作者:总体技术部 林涛
近日,美国网络安全和基础设施安全局(CISA)发布了《2025 年软件物料清单(SBOM)的最低要素》(2025 Minimum Elements for a Software Bill of Materials)。该文件是对2021年由美国国家电信和信息管理局(NTIA)发布的《软件物料清单的最低要求要素》的升级,推动SBOM从静态、仅供参考的,转变为动态的、可操作的关键安全数据源。这一文件的发布,标志着软件供应链安全治理从概念倡导迈入了精细化新阶段。
一、发布背景
美国政府十分重视软件供应链安全管理,认为SBOM不能仅是形式上的清单,而必须是高质量、可操作、能真正用于风险决策的安全数据资产。为此,先后出台了多部专项政策和规范。
2021年7月,美国国家电信和信息管理局(NTIA)按照美国总统第14028号行政令(《关于改善国家网络安全的行政命令》)的要求制定发布了《软件物料清单(SBOM)的最低要求要素》,定义了SBOM实施的目标框架。
2022年9月,美国管理和预算办公室(OMB)发布《软件认证与供应链安全备忘录(M-22-18)》,要求联邦各部门通过安全的软件开发实践来加强软件供应链的安全性。
为此,美国网络安全和基础设施安全局(CISA)发布本文档,更新了SBOM最低要求要素,以反映当前SBOM实施实践的成熟度。它引入了新要素以反映当前SBOM需求和能力,同时保留了2021年文档的核心原则。
二、内容要点
2025年的SBOM框架并非对旧版的简单修订,而是一次旨在应对日益复杂的软件供应链风险的战略性升级,其核心要点均指向提升SBOM数据的机器可处理性、可追溯性、可行动性。
文件规定SBOM最低要求要素分为三类:
一是数据字段(Data Fields),是SBOM 的核心基本信息。在这一部分,本文件新增了组件哈希值、许可证信息、工具名称、生成上下文。这些新增项直指供应链安全的核心痛点:哈希值为软件组件提供了不可篡改的数字指纹,极大增强了成分验证的可靠性;许可证信息的强制披露将开源软件的法律合规风险提升到与安全风险同等重要的位置,避免了因许可证冲突导致的服务中断或法律纠纷;记录生成工具和上下文则赋予了SBOM数据可追溯性,从而评估其准确性和可信度。此外,文件对SBOM作者、软件生产者、组件版本、软件标识符、依赖关系做出了重大更新,对组件名称、时间戳做出了微小更新。这些澄清与强化将含义模糊的要素概念进一步明确,提高了SBOM清单的质量和可操作性。
二是自动化支持 (Automation Support),对于大规模管理软件组件数据至关重要。本部分虽未新增要素,但对支持的数据格式进行了审慎的更新,并强化了其核心原则。文件规定SBOM必须彼此兼容以支持自动化,实现大规模管理。它要求SBOM的生成与消费必须基于SPDX和CycloneDX等开放、成熟的标准格式,明确机构避免接受废弃版本的SBOM,保持与SBOM 使用和管理工具的兼容性。
三是实践与流程(Practices and Processes),是SBOM融入组织运营和供应链协同的操作指南。在这一部分,文件对覆盖范围、已知未知信息、SBOM数据更新的适应进行了重大更新,其核心意图是将SBOM从一次性的交付物转变为全面的、动态的、持续的管理过程,提升了SBOM的诚实度、时效性和实用性,将模糊的安全盲区转化为可管理的风险项目,使其成为可靠的决策依据。
三、影响分析
该文件发布的或将产生三方面影响。
一是对软件供应链的塑造。SBOM对于用户而言,或将是组织和机构维护自身软件供应链安全的重要参考手册,而对软件供给侧而言,则会更直接的影响其产品、方案或服务模式。
二是该标准具有强大的示范效应。美国作为信息技术领域的全球领导者,CISA制定的这份详细框架为其他正在应对同样供应链安全挑战的国家和组织而言,无疑提供了一个现成的参考模板。对包括其盟友在内的诸多国家和地区都将产生关联影响。
三是可能成为潜在的科技竞争工具。其可能被用以建立更精细的软件准入和风险评估机制等的依据。这将使得SBOM从一个技术安全工具,演变为一种技术遏制手段,增加未来科技博弈的不确定性。