ICS35.240

CCSL67

團(tuán)體標(biāo)準(zhǔn)

CQAE*****—2024

軟件物料清單構(gòu)成和要求

CompositionandRequirementsforSoftwareBillofMaterials

（征求意見(jiàn)稿）

（在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。）

202X-XX-XX發(fā)布202X-XX-XX實(shí)施

中國(guó)電子質(zhì)量管理協(xié)會(huì)發(fā)布

CQAE*****—2024

軟件物料清單構(gòu)成和要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了軟件物料清單（SBOM）的構(gòu)成和要求，旨在準(zhǔn)確表述軟件中的各類(lèi)組件及其元數(shù)

據(jù)信息，規(guī)范相關(guān)信息的工程能力及管理與應(yīng)用要求。

本標(biāo)準(zhǔn)適用于軟件開(kāi)發(fā)、采購(gòu)、應(yīng)用、運(yùn)維等環(huán)節(jié)的相關(guān)實(shí)體和管理部門(mén)，以及第三方檢測(cè)機(jī)

構(gòu)和軟件供應(yīng)商等相關(guān)方，用以指導(dǎo)軟件物料清單的生成、驗(yàn)證、維護(hù)、存儲(chǔ)、交換與輸出。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用構(gòu)成本標(biāo)準(zhǔn)的必不可少條款。注日期的引用文件，僅

該日期的版本適用于本標(biāo)準(zhǔn)；未注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)

準(zhǔn)。

GB/T11457-2006信息技術(shù)軟件工程術(shù)語(yǔ)

GB/T36475-2018軟件產(chǎn)品分類(lèi)

ISO8601:2019數(shù)據(jù)存儲(chǔ)和交換形式·信息交換·日期和時(shí)間的表示方法

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

1.1.1

軟件物料清單SoftwareBillofMaterials

軟件物料清單（SoftwareBillofMaterials，SBOM）是一種正式的、結(jié)構(gòu)化的記錄，用于唯

一標(biāo)識(shí)軟件，詳細(xì)記錄軟件產(chǎn)品的組件構(gòu)成，并描述這些組件之間的供應(yīng)鏈關(guān)系。SBOM應(yīng)包括軟件

中各類(lèi)包、庫(kù)、文件及代碼片段的信息，以及這些元素與其他上游項(xiàng)目之間的關(guān)聯(lián)。

1.1.2

開(kāi)源軟件OpenSourceSoftware

指公開(kāi)源代碼的軟件，允許用戶查看、修改和分發(fā)。

1.1.3

組件Components

構(gòu)成軟件的基本單元，如庫(kù)、包、模塊、文件、代碼片段等。

1.1.4

數(shù)據(jù)字段DataField

用于描述組件特定類(lèi)型信息的基本組成部分。

2

CQAE*****—2024

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

SBOM軟件物料清單（SoftwareBillofMaterials）

SPDX軟件包數(shù)據(jù)交換（SoftwarePackageDataExchange）

URL統(tǒng)一資源定位符（UniformResourceLocator）

PURL包統(tǒng)一資源定位符（PackageUniformResourceLocator）

CPE通用平臺(tái)枚舉（CommonPlatformEnumeration）

UUID通用唯一識(shí)別碼（UniversallyUniqueIdentifier）

JSONJavaScript對(duì)象標(biāo)記語(yǔ)言（JavaScriptObjectNotation）

VEX漏洞可利用性交換（VulnerabilityExploitabilityExchange）

4軟件物料清單總體要求

4.1概述

軟件物料清單（SBOM）的所有數(shù)據(jù)應(yīng)基于標(biāo)準(zhǔn)格式構(gòu)建，并可根據(jù)實(shí)際需要選擇最適合的格式。

SBOM通過(guò)對(duì)軟件組件及其相互關(guān)系、安全性、版權(quán)和許可證等成分?jǐn)?shù)據(jù)的明確識(shí)別和詳細(xì)記錄，可

實(shí)現(xiàn)對(duì)漏洞的追蹤溯源，提前對(duì)風(fēng)險(xiǎn)進(jìn)行防御部署。在軟件產(chǎn)品受到安全攻擊時(shí)，軟件物料清單的

