编制说明_网络安全技术 软件物料清单数据格式.pdf

《网络安全技术软件物料清单数据格式》（征求意

见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准需求，《网络安全技术

软件物料清单数据格式》由水利部信息中心负责承办。本标准由全国网络安全标

准化技术委员会归口管理。

1.2制定背景

软件供应链复杂、开源软件使用增加、软件升级补丁的保障措施不够完善等，

都是造成软件供应链安全风险上升、监管难度较大的主要原因。针对软件供应链

愈发复杂、软件嵌套引用组件数量庞大、国内的软件物料清单建设没有统一规范

等问题，制定软件物料清单（SBOM）格式规范，识别软件组件及其依赖关系，提

高软件全生命周期的可见性和透明度，增强软件供应链安全管理能力。软件物料

清单能够支撑软件供应链供方、需方和监管方发现软件中存在的安全漏洞风险和

知识版权风险。

1.3起草过程

（1）标准立项申报

2023年7月-2023年8月，成立标准编制组，组内开展多轮讨论，针对软件

物料清单相关政策、标准规范、技术实现开展研究，形成《网络安全技术软件

物料清单数据格式》标准草案初稿。按照网安标委2023年国家标准项目申报要

求提交了国家标准制定项目立项申请。

（2）草案阶段

2023年8月，在2023年WG7工作组第二次全体会议立项申报项目初审会进

行汇报，根据评审专家意见完善标准草案。

2023年9月，在网安标委2023年第二批网络安全国家标准立项专家评审会

进行汇报，根据评审专家意见完善标准草案。

2023年10月-2024年2月，在水利部信息中心和南方电网初步开展试点验

证，根据验证实践活动制定正式试点验证方案，开展组内试点验证单位征集。

1

2024年2月根据《全国网络安全标准化技术委员会关于17项网络安全国

家标准项目立项的通知》（网安字[2024]2号）通知，本标准正式获批为网络安

全标准制定项目。

2024年3月13日，在WG7工作组专家评审会进行汇报，与会专家进行研讨，

根据专家意见修改重点完善数据模型图和标准字段描述。

（2）征求意见阶段

2024年3月27日至4月1日，WG7组织成员单位对该标准进行了转阶段投

票，经成员单位投票决定该标准转为征求意见稿。

2024年4月11日，在TC260专家评审会进行汇报，根据专家意见，进一步

修改完善标准框架图，梳理元素分类；完善标准模型图，精简模块中文字并添加

图例等信息；针对标准引言、术语等进一步完善、补充；补充关于组件重要性相

关信息。

2024年4月21日，水利部组织专家质询会，向与会专家汇报标准内容，根

据专家意见，修改标准引言、修改清单组成逻辑结构及说明、增加缩略语定义、

统一部分内容在上下文中的表述、进一步明确部分字段定义。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

（1）普适性原则

数据字段选择满足供需监管等各相关方的需求，包括需方的软件供应链风险

管理需求，供方的软件物料清单管理需求和监管方的行业和多级监管需求。

（2）合规性原则

本标准遵从软件供应链安全有关法律法规的规定，标准条款内容符合我国法

律法规和相关政策要求。

（3）一致性原则

本标准与国内外相关技术标准协调一致，与我国软件供应链安全相关标准不

矛盾。

（4）兼容性原则

与现有标准良好兼容，覆盖现有标准的必要字段，提供国际标准格式转化的

指导。

2

（5）可操作性：标准能够支持自动化手段生成和交换清单。

2.2主要内容及其确定依据

本标准规定了一种通用的软件物料清单数据交换格式，包括软件物料清单组

成、清单文件格式要求和软件物料清单元素。软件物料清单组成规定了软件物料

清单包含哪些元素，以及各元素的含义和内容。清单文件格式要求规定了软件物

料清单文件应符合的格式规范。软件物料清单元素规定了软件物料清单各元素的

字段和字段值格式，并给出了各个字段的含义说明。

标准制定的依据为：

a）标准格式按照GB/T1.1—2020标准要求编写。

b）本标准制定参考