建信金科与中国信通院联合发布《软件物料清单SBOM安全应用白皮书》

日前,在由中国信息通信研究院主办的2022首届3SCON“软件供应链安全论坛”上,建信金科与中国信通院联合发布了国内首个软件物料清单(SBOM)白皮书——《软件物料清单(SBOM)安全应用白皮书》,对推动国内软件供应链安全标准和生态建设具有重要意义。

本次发布的白皮书全面梳理了国际主流软件物料清单的发展现状,通过解析软件物料清单的应用关键要素,系统阐述了软件物料清单在 DevSecOps 及安全运营上的实施路径,并对软件物料清单相关标准技术的发展趋势进行了展望,将软件物料清单安全应用的相关技术研究与实践经验分享给业界,为国家的软件供应链安全工作贡献力量。

2020年底美国太阳风事件,2021年Apache开源组件log4j漏洞事件,以及近年来在网络攻防演练中的供应链攻击案例,已让各行业及国家信息安全监管部门意识到软件供应链安全的重要性。作为国家金融基础设施建设的积极参与者,建信金科在软件供应链安全、开源治理等方面开展了多项工作,其中在软件物料清单技术的安全应用研究工作中,建信金科对SBOM的关键技术要素、标准规范、安全应用场景(软件供应链安全管理,安全漏洞管理、安全应急响应,高可信安全应用管理)等方面的国际进展进行了深入研究,并提出了SBOM技术在建信金科DevSecOps流程和安全运营平台上应用的实施路径。

未来建信金科将在软件供应链安全领域持续深耕探索,开展SBOM技术在金融软件供应链安全和网络安全场景下的应用试点工作,参与制定SBOM技术应用的金融行业标准和国家标准,为SBOM技术应用生态建设做出应有的贡献。