标签:#SBOM #关键领域清单 #软件物料清单 #供应链安全 #GB/T47020
一、"小切口"治理:关键领域清单的制度创新
《关于产业链供应链安全的规定》第七条要求"制定关键领域清单并实行动态调整",这是《规定》最核心的制度工具之一。司法部负责人答记者问时明确指出,通过关键领域清单制度聚焦涉及经济社会稳定和国家安全的领域,促进各有关方面集中协同发力。
这一制度设计体现了中国治理的"精准化"思维。不同于"一刀切"的全面管制,关键领域清单采用"小切口"方式,将有限的监管资源集中在最关键的领域,实现"好钢用在刀刃上"。
1.1 清单制度的法律依据与运作机制
《规定》第七条明确:"国务院有关部门应当制定关键领域清单,并实行动态调整。"这意味着:
制定主体:国务院有关部门(可能涉及多个部委,如工信部、发改委、网信办等)
动态调整:清单不是一成不变的,会根据国际国内形势变化、技术发展趋势、风险评估结果等进行调整
法律效力:列入清单的领域,相关企业必须遵守更严格的供应链安全要求
1.2 软件供应链领域的清单预判
从软件供应链角度看,清单将大概率涵盖以下领域:
基础软件层:
操作系统:服务器操作系统(如CentOS、Ubuntu Server及其国产化替代)、桌面操作系统、移动操作系统、嵌入式操作系统
数据库:关系型数据库(MySQL、PostgreSQL、Oracle等)、NoSQL数据库(MongoDB、Redis、Elasticsearch等)、国产数据库(达梦、人大金仓、OceanBase等)
中间件:消息队列(Kafka、RabbitMQ、RocketMQ)、缓存(Redis、Memcached)、RPC框架(gRPC、Dubbo)、服务网格(Istio、Linkerd)
工业软件层:
工业控制软件:SCADA系统、PLC编程软件、DCS系统
工业设计软件:CAD、CAE、CAM、EDA
工业物联网平台:设备接入、数据采集、边缘计算平台
AI基础设施层:
深度学习框架:TensorFlow、PyTorch、PaddlePaddle、MindSpore
模型库与模型市场:HuggingFace、ModelZoo等
AI开发工具链:标注工具、训练平台、推理引擎、模型压缩工具
供应链基础设施层:
开源组件仓库:Maven Central、npm Registry、PyPI、NuGet、Go Modules等
代码托管平台:GitHub、GitLab、Gitee等
CI/CD平台:Jenkins、GitLab CI、GitHub Actions、CircleCI等
安全工具层:
静态应用安全测试(SAST)工具
动态应用安全测试(DAST)工具
软件成分分析(SCA)工具
交互式应用安全测试(IAST)工具
1.3 清单制度对企业的具体影响
一旦某类软件被列入关键领域清单,相关企业将面临:
更严格的供应商审查:需要对软件供应商进行安全评估,包括供应商的资质、安全能力、合规记录等
更频繁的漏洞扫描:需要定期对使用的软件进行漏洞扫描和风险评估
更详细的文档记录:需要建立完整的软件供应链台账,包括SBOM、供应商信息、风险评估报告等
更严格的变更管理:软件版本的升级、组件的替换需要经过审批流程
更高的合规成本:需要投入更多的人力、物力、财力满足合规要求
二、SBOM:信息共享的技术底座
《规定》第八条要求推动关键领域产业链供应链信息共享。在软件领域,SBOM(Software Bill of Materials,软件物料清单)是信息共享的核心载体。
2.1 什么是SBOM?
