云起无垠参编的《软件物料清单（SBOM）发展洞察报告》正式发布

近日，由云计算开源产业联盟主导，华为、阿里云、蚂蚁科技、建信金科、奇安信、绿盟、天融信、联通软研院、中移集成、360、云起无垠等业界知名机构专家参编的《软件物料清单（SBOM）发展洞察报告（2023）》正式对外发布。该报告系统梳理了国内外软件物料清单的发展现状，围绕供需双方视角剖析企业落地建设软件物料清单体系面临的挑战并提出对策建议。

图 1 软件物料清单（SBOM）发展洞察报告

近年来，随着信息技术的飞速发展，软件供应链安全问题日益凸显。颇具代表性的如 log4j 和 SolarWinds 等软件供应链攻击事件，已经引起了全球范围内的高度关注。这些事件不仅对企业造成了严重的损失，还对整个软件供应链提出了严峻的挑战。软件物料清单（SBOM）可详细列出应用程序中使用的所有代码组件，包括商业软件组件、开源软件库和依赖项，以及内部开发的库，帮助企业识别和解决潜在的安全风险，在软件供应链安全中扮演着重要角色。通常情况下，SBOM 在软件供应链安全中的应用包括：

• 漏洞管理：SBOM 可以帮助企业准确识别应用程序中使用的所有组件，包括开源库和商业软件。这有助于及早发现已知的漏洞，以便及时采取措施来修复或升级受影响的组件。

• 依赖项检查：SBOM 可以列出应用程序的所有依赖项，这样就可以检查这些依赖项是否有已知的安全问题或漏洞。

• 风险评估：通过分析 SBOM，企业可以确定组件的历史漏洞情况、维护状态以及是否有安全漏洞问题，从而可以更好地对安全性进行风险评估。

• 合规性监控：SBOM 可以帮助企业满足相关法规和标准的合规性要求，确保其软件供应链符合法律法规。

云起无垠作为新一代 AI 赋能软件供应链安全实践者，基于 SCA、SBOM 等技术研发设计了无尘软件成分分析系统。该系统可识别和管理应用程序中使用的各种库、框架和依赖项，以有效地管理和维护软件的安全性和合规性。无尘软件成分分析系统具备丰富的成分分析、风险检测、修复建议和跟踪管理等功能，支持与企业 DevOps 研发流水线集成关联，在 SDLC 软件开发全生命周期中，赋能用户在各阶段的风险识别能力，保障企业研发流水线的持续安全合规，提高风险治理效率，降低风险治理成本，提升企业网络安全应急处置能力。

截止目前，无尘软件成分分析系统已经为能源、运营商、军工等行业客户提供了产品服务，帮助企业提升开源安全与合规治理能力，助力企业做到软件产品实际意义上的可知可控，护航企业网络安全。

当下，软件定义世界，实现软件供应链安全至关重要。未来，云起无垠将持续推进技术研究与创新，不断完善产品服务，构造能力更强的软件安全产品，帮助企业解决软件漏洞带来的安全威胁问题，让企业业务系统更安全。