[目的/意义]在“软件定义一切”的时代，随着软件需求的扩展，网络空间安全威胁也在不断发生变化。软件供应链攻击已经成为网络空间中最具有挑战的威胁之一，攻击者可以通过软件组件注入或以其它方式破坏产品的完整性。软件物料清单（Software Bill of Materials,SBOM）是跟踪软件开发供应链的文档，可以改善软件整体的安全性、合规性和可追溯性，更快地进行事件响应和攻击面的管理。[方法/过程]根据SBOM实践流程，提出了使用软件组成分析（SCA）工具、开源工具和在CI/CD中使用插件三种方法来自动化创建SBOM清单。[结果/结论]基于SBOM视角，对软件供应链的安全问题进行分析和总结，为用户提供基于SBOM增强软件供应链安全防护贡献新思路。

• 单位
  长沙银行