使用者可以在短時(shí)間內(nèi)定位受影響的組件并及時(shí)進(jìn)行補(bǔ)救，從而提高安全事件響應(yīng)速度。

4.2主要構(gòu)成

本標(biāo)準(zhǔn)包含四大部分：文檔構(gòu)成、數(shù)據(jù)字段、工具能力要求、管理和應(yīng)用要求，其中數(shù)據(jù)字段

包含基本數(shù)據(jù)字段和擴(kuò)展數(shù)據(jù)字段兩部分。

文檔構(gòu)成部分主要闡述了已生成的SBOM清單本身的屬性，包括名稱、版本、時(shí)間戳、數(shù)據(jù)格式

等內(nèi)容。基本數(shù)據(jù)字段部分限定了部分足夠表達(dá)SBOM信息的最基礎(chǔ)字段，包括作者名稱、依賴關(guān)系、

組件版本、唯一標(biāo)識(shí)符等。擴(kuò)展字段部分給定了部分額外字段，包括SBOM類(lèi)型、組件描述、來(lái)源信

息等。工具能力要求部分對(duì)SBOM相關(guān)工具的功能性能提出了具體要求，包括格式支持、生成深度等。

管理和應(yīng)用要求部分對(duì)SBOM的應(yīng)用推廣以及具體管理提出了詳細(xì)要求，包括覆蓋范圍、版本管理、

采用類(lèi)型等。

3

CQAE*****—2024

圖1軟件物料清單構(gòu)成和要求框架圖

5SBOM文檔構(gòu)成

5.1名稱

SBOM文檔應(yīng)具有唯一名稱，以便于識(shí)別和管理。

5.2版本

每次更新、刪除、修改或重新生成SBOM文檔時(shí)，均應(yīng)記錄版本信息，以便于區(qū)分版本。

5.3時(shí)間戳

首次創(chuàng)建SBOM文檔及每次更新時(shí)，均應(yīng)記錄時(shí)間戳。時(shí)間戳應(yīng)采用ISO8601等標(biāo)準(zhǔn)格式，以確

保跨時(shí)區(qū)和區(qū)域的一致性。

5.4數(shù)據(jù)格式

SBOM文檔應(yīng)明確使用的數(shù)據(jù)格式，包括格式名稱、版本號(hào)及相應(yīng)的格式標(biāo)準(zhǔn)或規(guī)范URL。

5.5簽名信息

SBOM文檔應(yīng)包含數(shù)字簽名，以驗(yàn)證來(lái)源和完整性。數(shù)字簽名方式應(yīng)符合相關(guān)標(biāo)準(zhǔn)和規(guī)定。

5.6工具信息

應(yīng)記錄生成SBOM文檔的工具信息，包括工具名稱和版本等。

6SBOM基本數(shù)據(jù)字段

6.1作者名稱

應(yīng)明確組件創(chuàng)建的實(shí)體名稱。

6.2供應(yīng)商名稱

應(yīng)標(biāo)明組件供應(yīng)商的名稱或其他標(biāo)識(shí)符。供應(yīng)商名稱可包括多個(gè)名稱或別名。

6.3組件名稱

應(yīng)使用原始供應(yīng)商定義的組件完整名稱，避免使用縮寫(xiě)或模糊名稱。

組件名稱應(yīng)具備處理多個(gè)名稱或別名的功能。組件名稱可以包含供應(yīng)商名稱。

6.4組件版本

應(yīng)標(biāo)明供應(yīng)商使用的用于指定較之前版本軟件變更的標(biāo)識(shí)符，用于標(biāo)識(shí)組件版本信息。

若組件初次創(chuàng)建時(shí)無(wú)版本信息，應(yīng)為其創(chuàng)建一個(gè)版本號(hào)。

6.5組件哈希值

組件的哈希值應(yīng)作為其固有標(biāo)識(shí)符，哈希值生成算法應(yīng)明確，以便消費(fèi)者能夠復(fù)制該值。

4

CQAE*****—2024

可以為一個(gè)組件或多個(gè)組件的集合提供多個(gè)哈希值。

6.6唯一標(biāo)識(shí)符

應(yīng)標(biāo)明用于識(shí)別組件或作為相關(guān)數(shù)據(jù)庫(kù)查詢的唯一標(biāo)識(shí)符。

該標(biāo)識(shí)符可以通過(guò)與全局唯一層次結(jié)構(gòu)或命名空間對(duì)比生成，并可采用PURL、CPE、UUID等系

統(tǒng)作為唯一標(biāo)識(shí)符，保證其一致性和可追溯性。推薦使用PURL作為唯一標(biāo)識(shí)符。

6.7依賴關(guān)系

應(yīng)清晰描述組件之間的依賴關(guān)系，標(biāo)明軟件中包含上游組件的情況。

6.8時(shí)間戳

應(yīng)記錄組件SBOM數(shù)據(jù)生成或更新的時(shí)間戳。時(shí)間戳應(yīng)采用ISO8601等標(biāo)準(zhǔn)格式，以確?？鐣r(shí)區(qū)

