栗蔚介紹，目前，我國軟件物料清單發(fā)展呈現(xiàn)三大態(tài)勢，一是企業(yè)基于安全合規(guī)需求，積極探索軟件物料清單實踐。二是廠商積極布局軟件物料清單配套生成工具。三是標準規(guī)范逐步完善，引導軟件物料清單建設工作有序開展。

　　具體來看，近年來，以Log4j和SolarWinds等為代表的軟件供應鏈安全事件頻發(fā)，進一步推動了業(yè)界對于軟件物料清單的關注程度。部分頭部企業(yè)為有效進行軟件供應鏈安全治理已著手探索了軟件物料清單的相關規(guī)范和建設工作。供需雙方之間部分頭部企業(yè)為有效進行軟件供應鏈安全治理，已著手探索軟件物料清單應用實踐，將軟件物料清單作為產(chǎn)品交付物之一。

　　與此同時，軟件物料清單的成分表復雜，貫穿軟件生產(chǎn)、運維和交付整個流程，在這個流程里需要大量記錄軟件的生產(chǎn)和生成信息，以及組成成分，通過人力很難完成，所以很多企業(yè)開始探索用自動化工具生成軟件物料清單，這已經(jīng)成為業(yè)界生成軟件物料清單的主要共識。目前已有企業(yè)形成相關商業(yè)解決方案。

　　另外，當前國內(nèi)針對軟件物料清單相關的標準規(guī)范方面開展積極探索，關鍵是在明確軟件物料清單的相關組成成分還有相關數(shù)據(jù)要素、使用場景，以及生產(chǎn)流程等各個必備要素成分，進一步建立軟件物料清單的整個安全生態(tài)。

　　栗蔚表示，整體來說，我國軟件物料清單建設仍處于初期階段，建立健全軟件物料清單數(shù)據(jù)規(guī)范、發(fā)展完善配套工具、推進產(chǎn)業(yè)共識將是日后工作重點。

　　在中國信通院云計算與大數(shù)據(jù)研究所軟件安全團隊的共同努力下，聯(lián)合業(yè)界專家率先制定了國內(nèi)首個SBOM標準，這是軟件物料清單總體能力要求。

　　針對SBOM標準，根據(jù)要求首先進行了可信軟件物料清單的試點摸排工作，進行了相關評估。通過評估，一方面摸排了業(yè)界軟件物料清單現(xiàn)狀，明確了目前SBOM的使用場景還有一些痛點需求。另一方面推動供需雙方在建設軟件物料清單方面的優(yōu)化以及形成標準化共識。

　　推進產(chǎn)業(yè)共識方面，依托中國信通院軟件供應鏈安全實驗室(3S-Lab)，凝聚專家力量，共同舉辦軟件物料清單相關實踐活動。栗蔚表示，未來中國信通院云計算與大數(shù)據(jù)研究所軟件安全團隊將不斷地聯(lián)合業(yè)界完善軟件物料清單的相關安全體系建設工作，對于軟件物料清單的新技術、新理念、新方向不斷細化，共同推動軟件物料清單產(chǎn)業(yè)更加快速、繁榮、健康地發(fā)展，共同建立軟件供應鏈安全可信體系。