进入数字化时代,软件已成为支撑经济社会正常运行的关键基础设施,而随着软件开发模式逐步由闭源集约开发转变为开源规模化协作,软件供应链也愈发复杂多元。与此同时,漏洞缺陷、协议合规、供应链“投毒”等安全事件屡有发生,给软件供应链安全带来巨大挑战。 去年9月,国家工业信息安全发展研究中心依托“开源社区软件物料清单(SBOM)平台”国家专项,牵头建设“SBOM标准社区”,并发起了“SBOM筑链计划”。聚焦SBOM标准开源、技术突破、应用实践、生态繁荣等方面,旨在提升软件供应链的透明度与安全性,强化对软件供应链风险的管控与治理。 7月24日,由开放原子开源基金会主办,国家工业信息安全发展研究中心、开源风险评估与治理技术实验室联合承办的“2025开放原子开源生态大会软件物料清单(SBOM)分论坛”在北京国家会议中心二期正式召开。
会上,国家工业信息安全发展研究中心牵头11家联合体成员单位建设的“链图·SBOM管理服务平台”正式发布。该平台面向个人开发者、企业用户、开源社区、重点行业四类用户提供SBOM全生命周期管理,助力提升软件透明度和供应链管理水平,防范开源代码风险。
官方链接:https://www.csbom.cn 平台核心功能,全方位保障软件供应链安全 链图·SBOM管理服务平台提供了较为完善的SBOM管理功能,为保障软件供应链安全提供有力支撑,涵盖SBOM生成、SBOM下载、SBOM分享、SBOM对比、格式转换等功能,同时通过集成多种类型的安全检测能力,实现SBOM风险分析及有效管理,提高软件供应链的透明度,有助于发现潜在的安全风险及合规问题。 平台支持源码文件、包管理器配置文件、二进制格式文件、容器镜像文件等多类型软件格式的SBOM生成,生成的文件格式不仅支持《T/CQAE 19004-2025 软件物料清单构成和要求》(BOM-SW)这一标准,还兼容SPDX、CycloneDX、SWID等主流格式,确保了平台的广泛适用性。
值得一提的是,借助平台内置的智能算法和规则引擎,用户只需一键操作,就能快速获得一份详细且准确的SBOM文件,提高了工作效率,同时也保证了文件质量,为后续的软件供应链安全管理奠定了坚实基础。
BOM-SW标准结构图 在软件管理过程中,文件分享又是必不可少的。平台的SBOM分享功能既灵活又安全。用户选中文件点击分享后,可根据需求设置分享信息,通过链接分享给特定用户,并能设置验证码和时效。这一设计在确保信息顺利传递的同时,又为用户提供了便利。
因格式不兼容,在软件物料清单交互时带来的不便,平台的SBOM转换功能也相应给出了解决方案。根据交互需求,平台支持SBOM文件的格式在BOM-SW、SPDX、CycloneDX、SWID标准之间相互转换,并且在转换过程中严格保证数据的完整性和准确性,确保软件物料清单信息不丢失,为跨系统、跨组织的软件供应链安全管理提供了支持。
在软件的开发、更新迭代过程中,SBOM对比功能同样发挥着重要作用。用户只需要在平台选择两份需要对比的SBOM文件,平台就能迅速分析并直观呈现出对比结果,如组件的增减、版本差异、许可证变动等关键信息。用户可通过SBOM对比功能快速把握软件物料清单的变化,为软件升级、整合等决策提供可靠依据,避免因软件变动引发的安全问题。
个性化服务,满足多元安全需求 针对不同用户在软件供应链安全管理方面有着不同的需求,链图·SBOM管理服务平台为个人用户、企业用户、行业用户及开源社区用户分别提供了个性化服务。 1. 个人用户 个人用户登录平台后,会看到简洁明了且功能丰富的SBOM总览页面,进行中的项目、SBOM数量、组件数量、许可证数量,及平台工具等关键信息一目了然。侧边栏还拥有一个“快速使用”的入口,涵盖常用的SBOM管理操作,极大简化了操作流程,降低了使用门槛,让个人用户也能轻松管理软件安全事务。
2. 企业用户 企业用户增设专属的总览页面,呈现企业层面更为全面的数据视图。企业管理者可以查看项目数量、SBOM数量、格式及类型分布、组件许可证使用情况和风险情况等。通过这些数据,管理者能从全局视角把握企业软件供应链的整体状况,为战略决策提供数据支撑,合理调配资源,优化风险管理策略,确保企业软件供应链的稳健运营。
3. 行业用户 行业用户在平台的后台监测大屏上则可以快速查看整个行业的 SBOM 管理情况概览。平台以直观的统计图表和关键数据指标,呈现行业内软件物料清单的分布、风险水平和合规状况等重要信息,为制定行业政策、规范行业标准提供有力依据。同时,行业用户还能深入查看单个企业的详细情况,实现精准监管,保障行业软件供应链的安全与合规。
4. 开源社区用户 开源社区用户在平台上拥有便捷的使用体验。他们可以通过授权第三方社区账号权限直接登录,开启分享功能后能将SBOM信息在社区内高效传播。平台与开源社区通过插件集成实现深度融合,社区用户在社区界面就能进行SBOM上传、下载等操作,优化了操作体验,促进了开源生态的协同发展,让开源社区的软件安全管理更加高效。
此前,开源中国Gitee平台积极响应国家战略,已上线链图·SBOM管理服务平台相关服务并试运行。在此期间,Gitee上已有超过350家企业试用了链图·SBOM管理服务平台,而在开源社区层面,也有超40家开源社区试用,生成SBOM文件数量超1000份。 除此之外,链图·SBOM管理服务平台还为各类型用户提供了一个“工具市场”,例如:容器镜像成分分析工具、开源代码自动化巡检工具、许可证合规分析工具原型、二进制文件安全验证工具等,以支持不同使用场景下的工具调用,在使用者无需跨平台调用工具的同时,也保证了账号的数据安全,进一步为软件供应链安全护航。
未来展望,持续守护软件安全 链图·SBOM管理服务平台后续将为开源社区等组织提供软件资产管理、漏洞感知、链路追溯等一系列服务。 通过这些服务,平台能够及时掌握产业发展动态及安全威胁,为相关单位提供决策支撑,有效保障开源供应链安全,助力软件产业高质量发展。 未来,国家工业信息安全发展研究中心依托“筑链计划”深化与业界各方的交流合作,持续加强标准应用、工具测评、平台推广等方面创新和实践,进一步完善软件供应链安全体系,护航我国开源软件高质量发展,为数字化时代的安全发展保驾护航! |
