近年来,随着数字化转型的加速与网络威胁的日益猖獗,软件供应链安全成为国家安全的重点关注领域。软件物料清单(SBOM)作为一种包含软件组件信息的详尽清单,正逐渐成为保障软件透明度、提升风险管理和减少漏洞风险的重要工具。美国国防部(DoD)和联邦政府通过多项指导政策和法规,推行SBOM及其衍生成果 - - 硬件物料清单(HBOM)和固件物料清单(FBOM),这标志着对供应链安全的全方位深化。SBOM的兴起不仅是应对日益复杂供应链的必然战略,也为企业与政府机构构建更为健全的安全体系提供了基础保障。领军行业解决方案提供商,例如Eclypsium,致力于保护关键的软件、固件和硬件设备,包括用户终端、服务器、网络设备及AI硬件,通过技术手段实现对供应链安全的全方位覆盖。国防部最新发布的指导强调防范来自敌对外国势力的干预行为,要求杜绝任何可能影响关键任务完成的硬件和软件采购。
在此背景下,合规使用SBOM、FBOM和HBOM不仅是安全要求,更是实现供应链风险管控的基础手段。2025年7月,国防部长的备忘录严肃警示供应链的复杂风险,要求防止恶意能力的渗透和引入,这直接推动了对相关政策的加码,例如网络安全成熟度模型认证(CMMC)、软件快速通道(SFT)、运营授权(ATO)流程和联邦风险与授权管理计划(FedRAMP)等。这些标准不仅体现了对供应链透明度和安全性的高度重视,也为各级防御工作明确了技术和流程方向。与此同时,美国网络安全和基础设施安全局(CISA)于2025年发布了《软件物料清单最低要求》,细化了SBOM应包含的元素,保证其在风险缓解和漏洞管理上的实用价值。CISA还推出交互式软件采购指南,帮助机构系统评估软件供应商的安全治理、供应链管理、漏洞响应能力及部署流程,推动从采购源头增强软件安全防御。值得关注的是,以"黄金圆顶"(Golden Dome for America)为代表的新型导弹防御项目,明确要求综合硬件、固件和软件物料清单,深化供应链安全保护。
此举不仅体现了技术防御的升级,更表明国家重点防御装备的安全管理正在向更细致、更全面的方向发展。国际层面,欧盟《网络韧性法案》(Cyber Resilience Act)自2024年12月生效,计划2026年起全面执行。该法严苛要求所有带数字元素的产品附带详尽的SBOM,涵盖软件与固件全组件,要求维护补丁及时、漏洞处理迅速,确保市场监管机构能够获得完整技术文档支持。此法规不仅推动供应链安全的国际标准化,也促进了全球企业对供应链透明化的共识。美国国家安全局(NSA)2023年发布的SBOM管理指导,为政府体系内严苛的供应链风险管理提供了切实可行的执行策略。NSA强调,随着供应链层级及地理分布的复杂多样,底层微电子元件和原材料的安全不可忽视,挑战专业人才和资源稀缺问题,专业指导为开展高效的供应链安全提供技术和管理参考。
多年以来,网络攻击逐渐由传统的用户端系统及公开暴露设备转向固件及硬件层面,国家级高级持续威胁(APT)组织如Salt Typhoon和Volt Typhoon频繁针对终端固件和陈旧网络设备发动攻击,促使安全防御重心向供应链深层结构延伸。综合上述政策与技术动态,供应链安全实践正迎来根本转变,重视软件、固件及硬件的全链条防护成为必然趋势。依托SBOMs、FBOMs及HBOMs,组织能够更精准识别风险组件,实施主动漏扫和及时修复,从而提升整体网络韧性和防御效能。展望未来,随着监管力度不断加强,企业与政府部门均需加快布署高效的供应链安全程序,强化跨部门协作与信息共享机制,共同抵御复杂多变的网络威胁。此外,借助先进技术如自动化审核、人工智能辅助漏洞识别,将大幅提升SBOM等清单的维护效率及准确性,降低人力资源压力。行业内领先的安全平台和方案供应商持续推出创新服务,帮助用户构建覆盖端点、网络设备及AI硬件的综合防护体系,提升供应链整体透明度和信任度,在国防及关键基础设施安全保障中发挥核心支撑作用。
总之,软件物料清单及其硬件、固件延伸应用已经成为现代网络安全战略中的关键基石。随着法规日益完善,技术手段不断成熟,其在风险识别、漏洞管理、合规审计及安全加固中的核心地位愈发凸显。组织应积极响应政策号召,结合自身实际,科学构建SBOM管理体系,实现全面供应链风险管理,促进数字生态的健康稳固发展。未来,供应链安全将不再是单一环节的挑战,而是多层面、跨主体协同的系统工程,只有持续创新、全面融合才能筑牢国家安全之盾。 。
