【產(chǎn)通社，12月5日訊】樂(lè)鑫信息科技（上海）股份有限公司（Espressif Systems；股票代碼：688018）官網(wǎng)消息，“軟件物料清單”（SBOM）信息是確保聯(lián)網(wǎng)設(shè)備安全性的關(guān)鍵，樂(lè)鑫現(xiàn)在提供了相關(guān)工具和解決方案，便于跟蹤和分析這些信息。

SBOM已經(jīng)成為軟件安全和軟件供應(yīng)鏈風(fēng)險(xiǎn)管理的關(guān)鍵組成部分。SBOM是與應(yīng)用程序相關(guān)的所有軟件組件、依賴項(xiàng)和元數(shù)據(jù)的詳盡清單。美國(guó)國(guó)家電信和信息管理局（NTIA）的SBOM FAQ對(duì)SBOM的官方定義如下：

軟件物料清單（SBOM）是一個(gè)完整的、正式結(jié)構(gòu)化的組件、庫(kù)和模塊列表，這些組件、庫(kù)和模塊是構(gòu)建（即編譯和鏈接）給定軟件以及它們之間的供應(yīng)鏈關(guān)系所需的。這些組件可以是開源的或?qū)Ｓ械模赓M(fèi)的或付費(fèi)的，可以廣泛使用或限制訪問(wèn)。

每個(gè)組件的關(guān)鍵數(shù)據(jù)字段包括：供應(yīng)商名稱、組件名稱、組件版本、其他唯一標(biāo)識(shí)符、依賴關(guān)系、SBOM數(shù)據(jù)作者、時(shí)間戳。

SBOM數(shù)據(jù)需要通過(guò)一致易懂的格式呈現(xiàn)，SPDX、CycloneDX等都是數(shù)據(jù)表示的格式。軟件包數(shù)據(jù)交換（SPDX）是用于傳遞SBOM信息的開放標(biāo)準(zhǔn)，支持準(zhǔn)確識(shí)別軟件組件、明確映射組件關(guān)系，以及將安全和許可信息與每個(gè)組件關(guān)聯(lián)起來(lái)。

ESP-IDF-SBOM是一個(gè)SBOM生成工具，為基于ESP-IDF的應(yīng)用程序生成SPDX格式的SBOM。該工具還可以對(duì)比美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD），檢查生成的SBOM中是否存在已知安全漏洞。

SBOM生成器工作流程大致如下：
從依賴組件中收集sbom.yml文件（manifest文件）；
解析ESP-IDF構(gòu)建系統(tǒng)生成的項(xiàng)目描述文件；
生成SPDX報(bào)告；掃描生成的SPDX報(bào)告，檢查。

查詢進(jìn)一步信息，請(qǐng)?jiān)L問(wèn)官方網(wǎng)站http://www.espressif.com.cn/zh-hans/home。（張怡，產(chǎn)通發(fā)布）    （完）