和區(qū)域的一致性。

7SBOM可選數(shù)據(jù)字段

7.1SBOM類(lèi)型

按照生成方式區(qū)分，SBOM可分為分析型和構(gòu)建型等類(lèi)型。宜根據(jù)對(duì)精確度、安全性、合規(guī)性、

工程能力等方面的要求和規(guī)定，對(duì)SBOM的類(lèi)型進(jìn)行區(qū)分。

1.1.5分析型SBOM

宜通過(guò)分析現(xiàn)有的代碼庫(kù)、二進(jìn)制文件或容器鏡像生成分析性SBOM。

適用于建立對(duì)存量軟件的透明度，或驗(yàn)證供應(yīng)商、軟件制作商提供的SBOM，有助于發(fā)現(xiàn)其他SBOM

生成工具在不同階段無(wú)法檢測(cè)到的依賴項(xiàng)。

1.1.6構(gòu)建型SBOM

構(gòu)建型SBOM宜由構(gòu)建系統(tǒng)自動(dòng)生成，包含構(gòu)建產(chǎn)品構(gòu)件所需的數(shù)據(jù)，包括但不限于在構(gòu)建過(guò)程

中實(shí)際使用的所有依賴項(xiàng)、工具和環(huán)境信息等。

7.2與其它組件關(guān)系

宜標(biāo)明組件之間除依賴關(guān)系之外的其他關(guān)系，如包含關(guān)系、源碼引用等。

宜體現(xiàn)直接依賴之外的派生依賴關(guān)系，說(shuō)明雖然某組件類(lèi)似于一些其他已知組件，但已做出了

一些變更，以便追蹤其共享的來(lái)源和內(nèi)容。

7.3安全管理信息

宜標(biāo)明組件的安全管理信息。組件的安全管理信息宜包括以下內(nèi)容：

a）安全漏洞記錄，列出已知的安全漏洞及修復(fù)狀態(tài)；

b）安全更新和補(bǔ)丁，記錄與組件相關(guān)的安全更新和補(bǔ)丁歷史及其適用版本；

c）安全配置建議，提供提高安全性的配置建議或最佳實(shí)踐；

d）安全測(cè)試結(jié)果，記錄組件經(jīng)過(guò)的安全測(cè)試結(jié)果，如靜態(tài)分析、動(dòng)態(tài)分析或滲透測(cè)試的報(bào)告

和證書(shū)。

5

CQAE*****—2024

7.4來(lái)源信息

宜標(biāo)明組件的來(lái)源及取得方式。

如果組件通過(guò)公開(kāi)下載獲得，宜提供下載URL。當(dāng)組件存在上游社區(qū)時(shí)，宜提供上游社區(qū)的信

息，如源碼倉(cāng)庫(kù)URL、官方網(wǎng)站URL等。

7.5版權(quán)信息

宜標(biāo)明組件的版權(quán)信息，包括但不限于版權(quán)所有者、版權(quán)年限和許可證信息。

當(dāng)一個(gè)組件包含有多個(gè)許可證的情況下，宜給出組件的最終許可證信息。

7.6補(bǔ)丁信息

宜列舉所有與組件相關(guān)的補(bǔ)丁，并為每個(gè)補(bǔ)丁提供名稱、版本、日期等信息。必要時(shí)，宜提供

補(bǔ)丁的描述、依賴關(guān)系、應(yīng)用步驟、兼容性和測(cè)試驗(yàn)證情況。

7.7組件描述

宜標(biāo)明組件的描述信息，說(shuō)明組件的基本功能、用途和主要特性等。

8工具能力要求

SBOM工具應(yīng)具備自動(dòng)生成、更新和管理軟件物料清單的能力，并能夠提供全面的依賴關(guān)系分析。

工具應(yīng)支持與資產(chǎn)管理系統(tǒng)、許可證合規(guī)性分析、安全威脅情報(bào)、漏洞管理以及安全信息與事件管

理等關(guān)鍵系統(tǒng)的集成，確保與現(xiàn)有開(kāi)發(fā)和構(gòu)建工具鏈的無(wú)縫對(duì)接。同時(shí)，工具應(yīng)提供用戶友好的界

