2023年8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的2023首届SecGo云和软件安全大会在北京召开。会上,中国信通院云计算与大数据研究所副所长栗蔚进行《软件物料清单(SBOM)发展现状与洞察研究》主题分享,对软件物料清单发展现状进行洞悉,介绍中国信通院在软件物料清单领域的研究成果。近年来软件供应链安全事件频发,软件物料清单(SBOM)作为提升软件供应链透明度,降低软件供应链安全风险的有效手段受到业界广泛关注。中国信通院围绕软件物料清单持续开展相关研究工作,已围绕核心数据字段,建立了软件物料清单标准体系,并于业界保持深度互动。栗蔚指出,目前我国企业软件物料清单建设工作仍处初期阶段,大规模落地较难实现,主要存在数据格式不统一、缺乏配套平台工具、企业需求未确立、数据零散难收集等痛点问题。栗蔚表示,目前软件物料清单已逐步成为业界共识,软件物料清单虽无法直接处理安全事件,但可从提高软件漏洞管理效率和提升安全事件响应速度两方面助力企业安全工作的开展。随后,栗蔚介绍了中国信通院软件物料清单研究工作情况,明确了构建软件物料清单所应具备的最小数据要素,围绕能力层、生成层、交付层、应用层四大维度说明了软件物料清单的建设路径。最后,栗蔚对于软件物料清单发展趋势进行展望,表示期待与产业各界共同努力,依托中国信通院云计算开源产业联盟3S-Lab软件供应链安全实验室,以明确数据要素为核心,打造可信软件物料清单生态。