单的理解是什么，软件物料清单对产业有哪些价值？

软件物料清单的定义是“包含构建软件中使用的各种组件详细信息和供应链关系的正式记录”，作为软件供应链治理的核心技术之一，其主要价值在于帮助提高软件透明性，并且形成在软件供应链环节中便于交换传递的接口标准，同时能够描绘软件资产信息，帮助开发者和用户更好地掌控和管理软件供应链中的各个环节，提高软件的安全性、合规性、质量和可持续性。

总体来说，SBOM 对于产业而言有以下4条价值:

1）提高软件安全性：通过 SBOM，开发者能够及时识别和修复潜在漏洞和安全问题，使开发者能更好地掌控和管理软件供应链中各个环节的安全风险；

2）促进产业合规：在不同的行业或地区，软件可能面临特定的法律法规以及产业合规标准。SBOM 可以让开发者和用户快速了解软件中所使用的组件是否符合上述要求，从而促进产业合规；

3）提高软件质量：SBOM 可以帮助开发者更好地了解软件中所应用组件的质量和可靠性；

4）促进可持续性发屐：SBOM 可以使软件所采用组件的版权、许可证、开源协议等信息以更清晰的方式展现出来，开发者能够通过这种透明的方式来进一步提升自身对软件应用组件的可控性，从而促进软件产业的可持续性发展。

--------------------------------------------------------------------------

Q：请问通过本次标准评估对您的企业带来了什么帮助？

悬镜源鉴 SCA 开源威胁管控平台是国内首批通过“可信软件物料清单 SBOM 能力评估”的产品，标志着源鉴 SCA 已符合由中国信通院牵头制定、悬镜安全深度参与编写的《软件物料清单总体能力要求》标准，在当前同类产品中处于领先地位。

源鉴 SCA 通过本次标准评估，一方面说明产品满足标准中数据层、生成层、交付层、应用层四大能力域的各项指标要求；另一方面该标准也帮助悬镜安全在测试过程中进行查漏补缺，不断优化产品，提升产品 SBOM 相关能力。源鉴 SCA 被第三方权威机构认证为安全可信产品，增加了源鉴 SCA 的附加值，提高了产品市场竞争力，增强用户方对该产品的信心，提升企业形象，有助于产品的销售，从而为企业带来更大的经济效益。

--------------------------------------------------------------------------

Q：请介绍下您企业通过什么方式构建软件物料清单？

软件开发生命周期阶段的不同，生成的 SBOM 结果也是不同的，主要以软件构建为阶段划分，分为三个阶段：软件构建前、软件构建时和软件构建后。

软件构建前，SBOM 主要作为版本控制系统一部分，由挖掘产品构建管道输入的工具创建源码级 SBOM，该阶段生成的 SBOM 有助于关键组件的识别并在产品构建之前查找漏洞，便于构建前对资产风险的追溯跟踪。

软件构建中，SBOM 生成方法有三种：

1）扫描构建制品自动化生成国际格式的 SBOM，生成的 SBOM 通常不会出现人工输入错误，而且会包含更具权威性的软件组件特征，实现 SBOM 的签名自动化，这也为供应商和下游消费者提供了更多的可审计性。

2）在构建管道中通过构建插件生成 SBOM，这些插件与底层构建和依赖关系管理系统集成。

3）从容器化过程中导出容器镜像 SBOM，值得注意的是容器镜像有分层的概念，每层可能都会包含各种软件应用程序，包括操作系统(OS)、应用程序及其关联库等，还有其它可能已集成到各层的制品。SBOM 描述容器镜像时，会汇总并标识来自所有层的关联软件。

软件构建后，通过源鉴 SCA 的二进制成分分析引擎能力扫描上游供应商组件以及构建后的 SBOM，使生成的 SBOM 尽可能补充接近工程过程的组件数据、已知的未知情况等。

--------------------------------------------------------------------------

Q：请介绍一下您企业建设软件物料清单在安全工作中解决的痛点问题或带来的价值成效

SBOM 已成为安全业界公认的遏制软件供应链风险的最佳方案之一，实施 SBOM 有助于揭示整个软件供应链中的漏洞与弱点，提高软件供应链的透明度，减轻软件供应链攻击的威胁，驱动软件供应链的安全。通过使用 SBOM 可以帮助企业进行漏洞管理、应急响应、资产管理、许可证和授权管理、知识产权管理、合规性管理、基线建立和配置管理等。

1）对于开发和运营团队来说，在软件开发过程中，开发人员可以使用 SBOM 监视和修复不同组件中存在的软件漏洞。同时，通过使用 SBOM，开发人员能够创建和实施允许列表和拒绝列表，从而能够更好地控制哪些组件和版本可在软件中使用，哪些组件和版本是被禁止的。在软件交付运营过程中，运营团队如果收到安全风险预警，并及时通知开发人员时，开发人员利用SBOM能够追踪溯源，发现存在漏洞的组件，及时进行漏洞修复或组件的替换等工作。

2）对于软件供应商来说，构建 SBOM 提升了软件供应链透明度，可以帮助企业组织全面洞察每个应用软件的组件情况，从而更高效的定位并响应漏洞问题。

3）对于采购方来说，通过 SBOM 可以清晰直观地看到其感兴趣的产品信息，例如基线组件信息或许可信息等，也可以通过 SBOM 了解承包商/供应商管理系统、第三方风险的合规管理及报告等。

4）对于运营商来说，SBOM 增加了软件及其组件的可见性，有助于他们在其生产业务之前验证软件的状态。

SBOM 的出现为保护软件供应链奠定了重要基础，成为软件供应链的有利抓手，悬镜源鉴 SCA 支持 SPDX、CycloneDX、SWID 标准的 SBOM 清单的导入解析及导出，帮助企业或团队透明化软件供应链资产，实时动态地管理 SBOM 清单及其风险。通过提供一组附加信息把软件组成成分和依赖关系以及作者等信息可视化并统一记录管理，大大提升了软件供应链整体透明度，对于降低软件使用和维护成本，保障软件供应链安全具有重要意义。

关于悬镜安全

悬镜安全，起源于北京大学网络安全技术研究团队“XMIRROR”，创始人子芽。作为DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系，创新赋能金融、车联网、泛互联网、智能制造、通信及能源等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。了解更多信息请访问悬镜安全官网：www.xmirror.cn