SBOM优秀案例 | 基于SBOM的全生命周期软件风险治理

开源技术蓬勃发展，已成为数字化转型的核动力，为软件赋能经济高质量发展提供了基础底座。高速的发展也带来的巨大的安全隐患，主要体现在：开源软件安全性无保障，漏洞多；漏洞具有“攻击一点，伤及一片”问题；软件存在知识产权风险。党的二十大报告强调“着力提升产业链供应链韧性和安全水平”。软件供应链安全风险不但会直接影响关键基础设施和数字经济安全，甚至会对国家安全产生威胁。

中国移动针对开源软件在企业内“理不清”、“看不见”、“找不到”等现象，自研守望者·清源平台，提供软件物料清单（SBOM）分析、安全漏洞和开源许可等检测功能。通过标准规范、源头治理、过程治理、动态监测等方法，探索出开源软件从选型、使用、维护、退出全生命周期的治理实践。

打造软件成分自动化识别、可视化的技术能力。守望者·清源平台实现对源码和二进制包“一键式”的全量软件成分分析，并以“最小元素”的形式输出软件成分全量树，包括软件的直接依赖、间接依赖、多层依赖成分，同时标准化的构建软件物料清单，兼容SPDIX、CycloneDX、SWID等国际标准格式，实现软件资产多层次透明化、可视化管理。平台实现多种形式的软件物料清单，如树形化形式，展示直观，层级关系一目了然；json、XML形式，便于二次开发利用。平台可覆盖Java、Go、Python等20多种主流开发语言的软件包和源码包开展软件成分分析。平台除对支持常规文件类型外，还支持如Intel HEX、SREC、uBoot、RTOS等10多种固件格式的解析。该创新点在软件成分识别、组件检测等方面申请多篇发明专利、软著和标准。

以软件物料清单为基础，首创软件成分动态化监测实践，实现降本增效。平台的强劲软件成分分析能力，为企业构建透明、可视的软件资产的同时，对企业软件资产开展动态化监测，当外部出现漏洞预警时，可“一键式”完成漏洞排查，精准锁定漏洞涉及部门/产品/责任人，特别是在重大安全保障中，相比传统的邮件通知、手工排查方式，排查时长从几天缩短至几分钟。平台提供精准的漏洞检测能力和软件许可识别能力，实现对检出的安全漏洞和高风险许可提供全路径信息，精准定位漏洞位置。

首创软件成分识别与安全检测分离技术，打通软件物料清单上下游完整性验证。创新研发软件成分分离式识别技术，补齐平台与业务场景融合的“最后一公里”，打消用户对核心资产泄露风险的顾虑，实现软件成分识别、检测分离，提供软件物料清单（SBOM）上下游可信验证能力。分离式的软件成分识别客户端，软件包/代码包无需提交至平台，使用离线的客户端生成中间文件即可开展软件许可、漏洞的检测，以及生成软件物料清单。软件清单上下游可信验证机制，针对采购成品类的软件场景，供应商不提供源码，采购方无法确定是否存在组件安全问题，使用离线识别技术，平台在进行分析前首先验证中间文件的完整性，提供安全可信的验证检测机制，可有效解决供应双方信任问题，同步为采购方建立软件透明化资产。该创新点在软件成分识别、组件检测等方面申请多篇发明专利、软著和标准。

打造守望者·清源平台与行业的安全研发流程（DevSecOps/SDLC）无缝融合机制。通过“2+3+5”技术架构，实现安全6性目标，打造软件供应链治理流程化、标准化机制，树立软件供应链安全治理实践的行业标杆。软件供应链安全治理能力融入到安全研发过程，为产品开源选型提供优质的备选方案，在软件测试阶段提供自动化的测试能力，在运维阶段提供一键式的漏洞排查和动态监测能力，从而提升软件安全质量和安全风险响应速度，强化软件全生命周期管控，实现安全风险“左移”的同时形成动态监测的机制。

在“软件定义一切”的当今世界，人民生活、国家发展，各行各业与软件息息相关。但当前软件供应链安全问题对关键信息基础设施保护、数字产业高质量发展带来巨大挑战。在工业和信息化部网络安全管理局指导下，由六家企事业单位（中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国铁塔股份有限公司、奇安信科技集团股份有限公司）发起筹建的信息通信软件供应链安全社区应运而生。社区致力于软件供给过程的安全生态建设，为产业链、供应链各相关方等提供研讨、研发、协作、共治的平台。