一图读懂《网络安全技术软件物料清单数据格式》,软件成分分析、物料清单(SBOM)

软件物料清单（SBOM，Software Bill of Materials），是对一款软件内部所有组件、依赖库、开源片段、第三方代码及相互依赖关系的结构化、标准化清单，相当于软件的 “成分表” 或 “零部件台账”。在信创合规与首版次高端软件认定中，SBOM 是实现软件成分透明、供应链可追溯、漏洞可定位、许可证可合规管理的基础数据。

一、两者定义

SBOM 也就是软件物料清单。它是一份标准结构化、机器能识别的清单，把软件里所有自研、开源、商业第三方组件都记录清楚，包含版本、许可证、依赖链路、供应信息这些关键信息，主要用来做供应链透明化、漏洞追溯和合规审计。

SCA 软件成分分析，本质是一套自动化扫描分析能力。可以扫源码、安装包、二进制文件和各类依赖配置，自动扒出里面所有开源和第三方组件，再关联漏洞库、许可证库做比对，把隐藏的安全隐患和版权合规问题找出来。

二、核心关系

日常落地里，SCA 是生成 SBOM 最主要的方式。现在软件依赖链路特别复杂，手工根本理不全，行业里基本都是靠 SCA 工具扫描，直接导出 SPDX、CycloneDX 这类标准格式的 SBOM。
SPDX：由 Linux基金会推动，并于 2021 年成为 ISO/IEC 5962 国际标准。它的诞生是为了解决开源许可证的合规问题，字段设计极其严谨。
CycloneDX：由 OWASP（开放式 Web 应用安全项目）主导。它从一开始就专注于应用安全，旨在为漏洞扫描工具（如 Dependency-Track）和 CI/CD 流水线提供机器友好的数据格式。

SBOM 就是 SCA 最核心的产出，也是后续所有治理工作的基础数据。SCA 扫完得出的组件清单，就是 SBOM；之后查漏洞、审许可证、做依赖管控、安全应急排查，全都要依托这份清单来做。