2021年12月22日，开源网安宣布SBOM计划正式上线。

现代软件主要是使用第三方和开源组件组装而成的，它们以复杂而独特的方式融合在一起，并与原始代码集成以实现所需的功能。为了准确摸清软件所含组件的情况，SBOM（即：Software Bill Of Materials）应运而生，其包括多种关键信息，如：组件名称、版本号、供应商等，这些关键信息在分析软件安全时发挥着关键作用。通过这些信息，可以追溯软件的原始供应链，极大提高开发者对其所用软件安全风险的理解，帮助企业在网络安全风险分析、漏洞管理和应急响应过程中提高效率。

开源网安SBOM计划依托开源网安在软件安全领域的技术和经验，旨在通过开放软件物料清单分析服务，助力中国百万企业快速摸清软件家底，构建软件供应链安全生态。

如何通过软件供应链透明性来确保软件供应链安全

保障软件供应链安全的一个重要手段就是保证“软件自身组成”的透明性，这也就是 SBOM 产生的原因。SBOM 指软件物料清单，就像我们在超市购买食品时在食品包装上看到的食品配料清单，标注了所用的所有材料。对软件开发企业而言，SBOM可有效控制开源组件风险，帮助企业更早识别并消除开源组件安全缺陷和许可风险；对软件采购企业而言，SBOM可帮助采购决策者轻松了解开发方软件是否存在开源组件风险；对软件开发人员而言，SBOM可帮助开发人员全面准确掌握其所研发软件的开源组件情况。

开放软件物料清单分析服务，助力软件供应链安全生态建设

开源网安SBOM平台是提供软件成分分析和生成软件物料清单的服务平台，该平台集成千万级的开源组件库信息和数十万级漏洞库信息，支持15种以上常用语言包的检测。通过平台生成SBOM清单，可以帮助使用者提高软件的透明度， 提前识别开源组件安全风险，并根据风险提供相应的影响分析和预警措施，助力使用者做好软件供应链安全。