国家工业信息安全发展研究中心是工业和信息化部直属事业单位，是我国工业信息安全领域重要的服务保障机构，具有等保测评、商用密码安全性评估、信息安全风险评估、电子数据司法鉴定、软件测试等资质。此次成立SBOM工作组，并启动“筑链计划”，旨在健全提升产业链供应链韧性和安全水平制度，建立产业链供应链安全风险评估和应对机制，加强软件供应链风险治理能力建设，提升软件安全性和透明度，推动软件物料清单（SBOM）体系完善与推广应用。

SBOM作为数字供应链安全治理的基础性工具之一，悬镜安全是其国内最早的实践者和布道者。2023年，悬镜安全团队联合倪光南院士及北京大学、开源中国、电信研究院、中兴通讯等产业机构的专家学者发布中国首个数字供应链SBOM格式DSDX，以企业级实战化应用实践，其目标是成为数字供应链安全治理与运营的核心技术抓手，以助力行业从软件供应链安全过渡到数字供应链安全时代。

中国首个数字供应链SBOM格式DSDX

现有的国际SBOM格式依赖于软件供应链，而如今数字供应链扩大了原有软件供应链的内涵，不仅囊括数字应用，还包括基础设施环境和供应链数据。数字供应链安全更是涵盖数字应用安全、基础设施服务安全以及供应链数据安全。基于此，国内首个自有SBOM格式-DSDX重点引入了运行环境信息和供应链流转信息，加强了清单间的互相引用，并实现最小集/扩展集的灵活应用，深度支持代码片段信息的存储及追踪，为企业用户提供整个数字供应链基础设施视角的落地治理实践。

由组件作为最小重复单元，结构更加简洁；

不同SBOM之间可以通过DSDX ID进行关联

代码文件/片段相似度及来源信息描述；

可以作为外部链接被DSDX引用，节省清单篇幅

适配中国企业实战化应用实践场景

DSDX v1.0的核心特点包括全场景覆盖、强大的兼容性、供应链数据溯源和强大的自身安全性。针对性适配中国企业实战化应用实践场景。

DSDX通过与悬镜源鉴SCA开源威胁管控平台深度联动，可全面提升企业数字供应链安全风险的发现能力、分析能力、处置能力、防护能力以及安全管理水平。

开源应用组件级资产测绘：DSDX可以生成全面兼容、安全可溯源的软件物料清单，精细化识别开源软件组件及其构成和依赖关系，输出透明化的数字应用组件资产及风险清单。

许可证合规性管理：基于DSDX记录的开源软件许可证信息，进一步实现许可证条款解读、兼容性分析等，帮助企业确保自身遵守许可证相关条款，规避潜在的知识产权等法律问题或处罚，避免后续公司业务自身权益受到损害。

提升软件质量：基于DSDX提供的组件信息，识别出过时或废弃的组件，鼓励开发团队使用最新且安全的库，从而提高整体的软件质量。

安全事件应急响应：DSDX中包含了详尽的软件组成成分，安全团队可以通过DSDX分析软件风险，并进行持续监控；在有供应链安全事件发生时，安全团队也能根据DSDX快速定位第三方组件中已知漏洞的影响范围，并针对性地对修复措施进行优先级排序，加速供应链攻击事件应急响应速度。

SCA技术是数字供应链开源治理的关键入口，DSDX为代表的SBOM格式将在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用。深度支持DSDX的源鉴SCA，针对性适配中国企业实战化应用实践场景，为供应链上下游企业用户提供安全新方案与整体建设新思路，保障数字供应链下开源资产的安全引入及安全管控，助力行业及产业从软件供应链安全向数字供应链安全过渡升级。

在悬镜看来，不断推进国产安全治理平台核心技术自主可控，是国家安全产业发展的关键基础，是实现我国数字强国建设的必由之路。此次悬镜安全成为首批SBOM工作组成员单位，将大力配合国家工业信息安全发展研究中心开展SBOM理论和技术研究、标准研制、趋势研判，支持软件供应链管理和治理体系建设。推动SBOM相关研发平台建设，开展SBOM关键技术攻关、典型应用场景研究；建立技术、产品、服务供需对接平台，打造产业生态闭环。通过举办会、展、培训等多种方式，加强政、产、学、研、用等多方沟通交流，推广研究成果和优秀产品案例，加快规模化落地推广。