栗蔚介紹，目前，我國軟件物料清單發(fā)展呈現三大態(tài)勢，一是企業(yè)基于安全合規需求，積極探索軟件物料清單實(shí)踐。二是廠(chǎng)商積極布局軟件物料清單配套生成工具。三是標準規范逐步完善，引導軟件物料清單建設工作有序開(kāi)展。

　　具體來(lái)看，近年來(lái)，以L(fǎng)og4j和SolarWinds等為代表的軟件供應鏈安全事件頻發(fā)，進(jìn)一步推動(dòng)了業(yè)界對于軟件物料清單的關(guān)注程度。部分頭部企業(yè)為有效進(jìn)行軟件供應鏈安全治理已著(zhù)手探索了軟件物料清單的相關(guān)規范和建設工作。供需雙方之間部分頭部企業(yè)為有效進(jìn)行軟件供應鏈安全治理，已著(zhù)手探索軟件物料清單應用實(shí)踐，將軟件物料清單作為產(chǎn)品交付物之一。

　　與此同時(shí)，軟件物料清單的成分表復雜，貫穿軟件生產(chǎn)、運維和交付整個(gè)流程，在這個(gè)流程里需要大量記錄軟件的生產(chǎn)和生成信息，以及組成成分，通過(guò)人力很難完成，所以很多企業(yè)開(kāi)始探索用自動(dòng)化工具生成軟件物料清單，這已經(jīng)成為業(yè)界生成軟件物料清單的主要共識。目前已有企業(yè)形成相關(guān)商業(yè)解決方案。

　　另外，當前國內針對軟件物料清單相關(guān)的標準規范方面開(kāi)展積極探索，關(guān)鍵是在明確軟件物料清單的相關(guān)組成成分還有相關(guān)數據要素、使用場(chǎng)景，以及生產(chǎn)流程等各個(gè)必備要素成分，進(jìn)一步建立軟件物料清單的整個(gè)安全生態(tài)。

　　栗蔚表示，整體來(lái)說(shuō)，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數據規范、發(fā)展完善配套工具、推進(jìn)產(chǎn)業(yè)共識將是日后工作重點(diǎn)。

　　在中國信通院云計算與大數據研究所軟件安全團隊的共同努力下，聯(lián)合業(yè)界專(zhuān)家率先制定了國內首個(gè)SBOM標準，這是軟件物料清單總體能力要求。

　　針對SBOM標準，根據要求首先進(jìn)行了可信軟件物料清單的試點(diǎn)摸排工作，進(jìn)行了相關(guān)評估。通過(guò)評估，一方面摸排了業(yè)界軟件物料清單現狀，明確了目前SBOM的使用場(chǎng)景還有一些痛點(diǎn)需求。另一方面推動(dòng)供需雙方在建設軟件物料清單方面的優(yōu)化以及形成標準化共識。

　　推進(jìn)產(chǎn)業(yè)共識方面，依托中國信通院軟件供應鏈安全實(shí)驗室(3S-Lab)，凝聚專(zhuān)家力量，共同舉辦軟件物料清單相關(guān)實(shí)踐活動(dòng)。栗蔚表示，未來(lái)中國信通院云計算與大數據研究所軟件安全團隊將不斷地聯(lián)合業(yè)界完善軟件物料清單的相關(guān)安全體系建設工作，對于軟件物料清單的新技術(shù)、新理念、新方向不斷細化，共同推動(dòng)軟件物料清單產(chǎn)業(yè)更加快速、繁榮、健康地發(fā)展，共同建立軟件供應鏈安全可信體系。