對于中國軟件供應鏈未來的發展有哪些建議？

從國家與行業監管層面的建議

提高關鍵基礎設施和重要信息系統用戶軟件供應鏈安全保障的要求，要求向關鍵基礎設施和重要信息系統用戶銷售軟件產品、提供 軟件定制開發的廠商和供應商，在交付軟件系統的同時，需提供軟件物料清單（SBOM），以保持足夠的透明性；組織制定軟件物料清單（SBOM） 相關的國家標準、行業標準，規范針對軟件物料清單（SBOM）的格式 和內容要求，促進軟件物料清單（SBOM）成為軟件產品的標配；建立 相應的公共服務平臺，提供軟件物料清單（SBOM）的檢測驗證、數據 查詢、威脅情報等服務。、

從軟件廠商和供應商層面的建議

在自身軟件開發流程中采用開源安全治理工具，持續監測軟件開 發中所使用的開源軟件物料，消減其安全風險；產品正式發布時，應 提取和生成產品的軟件物料清單（SBOM），并隨軟件向客戶提供；針 對自身軟件產品中所使用的軟件物料，持續監測其安全漏洞等風險情 況，并及時為客戶提供相應的技術支持服務。

從軟件最終用戶層面的建議

保持對軟件物料透明性的高度關注，在購買軟件產品或委托定制 開發軟件系統時，要求廠商和供應商提軟件物料清單（SBOM），并與 其簽訂安全責任協議，要求其對軟件物料的安全性負責并提供后續的 技術支持服務；對于運行重要業務的軟件系統，應使用合適的檢測工 具驗證廠商和供應商所提供的軟件物料清單（SBOM）的正確性，確認 軟件的組成成分及安全風險狀況；在軟件系統日常運行過程中，應基 于軟件物料清單（SBOM）持續跟蹤軟件物料相關的威脅情報，及時采 取安全措施，消減相關安全風險。