软件物料清单实践分享 | 京东科技SBOM应用与实践 - 新鲜讯息

Background

背景

软件物料清单（SBOM）指软件成分列表，列出了软件组件、有关这些组件的信息以及它们之间的供应链关系。软件物料清单（SBOM）通过明确识别和详细记录软件组件及其相互关系以提升软件透明度，成为软件供应链安全治理的重要抓手。在此背景下，由中国信息通信研究院（以下简称“中国信通院”）牵头，联合金融、运营商、互联网、汽车、安全等行业头部企业，共同编制了T/CCSA 569-2024《软件物料清单总体能力要求》标准，已于2024年11月12正式发布，并同步开展评估工作。

前期京东科技顺利通过中国信通院可信软件物料清单（SBOM）能力评估，本次我们采访了京东科技信息技术有限公司（以下简称“京东科技”）数字化效能部郑伟娜，分享京东科技在软件物料清单的落地实践及实施效果。

Q：郑老师您好，请介绍一下您的企业。

京东科技是京东集团旗下专注于以技术为政企客户服务的业务子集团，致力于为城市、企业、金融机构等各类客户提供全价值链的技术性产品与服务。京东科技现已成为整个京东集团对外提供技术服务的平台，是更懂产业的数智化解决方案提供商。基于人工智能、云计算、大数据、物联网等前沿科技依托京东多年耕耘供应链的积累，京东科技面向不同行业提供以供应链为基础数智化解决方案，助力千行百业的数字化转型与升级，实现高质量发展。

Q：请介绍一下软件物料清单的落地实践和关键技术。

京东科技在SBOM落地实践中，开发了星光SSCM平台自动收集整理软件组件信息。通过集成内部工具如流水线、发布系统等，实现了SBOM的高效自动化生成和更新。我们采用多维度SBOM分析，关注不同角色用户关心的内容。技术上，软件分析阶段识别依赖组件和许可证，生成SBOM片段，通过sbom-tool工具合成完整文件。解析与存储阶段，系统自动解析SBOM文件，结构化存储信息，便于检索和分析。风险报告阶段，系统分析风险项，定时生成更新风险报告，并提供下载功能，帮助用户及时应对安全风险。

Q：请介绍一下软件物料清单实践的背景和需求。

京东科技在进行软件供应链安全管理时，存在以下几个问题：

（1）理不清

不清楚在进行应用系统开发时使用了多少第三方软件和组件，第三方组件通常又会依赖其它更多组件；多级依赖使的整个组件结构非常复杂，难以理清。

（2）看不见

在使用第三方组件的过程中，特别是一些老组件，即便它们中有的已产生过安全漏洞和知识产权风险，也无法“看见”并及时处理。

（3）找不到

在第三方组件出现漏洞的时候，无法快速地定位受影响的组件，评估影响范围；随着软件成分的日渐复杂，类似问题更加严峻。

Q：请介绍一下软件物料清单解决方案和实施效果。

京东的星光SSCM系统已集成到行云平台，实现了自动化生成源码、软件制品、容器镜像和SBOM文件，并提供了详细的SBOM原数据。该系统利用漏洞库、许可证库等信息库进行风险分析，识别并管理技术架构风险，同时对已上线应用系统进行资产管理和使用流程规范化。这些措施提升了发现可信组件的效率，增强了应用系统的质量和安全，降低了相关风险和组件使用成本。

后续，中国信通院将持续开展软件物料清单新理论、新技术和新应用研究，跟踪软件物料清单最新发展态势，完善软件物料清单标准体系，推进可信软件物料清单（SBOM）评估，欢迎感兴趣的企业和专家与我们联系！

业务联系人：

王老师 18652930342 [email protected]

吴老师 18810541612 [email protected]

延展阅读

✦

长按二维码关注

链接云端，可信而安