软件物料清单（SBOM），企业软件资产管理的关键。

SBOM，全称是Software Bill of Materials,，中文翻译为软件物料清单。其实很好理解，就跟我们买加工后的食物，包装袋上展示的成分表一样，软件物料清单也可以理解为是软件的成分表。

里面主要包含这几项：

● 供应商名称：也就是开发该软件组件的个人或组织；

● 组件名称，通常由供应商决定；

● 组件版本： 一个标识符，指定当前使用组件的版本，同样，这是由供应商决定的；

● 其他独特标识符： 像SWID标签、PURL、CPE或类似的标识符，可以帮助SBOM 消费者在关键数据库中找到组件。

● 依赖项关系： 表示软件组件是如何结合在一起的，如，某个上游组件包含在某个软件中

● SBOM数据的作者： 生成SBOM元数据的实体，可能是软件供应商或其他个人、团体

● 时间戳： SBOM 生成的日期和时间

基本上可以把软件内部组成成分的情况，比如来自于哪个供应商、版本、组件之间的相互依赖关系、层级关系等帮用户梳理清楚。

一般来说，那些软件体量比较大的企业，如果没有软件物料清单管理的话，软件安全管理就会比较困难。软件就跟盲盒一样，一旦出现安全问题，都没办法快速定位到安全问题所在。

SBOM现在在国外已经是很受重视了，美国电信管理局（NTIA）2021年就 发布了一项规定，要求是政府采购的软件必须要包含SBOM，也就是说，如果你想把你的软件卖给政府，必须附带这个软件物料清单。

网安云 软件物料清单管理平台 现已开放免费体验预约，名额有限，先到先得。

欢迎扫描下方二维码添加安全顾问，抢先占领预约名额~