月报年度报告社区动态
[示例] SBOM社区2025年度报告发布 | 社区月报2025.12
2025年,SBOM社区取得了丰硕成果:完成SBOM格式规范征求意见稿、发布sbom-generate 2.0版本、SPDX 3.0中文版翻译完成。社区成员突破250人,覆盖华为、阿里巴巴、腾讯等50...
2025-12-01
NEWS
新闻动态
了解SBOM最新动态,探索软件供应链安全实践,共享技术知识
技术峰会软件供应链开源
[示例] SBOM社区技术峰会圆满落幕
11月18日,以"软件供应链安全新时代"为主题的SBOM社区技术峰会圆满落幕。本次大会汇聚了来自国家工业信息安全发展研究中心、华为、南京大学等机构的专家,共同探讨SBOM标准化与产业落地。
2025-11-19
SPDX标准规范数据格式
[示例] SPDX 3.0标准深度解读:软件物料清单的新纪元
SPDX 3.0是软件包数据交换格式的最新版本,引入了全新的数据模型和语义结构。本文将深入解析SPDX 3.0的核心概念、元素定义和最佳实践,帮助开发者理解和应用这一国际标准。
2025-11-19
实践案例金融行业供应链安全
[示例] 某金融机构SBOM落地实践:从0到1构建软件供应链安全体系
某大型商业银行通过引入SBOM管理,建立了完整的软件供应链安全体系。本文分享了SBOM在金融行业的落地经验,包括组织架构调整、工具链建设、流程优化以及持续改进机制。
2025-11-12
工具教程sbom-generateCI/CD
[示例] sbom-generate使用指南:5分钟为项目生成标准SBOM
sbom-generate是社区开发的SBOM自动生成工具,支持Maven、npm、pip等主流包管理器。本文详细介绍工具的安装配置、使用方法、输出格式以及与CI/CD集成的最佳实践。
2025-11-08
安全分析SCA技术解析
[示例] 基于SBOM的软件成分分析(SCA)技术详解
软件成分分析(SCA)是SBOM的核心应用场景之一。本文详细解析SCA的技术原理,包括依赖解析、漏洞匹配、许可证检测等关键环节,并分享如何利用SBOM提升SCA的准确性和效率。
2025-11-05
漏洞情报Log4Shell应急响应
[示例] 从Log4Shell看SBOM在漏洞应急响应中的价值
Log4Shell漏洞的爆发让全球企业意识到软件供应链安全的重要性。本文回顾了Log4Shell事件,分析SBOM如何帮助企业在数小时内完成受影响资产排查,并建立漏洞应急响应机制。
2025-11-01
合规指南许可证开源合规
[示例] 开源许可证合规指南:常见许可证的SBOM管理实践
开源许可证合规是软件开发中的重要议题。本文介绍了GPL、MIT、Apache等常见开源许可证的特点,以及如何通过SBOM实现许可证的自动识别、合规检查和风险管理。
2025-10-28
技术解析CycloneDXSPDX
[示例] CycloneDX vs SPDX:两大SBOM标准的对比分析
CycloneDX和SPDX是目前最流行的两种SBOM标准格式。本文从数据模型、应用场景、工具生态等维度对比分析两者的差异,帮助企业选择适合自己的SBOM标准。
2025-10-25
工具教程JenkinsDevSecOps
[示例] 将SBOM集成到Jenkins流水线的完整教程
持续集成是DevSecOps的核心实践。本文介绍如何将sbom-generate工具集成到Jenkins流水线,实现SBOM的自动化生成、漏洞扫描和合规检查,构建安全的软件交付流程。
2025-10-22