大家有没有遇到过，使用的手机被免费召回维修的情况？

小编之前就遇到过，手机购买半年后，突然收到苹果官方发布的通知：听筒模块上的某个组件可能会发生故障，会出现拨打或接听电话时听筒发不出声音的问题。随即小编登记预约了免费维修。

类似的产品召回，在其他行业也有出现过：例如前几年，就有不少汽车因安全气囊问题被大规模召回。

当产品制造商发现零部件存在潜在或已知安全风险的时候，会及时向客户进行定向召回维修，避免造成更大的安全问题。

即使是第三方供应商提供的零件，也在召回维修的范围内。因为第三方供应的零部件也是属于产品的一部分，一旦发生问题，同样会给品牌带来难以挽回的名誉和业务损失。

而类似的安全隐患之所以能及时被发现、产品之所以能快速被召回，都是因为产品制造商，对于每个产品都有明晰的物料清单（BOM）。

当某个“零配件”存在安全隐患时，产品制造商通过这个物料清单，就能快速确认该“零配件”被应用到哪个批次、版本的产品上，及时通知到对应的客户，降低因为产品安全问题带来的损失。

而在软件安全领域，同样存在类似的技术服务去帮助企业高效、安全管理软件资产，被称之为“软件物料清单”（SBOM）。

01/什么是软件物料清单（SBOM）？

指软件产品中所包含的所有组件、相关许可协议的清单，以及所有组件之间依赖关系的描述。

SBOM在国际上有三大规范标准格式，分别是SPDX、CycloneDX和SWID。

下表为基线组件信息对应现有的格式：

（图片内容源自：中国信通院）

02/为什么要做软件物料清单管理？

1. 提升软件系统安全性

通过对软件内部组成成分 的精细化拆解与风险关联，打开软件这个“黑匣子”，让潜在安全脆弱点浮出水面，帮助企业降低软件安全风险，提高软件系统的安全性。

2. 促进软件安全合规

为漏洞管理与资产管理 提供详细的组件/许可合规性信息，便于企业进行资产盘点，提升软件合规性，降低合规风险，减轻企业履行合规义务的负担。

3. 增强企业业务竞争优势

通过提供清晰的SBOM（软件物料清单），帮助企业向客户、监管机构和其他利益相关者展示软件的质量和可靠性。增强客户信任度，形成业务竞争优势。

4. 降低企业安全成本

对已用许可/组件等安全性、合规性的呈现，将大大提高开发人员组件选型的效率；

同时，提高软件成分及安全的透明度，减少开发人员与安全人员的风险排查时间成本，加速开发进程。

03/如何做好软件物料（资产）管理？

网安云软件物料清单管理平台，以软件/组件来源、版本等基本信息与 软件内部组成成分信息 为基础，动态关联外部安全漏洞情报，对企业软件资产进行安全跟踪与管理。

运用强大的数据分析、多维数据可视化能力，让组件安全问题无所遁形。

1. 精细化软件物料（资产）管理

“颗粒度”不同，对问题的“洞见力”就不同。

传统的软件资产管理，更多地停留在软件版本、类型、名称、供应商等维度，对软件内部成分信息模糊，软件资产成为一个“黑匣子”，看不清摸不透，安全不可控。

因此，在软件资产管理上，亟需细化对软件内部成分信息（包括但不限于：内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等）的梳理与可视化展示。降低软件资产的“模糊性”，帮助企业快速摸清家底。

2. 系统化软件安全风险管理

随着软件定义一切的时代来临，软件安全威胁的传播性、隐匿性越来越强，亟需以全局性、关联性视角考虑软件安全风险管理。

开源网安软件物料清单管理平台，具备强大的数据分析与可视化能力，还原软件内部成分信息之间层次、依赖关系，及其存在的安全风险，绘制可视化关系图表。协助客户进行安全风险传导路径分析，快速溯源，圈定影响范围。

3. 可视化、动态化管控软件资产

通过采集软件安全分析所需的各类静态和动态数据，形成统一的软件资产风险视图。将抽象、不具体的软件资产安全态势可视化、数字化呈现。

同时，网安云软件物料清单管理平台通过对软件组成成分实时采集与分析，业务无感知，帮助企业及时获取最新的软件安全态势信息，根据内外部安全环境的变化快速调整安全策略，提高安全风险应急能力。

4. 标准化软件物料清单

通过“识别组件-获取数据-构造SBOM”三大步骤，输出标准化的SBOM文件，确保文件格式有效、属性合规。

网安云软件物料清单管理平台，严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准。