“我们发现，软件系统间接依赖中存在的漏洞数量，是直接依赖的三倍以上。” Snyk 《2020 年开源安全状况报告》中讲到。开源软件中的绝大多数安全漏洞都存在于间接依赖关系中，而不是存在于直接加载的组件之中，这将导致软件安全不可控性增强。

开源软件的泛用，使得大多数公司对采购软件的安全性和合规性，处于更加未知或模糊的状态。因此，为了更好地制定第三方软件安全风险管理决策，就需要清晰洞察软件内部组成成分。而SBOM（软件物料清单）就是其中的“灵丹妙药”，其最具价值的方面，就是提升软件内部成分的可见性。

Capterra软件市场服务公司调查发现：已有将近一半（49%）的公司会在软件采购时，要求其供应商提供SBOM文件。国际上，部分行业也逐渐将SBOM文件，作为产品上市网络安全评估的参考文件。例如：医疗器械上市美国需要进行的FDA认证：FDA2023年发布《医疗器械网络安全：质量体系注意事项和上市前提交内容》最终规定SBOM 是网络器械上市申请的必要组成部分，也是所有其他器械上市申请的建议组成部分。

那么，如何快速生成标准、专业、符合甲方需求或产品上市需求的SBOM（软件物料清单）文件呢？

推荐使用网安云软件物料清单管理平台，以一键安装插件的便捷方式，自动化、动态获取组件资产数据，无需繁琐部署或上传源代码，快速生成标准化的软件物料清单文件，满足SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求，确保文件格式有效、属性合规。

点此试用：软件物料清单管理平台

同时，软件物料清单管理平台还将动态关联外部安全漏洞情报，对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力，让软件安全弱点浮出水面，让第三方组件安全与合规问题无所遁形。