加利福尼亞州舊金山——2022 年 2 月 1 日——Linux 基金會是一個通過開源實現大規模創新的非營利組織，它與 OpenSSF、SPDX 和 OpenChain 合作，今天宣布了一系列研究項目中的第一個，以了解確保軟件供應鏈安全的挑戰和機遇。“軟件材料清單狀態和網絡安全準備”報告了組織 SBOM 的準備程度和與網絡安全努力相關的采用程度。這項研究緊隨美國政府關于改善國家網絡安全的行政命令和最近的白宮開源安全峰會之后。與此同時，全球越來越認識到識別軟件組件和幫助加快對新發現的軟件漏洞的響應的重要性。

　　“SBOM 不再是可有可無的。我們的 Linux 基金會研究團隊透露，78%的組織預計在 2022 年生產或使用 SBOM。”Linux 基金會執行董事 Jim Zemlin 說。“隨著新的 ISO 標準（5962）或白宮行政命令的發布，企業加快了 SBOM 的采用，這不僅提高了他們的軟件質量，他們也更好地防范了新的開源漏洞披露（如與 log4j 相關的漏洞）帶來的敵對攻擊。”

　　SBOM 是一種正式的、機器可讀的元數據，它唯一地標識一個軟件組件及其內容；它還可能包括版權和許可數據。SBOM 被設計成在組織之間共享，并且特別有助于提供軟件供應鏈中參與者交付的組件的透明度。許多關注應用程序安全性的組織正在將 SBOM 作為其網絡安全戰略的基石。

　　報告分析了調查參與者的主要發現，包括：

　　82%的人熟悉軟件物料清單（SBOM）這個術語

　　76%的員工積極處理 SBOM 的需求

　　47%正在生產或消費 SBOM

　　78%的組織預計在 2022 年生產或消費 SBOM，比前一年增加 66%

　　此外，受訪者還透露了生產 SBOM 的三大好處：

　　51%的人表示，開發人員更容易理解應用程序中組件之間的依賴關系

　　49%的用戶表示更容易監控組件的漏洞

　　44%的人指出，管理許可證遵從性更容易。

　　Linux 基金會的研究人員還透露，額外的行業共識和政府政策將有助于推動 SBOM 的采用和實施。研究人員指出：

　　62%的人正在尋求更好的行業共識，如何將 SBOM 的生產/消費整合到他們的 DevOps 實踐中

　　58%的人希望就將 SBOM 整合到他們的風險和合規流程中達成共識

　　53%的人希望業界能就 SBOM 的發展和改進達成更好的共識

　　全世界 80%的組織都知道白宮關于改善網絡安全的行政命令

　　76%的人認為行政命令的直接后果是改變

　　最后，研究參與者揭示了他們用來對開發人員將使用的開源軟件組件進行優先排序的最重要的屬性：安全性排名最高，其次是許可遵從性。

　　Linux 基金會研究部在 2021 年第三季度對組織 SBOM 的準備和采用進行了全球范圍的實證研究。共有來自世界各地的 412 家機構參與了 65 個問題的調查。該報告的作者是 Linux 基金會研究部副總裁 Stephen Hendrick。Linux 基金會也優先研究幫助集體理解網絡安全挑戰的范圍，這是一系列核心研究項目中的第一個，探索與實施網絡安全最佳實踐和標準采用相關的重要問題，從 SBOM 準備情況的研究開始。

　　Linux 基金會支持大量的開放源碼 SBOM 和安全相關的計劃，包括開源安全基金會[1]（OpenSSF）、SPDX[2]（ISO/IEC 5962[3]）、sigstore[4]、Let's Encrypt[5]、in-toto[6]、The Update Framework[7]（TUF）、Uptane[8]和OpenChain（ISO 5230）[9]。

　　額外資源

　　下載軟件材料清單狀態和網絡安全準備報告[10]

　　請觀看2 月 1 日的網絡研討會[11]，了解軟件材料在網絡安全準備中的作用

　　加入 6 個OpenSSF 工作小組[12]中的一個，以幫助提高開源安全性

　　閱讀SPDX 作為 SBOM 的 ISO 標準[13]

　　獲得關于生成免費軟件材料清單的免費培訓[14]

　　獲得安全軟件開發專業人員的認證[15]