如今软件安全攻击技术手段不断升级，攻击数量显著增长。尤其是针对软件供应链的安全攻击，具有高隐秘性、追溯难的特点，对企业软件安全威胁极大。

同时，软件本身也在不断地更新迭代，软件内部成分安全性在持续变化浮动。如果软件内部组件来源、开源许可等信息的安全态势不清晰，将无法及时洞察到安全威胁，导致风险加剧。

软件物料清单（SBOM）的价值由此凸显。

国际上，已经很多国家把SBOM作为网络设备上市的安全审查项目之一，例如美国医疗器械上市FDA认证中，SBOM已成为重要的审核维度。

Gartner也曾预测， 到2025年，60%负责开发关键基础设施软件的组织，将在其软件工程实践中强制实施和标准化SBOM。SBOM将成为数字产品安全与合规工具箱中的重要工具。

那么，标准的SBOM都有哪些元素构成？如何生成SBOM呢？

01/  SBOM的基础元素

1、 基线属性

包含：软件版本、软件授权、引用组件名称、数量、生成方、组件版本、许可协议、组件来源、组件引用关系、组件调用位置、组件唯一标识、物料清单时间戳、物料清单唯一标识、生成阶段等

2、自动化支持

除了基线属性之外，SBOM还需支持自动化，包括通过自动生成和机器可读性，允许跨软件生态系统的扩展。用于生成和使用 SBOM 的数据格式包括 ：SPDX、CycloneDX 和 SWID 标签。

3、 实践与流程

SBOM 请求、生成和使用的操作，包括频率、深度、已知的未知风险、分布和交付、访问控制和容错。

02/ SBOM生成指引

 方式一： 0操作成本，安全专家一站式服务为您生成SBOM文件 

网安云软件物料清单服务（推荐产品海外上市网络安全审查等企业）

 1、安全需求咨询与服务方案制定

对客户实际应用场景与需求进行深入调研，根据需求制定服务方案，包含协定服务流程与产出交付物形态（例如文件格式、规范、需要符合何种法规等）。

2、第三方组件安全检测

自研第三方组件安全工具与安全专家分析相结合，产出软件第三方组件安全检测结果，根据需求可生成专业化检测报告。

3、 软件物料清单（SBOM）相关文件生成

导出国际三大物料清单格式，也可支持其他更多字段，满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求，导出文件机器可读。
软件物料清单文件生成https://www.wanyun.cn/Support?share=24315_ea8a0e47-b38d-4cd6-8ed1-9e7711a8ad5e 

方式二 ： 自助生成，便捷式操作快速生成标准化SBOM文件 

网安云软件物料清单管理平台（推荐有成熟开发团队且软件多样的企业）

1、一键安装，操作便捷

以一键安装插件的便捷方式，自动化、动态获取组件资产数据。无需繁琐部署或上传源代码，即可快速生成标准化的软件物料清单文件。

2、格式合规，机器可读

满足SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求，确保文件格式有效、属性合规、机器可读。

3、可视化管理，安全可控

平台除了生成SBOM文件外，还运用强大的数据分析与图标可视化能力，还原软件内部成分信息之间层次、依赖关系，以及软件基本信息与安全信息之间的关联关系，为客户绘制可视化软件资产关系图表。

协助客户进行安全风险传导路径分析，当安全问题发生时可以快速溯源，圈定影响范围。

点此免费使用：软件物料清单管理平台​https://www.wanyun.cn/Support?share=24315_ea8a0e47-b38d-4cd6-8ed1-9e7711a8ad5e