大家有没有遇到过，手机被免费召回维修的情况？

有些人可能遇到这样的问题，手机购买一段时间后，突然收到手机品牌官方发布的通知：听筒模块上的某个组件可能会发生故障，会出现拨打或接听电话时听筒发不出声音的问题。

类似的产品召回，在其他行业也出现过。即使是第三方供应商提供的零件，也在召回维修的范围内。因为第三方供应的零部件也是属于产品的一部分，一旦发生问题，同样会给品牌带来难以挽回的名誉和业务损失。

而类似的安全隐患之所以能及时被发现、产品之所以能快速被召回，都是因为产品制造商对于每个产品都有明晰的物料清单（BOM），当某个“零配件”存在安全隐患时，产品制造商通过这个物料清单，就能快速确认该“零配件”被应用到哪个批次、版本的产品上，及时通知到对应的客户，降低因为产品安全问题带来的损失。

而在软件安全领域，同样存在类似的技术服务去帮助企业高效、安全管理软件资产，被称之为“软件物料清单”（SBOM）。近期，开源网安软件物料清单管理平台已正式上线，点击文末阅读原文即可抢先体验，实现软件物料资产安全化管控。

什么是软件物料清单（SBOM）？

软件物料清单指软件产品中所包含的所有组件、相关许可协议的清单，以及所有组件之间依赖关系的描述。 

SBOM在国际上有三大规范标准格式，分别是SPDX、CycloneDX和SWID。

下表为基线组件信息对应现有的格式：

为什么要做软件物料清单管理？

 01提升软件系统安全性

通过对软件内部组成成分 的精细化拆解与风险关联，打开软件这个“黑匣子”，让潜在安全脆弱点浮出水面，帮助企业降低软件安全风险，提高软件系统的安全性。

02促进软件安全合规

为漏洞管理与资产管理 提供详细的组件/许可合规性信息，便于企业进行资产盘点，提升软件合规性，降低合规风险，减轻企业履行合规义务的负担。

03增强企业业务竞争优势

通过提供清晰的SBOM（软件物料清单），帮助企业向客户、监管机构和其他利益相关者展示软件的质量和可靠性。增强客户信任度，形成业务竞争优势。

04降低企业安全成本

对已用许可/组件等安全性、合规性的呈现，将大大提高开发人员组件选型的效率；同时，提高软件成分及安全的透明度，减少开发人员与安全人员的风险排查时间成本，加速开发进程。

如何做好软件物料（资产）管理？

开源网安软件物料清单管理平台，以软件/组件来源、版本等基本信息与软件内部组成成分信息为基础，动态关联外部安全漏洞情报，对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力，让组件安全问题无所遁形。

01

精细化软件物料（资产）管理

“颗粒度”不同，对问题的“洞见力”就不同。传统的软件资产管理，更多地停留在软件版本、类型、名称、供应商等维度，对软件内部成分信息模糊，软件资产成为一个“黑匣子”，看不清摸不透，安全不可控。

因此，在软件资产管理上，亟需细化对软件内部成分信息（包括但不限于：内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等）的梳理与可视化展示。降低软件资产的“模糊性”，帮助企业快速摸清家底。

02系统化软件安全风险管理

随着软件定义一切的时代来临，软件安全威胁的传播性、隐匿性越来越强，亟需以全局性、关联性视角考虑软件安全风险管理。

开源网安软件物料清单管理平台，具备强大的数据分析与可视化能力，还原软件内部成分信息之间层次、依赖关系，及其存在的安全风险，绘制可视化关系图表。协助客户进行安全风险传导路径分析，快速溯源，圈定影响范围。

03可视化、动态化管控软件资产

通过采集软件安全分析所需的各类静态和动态数据，形成统一的软件资产风险视图。将抽象、不具体的软件资产安全态势可视化、数字化呈现。

同时，开源网安软件物料清单管理平台通过对软件组成成分实时采集与分析，业务无感知，帮助企业及时获取最新的软件安全态势信息，根据内外部安全环境的变化快速调整安全策略，提高安全风险应急能力。

04标准化软件物料清单

通过“识别组件-获取数据-构造SBOM”三大步骤，输出标准化的SBOM文件，确保文件格式有效、属性合规。

开源网安软件物料清单管理平台，严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准。