近日，由中國信息通信研究院主辦的“2024中國信通院ICT深度觀察報告會——開源和軟件供應鏈論壇”在京召開。會上，中國信通院重磅發(fā)布了2023可信開源與可信安全系列評估結(jié)果，京東云提報的“SSCM軟件供應鏈管理工具”成為下半年度唯一通過“SBOM可信軟件物料清單總體能力要求評估”的項目。

企業(yè)在面對軟件供應鏈管理時，常常會遇到“理不清、看不見、找不到”的痛點：首先，企業(yè)不清楚在系統(tǒng)中使用了多少第三方軟件和組件，第三方組件通常又會依賴其它更多組件，多級依賴使整個組件結(jié)構(gòu)非常復雜，難以理清；其次，企業(yè)使用第三方組件時，即使是已產(chǎn)生過安全漏洞和知識產(chǎn)權(quán)風險的“老組件”，也無法及時“看見”風險漏洞并處理；第三，企業(yè)在第三方組件出現(xiàn)漏洞時，無法快速定位受影響的組件，評估影響范圍。

基于此，京東云打造了基于SBOM的軟件供應鏈管理工具SSCM軟件，以全面、準確和實時的軟件成分分析能力，為軟件供應鏈做“全身體檢”，快速“靶向”修復漏洞，規(guī)避合規(guī)風險，進而確保軟件供應鏈的安全。

具體來說，SSCM軟件供應鏈管理工具可基于開源組件信息庫遴選優(yōu)質(zhì)組件，審核和引入新的組件；同時，工具可清晰記錄應用及環(huán)境所使用的組件版本，進行版本控制并追蹤其變更。通過反向追溯軟件，該工具可迅速確定漏洞的影響范圍，快速修復或替換。

在軟件采購和資產(chǎn)管理方面，SSCM軟件供應鏈管理工具可以掃描外采軟件成分，評估質(zhì)量、安全性和合規(guī)性，確保符合組織要求，精準管理軟件資產(chǎn)。

值得一提的是，在法律合規(guī)專家的支持下，軟件已將業(yè)內(nèi)2700余種開源協(xié)議解析，給非法律專業(yè)的開發(fā)者以更明確、簡易、安全的指導，讓開源協(xié)議與使用場景一一對應成為可能。目前，這一法律合規(guī)與技術(shù)的“結(jié)合體”已在京東內(nèi)部多個技術(shù)團隊中廣泛應用?；诰〇|內(nèi)部實踐，SSCM軟件供應鏈管理工具成熟穩(wěn)定，開箱即用，不依賴其他基礎設施即可快速幫助技術(shù)團隊搭建軟件供應鏈安全的基本能力。

近年來，以Log4j和SolarWinds等為代表的軟件供應鏈安全事件頻發(fā)，進一步推動了業(yè)界對于軟件物料清單的關(guān)注程度。為了筑牢軟件供應鏈安全“防火墻”，中國信通院持續(xù)開展軟件供應鏈安全相關(guān)研究工作，構(gòu)建軟件供應鏈安全標準體系，牽頭編寫《軟件物料清單總體能力要求》標準，并依據(jù)標準開展系列評估工作。其中，可信軟件物料清單能力評估旨在通過軟件物料清單數(shù)據(jù)層面的評估，為企業(yè)在生成軟件物料清單數(shù)據(jù)格式時提供參考，推動可信軟件物料清單體系的建設，助力軟件供應鏈安全體系治理。同時，該評估還致力于建立行業(yè)間的互信機制，構(gòu)建安全可信的生態(tài)系統(tǒng)，助力企業(yè)持續(xù)發(fā)展。

在軟件供應鏈趨于復雜化和多樣化的當下，軟件供應鏈安全風險不斷加劇，軟件供應鏈成為影響軟件安全的關(guān)鍵因素之一。越來越多的企業(yè)將建立以開源軟件和商采軟件為核心的全生命周期軟件供應鏈安全管理體系，明確軟件物料清單數(shù)據(jù)格式規(guī)范，并開展軟件供應鏈安全資產(chǎn)管理工作。

面向未來，京東云愿與業(yè)內(nèi)權(quán)威機構(gòu)、企業(yè)攜手共建安全、合規(guī)、健康、可持續(xù)的開源生態(tài)。