面，以便于可視化管理和審計(jì)。

8.1能力類(lèi)型

不同生態(tài)場(chǎng)景的工具應(yīng)支持的基本能力類(lèi)型。

生態(tài)場(chǎng)景能力類(lèi)型能力描述

文檔作為構(gòu)建工件的一部分自動(dòng)創(chuàng)建，并且包含關(guān)于構(gòu)建的

自動(dòng)構(gòu)建

信息

文檔生成

分析審計(jì)源代碼分析或?qū)徲?jì)工具通過(guò)檢查工件和相關(guān)來(lái)源生成文檔

手工填寫(xiě)支持手工編輯信息

支持人類(lèi)可讀的內(nèi)容形式（圖片、數(shù)字、表格、文本等），

查看

用于決策和業(yè)務(wù)流程

頂層應(yīng)用能夠比較給定格式的兩份文件，并清楚地顯示差異。例如，

比較

比較一個(gè)軟件的兩個(gè)不同版本

分析能夠能讀取文檔進(jìn)行相關(guān)分析（例如進(jìn)行軟件風(fēng)險(xiǎn)評(píng)估）

從一種文件類(lèi)型更改為另一種文件類(lèi)型，同時(shí)保留相同的信

轉(zhuǎn)換

息

中間轉(zhuǎn)換

合并出于分析和審計(jì)目的，可以將多個(gè)來(lái)源的文檔合并在一起

集成支持以API和庫(kù)的形式在其他工具中使用

8.2格式支持

6

CQAE*****—2024

工具應(yīng)支持國(guó)內(nèi)外主流的SBOM數(shù)據(jù)格式，并滿足本標(biāo)準(zhǔn)的要求。

8.3生成深度

工具應(yīng)確保生成的文檔能夠充分反映軟件產(chǎn)品的組成結(jié)構(gòu)、依賴關(guān)系等信息，以支持多種分析

和管理需求。工具對(duì)生成深度的支持分為以下四個(gè)層級(jí)：

a）基礎(chǔ)深度

列出軟件產(chǎn)品中所有直接可識(shí)別的組件，記錄軟件中顯式聲明和直接包含的組件信息。

包括但不限于操作系統(tǒng)、中間件、第三方庫(kù)和應(yīng)用程序代碼包，并提供組件的基本信息，如供

應(yīng)商名稱、組件名稱和版本等。

b）中等深度

在基礎(chǔ)深度的基礎(chǔ)上，包括所有直接和間接依賴的組件及其版本，展示組件之間的依賴關(guān)系，

涵蓋直接依賴和間接依賴。

c）詳細(xì)深度

在中等深度的基礎(chǔ)上，提供所有組件的詳細(xì)信息，包括許可證、供應(yīng)商、來(lái)源和完整的依賴樹(shù)。

除了提供詳細(xì)的組成信息和組件間的所有直接和間接依賴關(guān)系，還包括每個(gè)組件的許可證類(lèi)

