栗蔚介紹，目前，我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢，一是企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標(biāo)準(zhǔn)規(guī)范逐步完善，引導(dǎo)軟件物料清單建設(shè)工作有序開展。

　　具體來看，近年來，以Log4j和SolarWinds等為代表的軟件供應(yīng)鏈安全事件頻發(fā)，進一步推動了業(yè)界對于軟件物料清單的關(guān)注程度。部分頭部企業(yè)為有效進行軟件供應(yīng)鏈安全治理已著手探索了軟件物料清單的相關(guān)規(guī)范和建設(shè)工作。供需雙方之間部分頭部企業(yè)為有效進行軟件供應(yīng)鏈安全治理，已著手探索軟件物料清單應(yīng)用實踐，將軟件物料清單作為產(chǎn)品交付物之一。

　　與此同時，軟件物料清單的成分表復(fù)雜，貫穿軟件生產(chǎn)、運維和交付整個流程，在這個流程里需要大量記錄軟件的生產(chǎn)和生成信息，以及組成成分，通過人力很難完成，所以很多企業(yè)開始探索用自動化工具生成軟件物料清單，這已經(jīng)成為業(yè)界生成軟件物料清單的主要共識。目前已有企業(yè)形成相關(guān)商業(yè)解決方案。

　　另外，當(dāng)前國內(nèi)針對軟件物料清單相關(guān)的標(biāo)準(zhǔn)規(guī)范方面開展積極探索，關(guān)鍵是在明確軟件物料清單的相關(guān)組成成分還有相關(guān)數(shù)據(jù)要素、使用場景，以及生產(chǎn)流程等各個必備要素成分，進一步建立軟件物料清單的整個安全生態(tài)。

　　栗蔚表示，整體來說，我國軟件物料清單建設(shè)仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進產(chǎn)業(yè)共識將是日后工作重點。

　　在中國信通院云計算與大數(shù)據(jù)研究所軟件安全團隊的共同努力下，聯(lián)合業(yè)界專家率先制定了國內(nèi)首個SBOM標(biāo)準(zhǔn)，這是軟件物料清單總體能力要求。

　　針對SBOM標(biāo)準(zhǔn)，根據(jù)要求首先進行了可信軟件物料清單的試點摸排工作，進行了相關(guān)評估。通過評估，一方面摸排了業(yè)界軟件物料清單現(xiàn)狀，明確了目前SBOM的使用場景還有一些痛點需求。另一方面推動供需雙方在建設(shè)軟件物料清單方面的優(yōu)化以及形成標(biāo)準(zhǔn)化共識。

　　推進產(chǎn)業(yè)共識方面，依托中國信通院軟件供應(yīng)鏈安全實驗室(3S-Lab)，凝聚專家力量，共同舉辦軟件物料清單相關(guān)實踐活動。栗蔚表示，未來中國信通院云計算與大數(shù)據(jù)研究所軟件安全團隊將不斷地聯(lián)合業(yè)界完善軟件物料清單的相關(guān)安全體系建設(shè)工作，對于軟件物料清單的新技術(shù)、新理念、新方向不斷細化，共同推動軟件物料清單產(chǎn)業(yè)更加快速、繁榮、健康地發(fā)展，共同建立軟件供應(yīng)鏈安全可信體系。