悬镜安全正式成为首批开源风险评估与治理技术实验室软件物料清单（SBOM）工作组成员单位

国家工业信息安全发展研究中心是工业和信息化部直属事业单位，是我国工业信息安全领域重要的服务保障机构，具有等保测评、商用密码安全性评估、信息安全风险评估、电子数据司法鉴定、软件测试等资质。此次成立SBOM工作组，并启动“筑链计划”，旨在健全提升产业链供应链韧性和安全水平制度，建立产业链供应链安全风险评估和应对机制，加强软件供应链风险治理能力建设，提升软件安全性和透明度，推动软件物料清单（SBOM）体系完善与推广应用。

SBOM作为数字供应链安全治理的基础性工具之一，悬镜安全是其国内最早的实践者和布道者。2023年，悬镜安全团队联合倪光南院士及北京大学、开源中国、电信研究院、中兴通讯等产业机构的专家学者发布中国首个数字供应链SBOM格式DSDX，以企业级实战化应用实践，其目标是成为数字供应链安全治理与运营的核心技术抓手，以助力行业从软件供应链安全过渡到数字供应链安全时代。

现有的国际SBOM格式依赖于软件供应链，而如今数字供应链扩大了原有软件供应链的内涵，不仅囊括数字应用，还包括基础设施环境和供应链数据。数字供应链安全更是涵盖数字应用安全、基础设施服务安全以及供应链数据安全。基于此，国内首个自有SBOM格式-DSDX重点引入了运行环境信息和供应链流转信息，加强了清单间的互相引用，并实现最小集/扩展集的灵活应用，深度支持代码片段信息的存储及追踪，为企业用户提供整个数字供应链基础设施视角的落地治理实践。

由组件作为最小重复单元，结构更加简洁；

不同SBOM之间可以通过DSDX ID进行关联

代码文件/片段相似度及来源信息描述；

可以作为外部链接被DSDX引用，节省清单篇幅

DSDX v1.0的核心特点包括全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。针对性适配中国企业实战化应用实践场景。

DSDX通过与悬镜源鉴SCA开源威胁管控平台深度联动，可全面提升企业数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及安全管理水平。

开源应用组件级资产测绘：DSDX可以生成全面兼容、安全可溯源的软件物料清单，精细化识别开源软件组件及其构成和依赖关系，输出透明化的数字应用组件资产及风险清单。

许可证合规性管理：基于DSDX记录的开源软件许可证信息，进一步实现许可证条款解读、兼容性分析等，帮助企业确保自身遵守许可证相关条款，规避潜在的知识产权等法律问题或处罚，避免后续公司业务自身权益受到损害。

提升软件质量：基于DSDX提供的组件信息，识别出过时或废弃的组件，鼓励开发团队使用最新且安全的库，从而提高整体的软件质量。

安全事件应急响应：DSDX中包含了详尽的软件组成成分，安全团队可以通过DSDX分析软件风险，并进行持续监控；在有供应链安全事件发生时，安全团队也能根据DSDX快速定位第三方组件中已知漏洞的影响范围，并针对性地对修复措施进行优先级排序，加速供应链攻击事件应急响应速度。

SCA技术是数字供应链开源治理的关键入口，DSDX为代表的SBOM格式将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用。深度支持DSDX的源鉴SCA，针对性适配中国企业实战化应用实践场景，为供应链上下游企业用户提供安全新方案与整体建设新思路，保障数字供应链下开源资产的安全引入及安全管控，助力行业及产业从软件供应链安全向数字供应链安全过渡升级。

在悬镜看来，不断推进国产安全治理平台核心技术自主可控，是国家安全产业发展的关键基础，是实现我国数字强国建设的必由之路。此次悬镜安全成为首批SBOM工作组成员单位，将大力配合国家工业信息安全发展研究中心开展SBOM理论和技术研究、标准研制、趋势研判，支持软件供应链管理和治理体系建设。推动SBOM相关研发平台建设，开展SBOM关键技术攻关、典型应用场景研究；建立技术、产品、服务供需对接平台，打造产业生态闭环。通过举办会、展、培训等多种方式，加强政、产、学、研、用等多方沟通交流，推广研究成果和优秀产品案例，加快规模化落地推广。