型、供應(yīng)商信息、來(lái)源和版本歷史。

d）動(dòng)態(tài)深度

在詳細(xì)深度的基礎(chǔ)上，實(shí)時(shí)跟蹤和更新組件及其依賴信息。

能夠在工具運(yùn)行時(shí)持續(xù)更新SBOM信息，反映組件的動(dòng)態(tài)變化，并具備報(bào)告和通知功能，以幫

助用戶及時(shí)跟蹤組件變更和潛在問(wèn)題。

8.4兼容性

工具應(yīng)確保生成的SBOM具有廣泛的系統(tǒng)、工具和流程適應(yīng)性，保持良好的平臺(tái)兼容性和自定

義擴(kuò)展性。具體要求包括：

a）主流格式兼容性

應(yīng)支持國(guó)內(nèi)外主流的SBOM格式，包括但不限于SPDX、CycloneDX、SWID等，便于實(shí)現(xiàn)不同系

統(tǒng)間的互操作性。

b）工具兼容性

生成的SBOM應(yīng)能夠被多種主流的軟件供應(yīng)鏈安全工具、持續(xù)集成/持續(xù)部署（CI/CD）系統(tǒng)以

及合規(guī)性檢查工具所支持。

c）平臺(tái)兼容性

應(yīng)能在不同操作系統(tǒng)和平臺(tái)上操作SBOM工具進(jìn)行讀取和處理，包括但不限于Windows、Linux、

macOS、國(guó)產(chǎn)操作系統(tǒng)等。

d）自定義項(xiàng)兼容性

應(yīng)允許使用者根據(jù)特定需求對(duì)SBOM進(jìn)行自定義擴(kuò)展，以包含額外的信息或字段，同時(shí)保持與

標(biāo)準(zhǔn)格式的兼容性。

e）組件唯一標(biāo)識(shí)符兼容性

應(yīng)采用行業(yè)標(biāo)準(zhǔn)的唯一標(biāo)識(shí)符格式，以確保組件標(biāo)識(shí)的一致性和可追溯性。

8.5易用性

工具宜具備高效、直觀的操作界面，便于各種利益相關(guān)者理解和使用。

7

CQAE*****—2024

8.5.1中文支持

工具應(yīng)在輸入格式、輸出格式和接口、網(wǎng)頁(yè)界面等提供全面的中文支持。

8.5.2結(jié)構(gòu)清晰

工具宜具備清晰的結(jié)構(gòu)，能夠顯示每個(gè)組件的層次和依賴關(guān)系。

8.5.3易于搜索和過(guò)濾

工具應(yīng)提供搜索和過(guò)濾功能，能夠快速找到特定的組件或組件集合。

8.5.4可擴(kuò)展性

工具宜支持靈活的擴(kuò)展機(jī)制，以適應(yīng)未來(lái)的新需求和技術(shù)發(fā)展。具體符合：

a）數(shù)據(jù)模型靈活性，SBOM的數(shù)據(jù)模型宜采用模塊化設(shè)計(jì)，允許根據(jù)需要添加、刪除或修改數(shù)

據(jù)字段和實(shí)體；

b）插件與擴(kuò)展機(jī)制，工具宜提供插件或擴(kuò)展點(diǎn)機(jī)制，允許第三方開(kāi)發(fā)者或內(nèi)部團(tuán)隊(duì)為SBOM系

統(tǒng)添加新功能或擴(kuò)展現(xiàn)有功能，而無(wú)需修改核心代碼。

9管理和應(yīng)用要求

SBOM管理和應(yīng)用的核心要求旨在確保SBOM的有效性和全面性，以支持軟件供應(yīng)鏈的透明、安全、

合規(guī)及可持續(xù)。

9.1覆蓋范圍

SBOM應(yīng)詳盡列出軟件組件的組成結(jié)構(gòu)、依賴關(guān)系、許可證信息及安全狀態(tài)，以滿足不同場(chǎng)景下

的合規(guī)性和安全性需求。數(shù)據(jù)應(yīng)具備足夠的深度，以便實(shí)現(xiàn)全面的分析和管理。

9.2更新和版本管理

SBOM應(yīng)與軟件版本的更新和修訂保持同步。應(yīng)在軟件的選型、設(shè)計(jì)、開(kāi)發(fā)、使用等生命周期的

不同階段創(chuàng)建相應(yīng)的SBOM。當(dāng)軟件組件更新或獲取新的底層信息時(shí)，應(yīng)對(duì)SBOM信息進(jìn)行維護(hù)更新，

以確保對(duì)所有變更和修復(fù)進(jìn)行準(zhǔn)確的跟蹤和記錄。

應(yīng)對(duì)不同版本的SBOM進(jìn)行有效管理，確保每次軟件更新或修訂時(shí)，SBOM版本能準(zhǔn)確反映最新?tīng)?/p>

態(tài)，同時(shí)能夠?qū)v史版本提供記錄和查詢。

9.3SBOM采用類(lèi)型

應(yīng)推動(dòng)從分析型SBOM向構(gòu)建型SBOM的轉(zhuǎn)變。構(gòu)建型SBOM在軟件構(gòu)建過(guò)程中生成，能夠提供更準(zhǔn)

