开源治理

安全术语 | 软件包purl详解：跨工具、数据库、API和语言之间可靠地识别和定位软件包软件包URL（purl，Package URL）是一个URL字符串，用于在编程语言、包管理器、包约定、工具、API和数据库中以最通用和统一的方式识别和定位软件包。purl是对现有方法进行标准化的尝试，以可靠地识别和定位软件包。有望取代CPE成为软件包识别的统一标准。

「网络安全常用术语解读」SBOM主流格式SWID详解国际标准化组织（ISO）和国际电工委员会（International Electrotechnical Commission，IEC）发布了ISO/IEC 19770-2软件标识（Software Identification，SWID）标签标准，该标准定义了用于描述软件产品的结构化元数据格式。

「网络安全常用术语解读」软件物料清单SBOM详解软件物料清单（Software Bill of Materials，SBOM）是软件成分信息的集合，SBOM文件中记录了软件产品或服务所使用组件、库、框架的清单，用于描述软件构建过程中使用的所有组件及其关系，以实现软件供应链的自动化识别与管理的需求。SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素，如下图所示：

展望2024年供应链安全2023年是开展供应链安全，尤其是开源治理如火如荼的一年，开源治理是供应链安全最重要的一个方面，所以我们从开源治理谈起。我们先回顾一下2023的开源治理情况。我们从信通院《2023年中国企业开源治理全景观察》发布的信息。信通院调研了来自七个行业、105家企业的开源软件治理能力，受到供应链安全传导的作用，2023年互联网、软件和信息服务企业均开启了开源治理活动。当然整体而言，本次调研占比较高的是金融、通信、互联网行业，以中大型企业为主。