SBOM类似于食品的"配料表",详细记录了一个软件产品包含的所有组件信息。一个完整的SBOM通常包括:
组件标识:组件名称、版本、供应商、唯一标识符(如PURL、CPE)
依赖关系:组件之间的依赖关系图,包括直接依赖和传递依赖
许可证信息:每个组件的开源许可证类型(如MIT、Apache-2.0、GPL-3.0)
漏洞信息:已知漏洞的CVE编号、严重程度、修复状态
完整性校验:组件的哈希值,用于验证组件未被篡改
2.2 中国SBOM标准:GB/T 47020-2026
好消息是,我国GB/T 47020-2026《软件物料清单数据格式》已于2026年2月发布,将于8月1日实施。这一标准的出台具有里程碑意义:
统一技术语言:此前,业界使用多种SBOM格式,如SPDX、CycloneDX、SWID等,缺乏统一标准。GB/T 47020-2026为中国市场提供了统一的SBOM格式规范,解决了"方言不通"的问题。
支撑监管要求:为《规定》第八条的信息共享要求提供了技术实现路径。监管部门可以基于统一格式进行审查,企业可以基于统一格式进行交换。
促进产业协同:统一的SBOM格式有助于建立行业级的供应链安全信息共享平台,实现威胁情报的互通共享。
2.3 SBOM的生成与管理实践
企业需要建立SBOM的全生命周期管理机制:
生成阶段:
在构建阶段自动提取依赖信息
支持多种构建工具(Maven、Gradle、npm、pip等)
生成符合GB/T 47020-2026格式的SBOM文件
存储阶段:
将SBOM纳入版本控制系统
建立SBOM数据库,支持多版本管理
与软件版本一一对应,确保可追溯性
分发阶段:
向下游客户提供SBOM
支持SBOM的查询和下载
建立SBOM更新通知机制
消费阶段:
解析上游供应商提供的SBOM
与漏洞数据库比对,识别风险组件
评估许可证合规性
三、风险监测预警:给软件供应链装上"雷达"
《规定》第九条要求建立风险监测预警制度。对软件企业而言,这意味着需要构建三层监测能力:
3.1 上游监测:开源组件与第三方库
监测对象:
开源组件的漏洞披露(CVE、CNVD、CNNVD等)
开源组件的许可证变更(如Redis从BSD变更为SSPL)
开源组件的维护状态(是否停止维护、是否存在恶意维护者)
开源组件的供应链攻击(如恶意包投毒、依赖混淆攻击)
技术手段:
SCA工具(软件成分分析):自动识别软件中的开源组件,匹配漏洞数据库
漏洞情报平台:实时订阅漏洞情报,第一时间获取漏洞信息
开源组件信誉评估:评估组件的维护活跃度、社区健康度、安全记录
3.2 中游监测:开发工具链与CI/CD流水线
监测对象:
开发工具的安全性(IDE插件、编译器、构建工具)
CI/CD流水线的安全性(流水线配置、密钥管理、权限控制)
代码仓库的安全性(访问控制、提交签名、分支保护)
容器镜像的安全性(基础镜像漏洞、镜像篡改、恶意层)
技术手段:
流水线安全扫描:在CI/CD流程中集成SAST、SCA、容器扫描
镜像签名验证:使用Notary、Sigstore等工具验证镜像签名
供应链攻击检测:检测异常的依赖引入、构建行为
3.3 下游监测:交付物与运行态依赖
监测对象:
交付软件的完整性(是否被篡改、是否包含未授权组件)
运行时的依赖变化(动态加载的库、插件)
软件的实际使用情况(哪些组件被实际调用、是否存在幽灵依赖)
技术手段:
运行时SCA:在应用运行时动态分析实际加载的组件
RASP(运行时应用自我保护):检测运行时的异常行为
SBOM比对:将运行态的SBOM与构建时的SBOM比对,发现差异
四、从"被动合规"到"主动治理"的思维转变
《规定》的制度设计倒逼企业转变思维:
以前:安全是成本中心,能省则省。安全投入被视为"烧钱",只有在出了安全事故后才被动投入。
现在:安全是法律义务,不合规面临处罚。834号令将供应链安全从行业自律提升为法定义务,企业必须投入资源满足合规要求。
未来:安全是核心竞争力,领先者享受制度红利。率先建立供应链安全能力的企业,不仅能满足合规要求,还能在市场竞争中获得优势。客户更愿意选择供应链安全能力强的供应商,投资者更看好供应链安全治理规范的企业。
据行业统计,2025年新增开源漏洞42万余条,恶意投毒组件超5.9万个,增幅超过50%。《规定》的制度驱动为安全产业创造了巨大的市场空间,也为技术人才提供了新的职业方向。SBOM工程师、供应链安全架构师、开源治理专家等新兴岗位正在快速涌现。
五、结语
关键领域清单与SBOM,是834号令在软件供应链安全领域的两大核心抓手。清单解决"治理谁"的问题,SBOM解决"怎么治"的问题。两者结合,构成了"精准识别-透明治理-协同防御"的完整闭环。
对技术从业者而言,理解并掌握SBOM技术、熟悉关键领域清单的治理逻辑,将成为未来几年的核心竞争力。这不仅是为了合规,更是为了构建真正 resilient 的软件系统。
)