確、實(shí)時(shí)的組件信息，以適應(yīng)現(xiàn)代軟件開(kāi)發(fā)中對(duì)持續(xù)集成和部署的需求。

9.4聲明未詳盡信息

對(duì)于在SBOM中未列出完整依賴表的組件，SBOM作者應(yīng)明確識(shí)別并聲明未詳盡列舉的信息。具體

而言，應(yīng)在依賴關(guān)系中清晰區(qū)分出不包含其他依賴的組件，以及依賴信息不明確或不完整的組件。

該數(shù)據(jù)應(yīng)集成到自動(dòng)化系統(tǒng)中，并默認(rèn)數(shù)據(jù)為不完整。SBOM提供者應(yīng)明確說(shuō)明是否已完全列出

組件的所有直接依賴，或組件是否沒(méi)有其他依賴。

8

CQAE*****—2024

9.5分發(fā)和交付

SBOM應(yīng)及時(shí)、安全地交付給需求方，并應(yīng)采用加密技術(shù)保護(hù)SBOM的存儲(chǔ)和傳輸過(guò)程，確保數(shù)據(jù)

的機(jī)密性和完整性。

9.6維護(hù)和監(jiān)控

應(yīng)對(duì)已分發(fā)和交付的SBOM建立監(jiān)控機(jī)制，持續(xù)監(jiān)控SBOM涉及的依賴組件。當(dāng)出現(xiàn)新的風(fēng)險(xiǎn)時(shí)，

應(yīng)及時(shí)對(duì)軟件進(jìn)行修復(fù)升級(jí)，并更新SBOM文檔。

9.7與其他關(guān)鍵信息系統(tǒng)的互操作性

1.1.7軟件資產(chǎn)管理

應(yīng)能夠與軟件資產(chǎn)管理系統(tǒng)互操作，滿足如下使用要求：

a）能夠從組件名稱、組件名稱及版本維度查看軟件資產(chǎn)；

b）能夠從組件出發(fā)，定位其被應(yīng)用的已上線服務(wù)。

1.1.8軟件漏洞管理

應(yīng)能夠與軟件漏洞管理系統(tǒng)互操作，滿足如下使用要求：

a）能夠從安全漏洞出發(fā)，定位被影響的組件；

b）能夠從應(yīng)用程序出發(fā)，查看應(yīng)用程序SBOM的安全漏洞信息。

1.1.9安全事件響應(yīng)

應(yīng)能夠與安全事件響應(yīng)有關(guān)系統(tǒng)互操作，滿足如下使用要求：

a）SBOM能夠與安全信息與事件管理系統(tǒng)（SIEM）集成，支持安全運(yùn)營(yíng)中心（SOC）的運(yùn)營(yíng)工作；

b）SBOM能夠與威脅情報(bào)平臺(tái)（TIP）集成，支持威脅情報(bào)關(guān)聯(lián)和匹配。

9.8訪問(wèn)控制

應(yīng)設(shè)置明確的訪問(wèn)權(quán)限和角色管理，以控制對(duì)SBOM數(shù)據(jù)的訪問(wèn)。只準(zhǔn)許經(jīng)過(guò)授權(quán)的用戶或系統(tǒng)

才能查看、修改或下載SBOM數(shù)據(jù)，以確保敏感信息資產(chǎn)的安全。

9.9完整真實(shí)

SBOM數(shù)據(jù)及其來(lái)源應(yīng)具有可驗(yàn)證性，所有SBOM文檔在分發(fā)前應(yīng)進(jìn)行數(shù)字簽名，接收時(shí)應(yīng)驗(yàn)證數(shù)

字簽名，以提供身份認(rèn)證和完整性校驗(yàn)。

9.10其他

應(yīng)盡可能詳細(xì)地記錄整個(gè)軟件生命周期中的所有相關(guān)信息，并通過(guò)技術(shù)手段確保數(shù)據(jù)的完整

性，以防止數(shù)據(jù)被篡改。同時(shí)，應(yīng)提高SBOM的機(jī)器可讀性，強(qiáng)化數(shù)據(jù)的標(biāo)準(zhǔn)化和規(guī)范化，以便更有

效地管理和分析依賴關(guān)系。此外，動(dòng)態(tài)依賴關(guān)系、第三方服務(wù)的調(diào)用、人工智能模型以及其他未直

接包含在軟件構(gòu)建中的依賴關(guān)系宜適當(dāng)納入SBOM管理范圍，以確保全面反映軟件的實(shí)際供應(yīng)鏈環(huán)

