我国首部统一规范 SBOM(软件物料清单)数据结构|的国家标准GB/T 47020-2026发布和整理分析

一、标准基础信息

1. 标准全称
   GB/T 47020-2026 网络安全技术 软件物料清单数据格式
2. 发布 / 实施时间
   2026-01-28 发布，2026-08-01 强制实施
3. 归口单位
   全国网络安全标准化技术委员会 (SAC/TC260)
4. 起草单位
   水利部、能源局、中科院信工所、电网、车企、金融、头部安全厂商、云厂商、操作系统厂商等数十家政企联合编制
5. 适用范围
   指导软件供应链全参与方（开发商、集成商、甲方采购方、运维单位）统一生成、交换、使用标准化 SBOM；覆盖商用软件、自研软件、嵌入式软件、开源软件、信创系统、车载软件、政务业务系统等全部软件产品。
6. 核心定位
   定义国内统一 SBOM 数据格式代号SBOMDF，区别于国际 SPDX，形成自主可控、适配国内网络安全、等保、供应链合规要求的本土化 SBOM 规范。

二、核心术语先搞懂

1. 软件物料清单（SBOM）
   软件全部组件、源码文件、开源代码片段清单，附带依赖关系、许可证、漏洞、供应商、签名安全信息；是软件供应链 “成分说明书”。
2. 制品 artifact
   开发 / 运维产出的源文件、二进制包、模型、配置文件、镜像等可交付文件。
3. 外部网络服务
   软件运行依赖外部第三方服务：CDN、短信、支付接口、域名、邮件推送等，纳入 SBOM 统一管控。
4. SBOMDF
   本标准规定的国产软件物料清单数据格式专有缩写。

三、国标规定 SBOM 六大核心模块

标准将一份完整合规 SBOM 划分为 6 大类信息，每个大类包含固定元素、必填 / 可选字段，企业编制 SBOM 必须完整覆盖：

模块 1：基本信息（软件 + 清单元数据，全部必填）

分为两大必选对象：

1. 软件信息 software
   描述软件本体必填核心字段：软件名称、版本、SM3 等杂凑算法、完整性摘要、供应商、许可证名称；补充字段：软件类型、授权期限、开源获取渠道、供应商属地（中国 - 省 - 市）。
2. 清单信息 document
   描述 SBOM 文件本身固定标识：formatName 固定为SBOMDF、版本固定1.0；强制唯一标识：128 位 UUID 清单 ID；必填：创建时间戳、编制单位；可选：生成工具、SBOM 下载地址、软件生命周期阶段（开发 / 交付 / 运维 / 废止）。

模块 2：软件组成信息

1. 组件信息 components【必选】
   记录所有第三方包、开源库、中间件组件；强制记录组件 ID、名称、版本、供应商、许可证、文件哈希摘要；支持标注自研比例、安全等级、组件完备度。
2. 文件信息 files【可选】
   源代码、配置、模型、数据集全路径记录，支持文件完整性校验。
3. 代码片段 snippets【可选】
   单独摘录的开源代码片段精准定位：文件路径、起止行 / 字节、来源开源项目、许可证。
4. 内部依赖 dependencies【必选】
   组件 / 文件 / 代码片段之间依赖、包含关系图谱，实现漏洞影响范围一键追溯。

模块 3：外部依赖信息

所有软件运行依赖的外部资源，统一登记，解决第三方服务不可控风险：

1. 外部网络服务 services
   支付、短信、鉴权等第三方接口；重点标记不可替代服务（必须强制填写供应商、国内 / 境外服务地址）。
2. 基础环境 platform
   操作系统、数据库、中间件、BIOS 运行环境，记录版本与供应商。
3. 开发工具 developmentTools
   编译器、CI/CD、包管理工具，追溯代码构建源头。

模块 4：安全信息

该模块是质量、安全评审重点，许可证、漏洞为强制输出：

1. 许可证 licenses【必选】
   统一汇总全部开源 / 商用协议，记录协议风险、是否含专利、全球 / 区域使用限制、商用授权到期时间，解决开源合规侵权风险。
2. 安全漏洞 vulnerabilities【必选】
   已修复漏洞完整台账：漏洞编号 (CVE/CNVD)、受影响组件、修复方式、对应补丁关联关系。
3. 网络接口 interfaces、补丁 patches、配置风险 configRisks、生命周期中断风险 disruptions
   分别管控对外 API、安全补丁、默认配置漏洞、组件停更 / 单一供应商断供风险。

模块 5：扩展信息 properties

企业可根据行业（金融、汽车、水利、能源）增加自定义字段，不破坏标准基础结构，适配行业专项合规要求。

模块 6：签名信息 integrity

每份 SBOM 必须附加数字签名文件 + 配套 CA 证书文件，交付时同步提供，校验 SBOM 文件未被篡改，保障审计、监管溯源可信度。

四、文件格式统一规范

1. 支持格式
   JSON、XML 等通用结构化文本，推荐 JSON（标准附录全部提供 JSON 示例）；
2. 命名规范
   文件名统一后缀*.SBOMDF.json，快速识别标准化国产 SBOM；
3. 字段命名规则（统一编码规范）
• 单个英文单词全小写；
• 多词汇驼峰命名（softwareName、listID）；
4. 字段分级定义
   全部字段分为三类：必选项、可选项、条件必选（满足特定场景强制填写，如不可替代第三方服务必须填供应商属地）。

五、附录 A：强制必选字段清单

标准附录 A 明确合规最低要求，缺少以下字段直接判定 SBOM 不合规，质量验收可直接对照核查：

1. 软件基础：软件名、版本、哈希算法 + 摘要、供应商、许可证；
2. SBOM 文件元数据：SBOMDF 标识、版本、UUID 唯一 ID、创建时间、编制方；
3. 组件库：组件唯一 ID、名称、版本、许可证、完整性哈希；
4. 依赖关系：依赖主体、关系类型、被依赖对象 ID；
5. 许可证台账：协议编号、名称、约束条款、地域范围、专利说明、风险提示；
6. 漏洞台账：漏洞 ID、名称、影响组件、漏洞编号、修复方案；
7. 安全防篡改：签名文件、数字证书文件。

参考：

GB/T 47020—2026 网络安全技术 软件物料清单数据格式

此标准可以通过如下网盘链接，下载获取。

我用夸克网盘给你分享了「GBT+47020-2026.pdf」，点击链接或复制整段内容，打开「夸克网盘APP」即可获取。

/~010d3ZBD10~:/

链接：https://pan.quark.cn/s/717ed7141430?pwd=cLFR

提取码：cLFR