境。

9

CQAE*****—2024

附錄A

（規(guī)范性）

SBOM格式參考

A.1概述

SBOM數(shù)據(jù)格式聚焦于描述組成軟件包成份清單，并標(biāo)識(shí)軟件包的身份信息，定義支持管理軟件

包成份的基礎(chǔ)屬性。

A.2兼容性要求

為保證SBOM兼容性，應(yīng)滿足：

a)采用JSON格式對(duì)軟件包成份進(jìn)行描述；

b)采用PURL作為軟件包唯一標(biāo)識(shí)；

c)滿足SBOM基本字段要求；

d)能夠與常見(jiàn)的SBOM協(xié)議標(biāo)準(zhǔn)相互轉(zhuǎn)換。

A.3SBOM樣例

SBOM數(shù)據(jù)使用JSON格式，所有字符串內(nèi)容均要求為UTF-8編碼格式的文本；軟件包標(biāo)識(shí)符采

用PURL方案。樣例如下：

{

"serialNumber":string,//用于描述SBOM唯一序列號(hào)，示例：

urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79

"version":integer,//用于記錄SBOM的版本，整形數(shù)字，建議初始默認(rèn)為“1”，每次變更增加1

"bomFormat":string,//用于記錄SBOM遵循的協(xié)議標(biāo)準(zhǔn)，

"specVersion":string,//用于記錄協(xié)議標(biāo)準(zhǔn)版本，取值為遵循協(xié)議標(biāo)準(zhǔn)版本號(hào)，如：試用稿版本號(hào)，1.0beta，

1.1beta等；正式版本號(hào)，1.0，1.1

"timestamp":string,//采用ISO8601標(biāo)準(zhǔn)，格式為：YYYY-MM-DDThh:mm:ssTZD

"authors":[{

"name":string,//生成SBOM的作者

}],

"tools"：{

"name":string,//生成SBOM的工具名稱

"version":string,//生成SBOM的工具版本

}

"metadata":{//每個(gè)SBOM都用于描述一個(gè)軟件包，通過(guò)metadata.pacakge進(jìn)行管理

"package":{

"supplier":{//提供軟件包的供應(yīng)商信息

"name":string,

"origin":string,//供應(yīng)商所屬國(guó)家，可選

10

CQAE*****—2024

},

"bom-ref":string,//bom-ref內(nèi)容默認(rèn)與purl保持一致，要求bom-ref在SBOM文件內(nèi)必須是唯

一的

"group":string,//軟件包所屬組織

"name":string,//軟件包名稱

"version":string,//軟件包版本

"purl":string,

"files":[{

"name":string,//用于描述文件的名稱

"hashes":[{

"alg":string,//"alg"為枚舉值，取值列表："MD5","SHA-1","SHA-256",

"SHA-384","SHA-512","SHA3-256","SHA3-384","SHA3-512","BLAKE2b-256","BLAKE2b-384","BLAKE2b-512",

"BLAKE3"，取值必須包含"SHA-256"

"value":string

}]

}]

"properties":[{//擴(kuò)展方式1：通過(guò)鍵值對(duì)，比如：:"license"

"key":string,

"value":string"

}]

"externalReferences"[{//擴(kuò)展方式2：外部鏈接引用，比如安全建議：metadata.package.

externalReferences.url:https:///security/feed/csaf

"type":string,

"url":string"

}]

}

},

"packages":[{//SBOM的軟件成份由一組軟件包清單組成，依賴關(guān)系用于描述軟件包間的依賴關(guān)系，在SBOM

中使用packages描述成份清單，使用dependencies描述依賴關(guān)系。

"supplier":{

"name":string,

},

"bom-ref":string,

"group":string,

"name":string,

"version":string,

"purl":string,

"files":[{

"name":string,

"hashes":[{

"alg":string,

"value":string

11

CQAE*****—2024

}]

}]

"properties":[{

"key":string,

"value":string

}]

"externalReferences":[{

"type":string,

"url":string

}]

}],

"dependencies":[{//用于描述軟件包的依賴關(guān)系。

"ref":string,//ref和dependsOn的值引用metadata.package和packages中的bom-ref

"dependsOn":[string]//當(dāng)軟件包沒(méi)有依賴時(shí)，dependsOn的取值為[]

}]

}

12

CQAE*****—2024

目次

前??言...........................................................................................................................................................1

1范圍...............................................................................................................................................................2

2規(guī)范性引用文件...........................................................................................................................................2

3術(shù)語(yǔ)、定義和縮略語(yǔ)...................................................................................................................................2

3.1術(shù)語(yǔ)和定義...........................................................................................................................................2

3.2縮略語(yǔ)...................................................................................................................................................3

4軟件物料清單總體要求...............................................................................................................................3

4.1概述.......................................................................................................................................................3

4.2主要構(gòu)成...............................................................................................................................................3

5SBOM文檔構(gòu)成..............................................................................................................................................4

5.1名稱.......................................................................................................................................................4

5.2版本.......................................................................................................................................................4

5.3時(shí)間戳...................................................................................................................................................4

5.4數(shù)據(jù)格式...............................................................................................................................................4

5.5簽名信息...............................................................................................................................................4

5.6工具信息...............................................................................................................................................4

6SBOM基本數(shù)據(jù)字段......................................................................................................................................4

6.1作者名稱...............................................................................................................................................4

6.2供應(yīng)商名稱...........................................................................................................................................4

6.3組件名稱...............................................................................................................................................4

6.4組件版本...............................................................................................................................................4

6.5組件哈希值...........................................................................................................................................4

6.6唯一標(biāo)識(shí)符...........................................................................................................................................5

6.7依賴關(guān)系...............................................................................................................................................5

6.8時(shí)間戳...................................................................................................................................................5

7SBOM可選數(shù)據(jù)字段......................................................................................................................................5

7.1SBOM類(lèi)型..............................................................................................................................................5

7.2與其它組件關(guān)系...................................................................................................................................5

7.3安全管理信息.......................................................................................................................................5

7.4來(lái)源信息...............................................................................................................................................6

7.5版權(quán)信息...............................................................................................................................................6

7.6補(bǔ)丁信息...............................................................................................................................................6

7.7組件描述...............................................................................................................................................6

8工具能力要求...............................................................................................................................................6

8.1能力類(lèi)型...............................................................................................................................................6

8.2格式支持...............................................................................................................................................6

8.3生成深度...............................................................................................................................................7

CQAE*****—2024

8.4兼容性...................................................................................................................................................7

8.5易用性...................................................................................................................................................7

9管理和應(yīng)用要求...........................................................................................................................................8

9.1覆蓋范圍...............................................................................................................................................8

9.2更新和版本管理...................................................................................................................................8

9.3SBOM采用類(lèi)型......................................................................................................................................8

9.4聲明未詳盡信息...................................................................................................................................8

9.5分發(fā)和交付...........................................................................................................................................9

9.6維護(hù)和監(jiān)控...........................................................................................................................................9

9.7與其他關(guān)鍵信息系統(tǒng)的互操作性......................................................................................................9

9.8訪問(wèn)控制...............................................................................................................................................9

9.9完整真實(shí)...............................................................................................................................................9

9.10其他.....................................................................................................................................................9

附錄A（規(guī)范性）SBOM格式參考...................................................................................................10

A.1概述.........................................................................................................................................................10

A.2兼容性要求.............................................................................................................................................10

A.3SBOM樣例................................................................................................................................................10

IV

CQAE*****—2024

軟件物料清單構(gòu)成和要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了軟件物料清單（SBOM）的構(gòu)成和要求，旨在準(zhǔn)確表述軟件中的各類(lèi)組件及其元數(shù)

據(jù)信息，規(guī)范相關(guān)信息的工程能力及管理與應(yīng)用要求。

本標(biāo)準(zhǔn)適用于軟件開(kāi)發(fā)、采購(gòu)、應(yīng)用、運(yùn)維等環(huán)節(jié)的相關(guān)實(shí)體和管理部門(mén)，以及第三方檢測(cè)機(jī)

構(gòu)和軟件供應(yīng)商等相關(guān)方，用以指導(dǎo)軟件物料清單的生成、驗(yàn)證、維護(hù)、存儲(chǔ)、交換與輸出。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用構(gòu)成本標(biāo)準(zhǔn)的必不可少條款。注日期的引用文件，僅

該日期的版本適用于本標(biāo)準(zhǔn)；未注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)

準(zhǔn)。

GB/T11457-2006信息技術(shù)軟件工程術(shù)語(yǔ)

GB/T36475-2018軟件產(chǎn)品分類(lèi)

ISO860