《网络安全技术 软件物料清单数据格式.docx》由会员分享,可在线阅读,更多相关《网络安全技术 软件物料清单数据格式.docx(32页珍藏版)》请在三一办公上搜索。
1、35.030ICSCCS1.80e目中华人民共和国家标准GB/TXXXXX-XXXX网络安全技术软件物料清单数据格式Cybersecuritytechnology-Softwarebillofmaterialsdataformat征求意见稿2024-04-26在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。XXXX-XX-XX发布XXXX-XX-XX实施国家市场监督管理总局国家标准化管理委员会目次前言II弓I言III1范围42规范性引用文件43术语和定义44缩略语55软件物料清单组成56清单文件格式要求67软件物料清单元素6附录A(资料性)软件物料清单必要字段21附录B(资料性)
2、软件物料清单实例参考23参考文献32本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:水利部信息中心、国家能源局信息中心、中国科学院信息工程研究所、中国信息通信研究院、南方电网数字电网集团有限公司、西安交通大学、中国铁道科学研究院集团有限公司电子计算技术研究所、杭州默安科技有限公司。本文件主要起草人:付静、詹全忠、张潮、沈智镇、邹希、栗蔚、郭雪、吴江伟、吴桐、刘玉岭、姜政伟、姚叶鹏、范子静、刘家豪、王定波、关声涛、王海军、刘炫、晋武侠、杨立鹏、张维伦、何娟、沈锡铺
3、、孟瑾、满弘鹏。软件物料清单描述了软件组成信息,以提升软件产品的成分透明度,为软件的供应链安全管理提供支撑。本文件提出了软件物料清单数据格式,以实现相关信息在软件生产、销售和使用各相关方之间的交换和使用。软件物料清单数据格式描述软件的内部组成和内外部依赖,包括构成软件的组件、文件、代码片段及其依赖关系,软件运行依赖的基础环境和外部网络服务,以及软件生产依赖的开发工具,并且提供必要的安全信息,为软件物料清单信息的生成、共享和使用提供参考。网络安全技术软件物料清单数据格式1范围本文件规定了软件物料清单数据格式,包括软件物料清单组成、软件物料清单文件格式要求和软件物料清单元素,以及软件物料清单中各元
4、素的属性和属性值格式等信息。本文件适用于指导软件供应链相关方之间进行软件物料清单信息的生成、共享和使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T11457-2006信息技术软件工程术语GB/T25069-2022信息安全技术术语GB/T36475-2018软件产品分类3术语和定义GB/T25069-2022中界定的以及下列术语和定义适用于本文件。?1软件产品softwareproduct向用户提供的计算机软件、信息系统或设备中嵌
5、入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。注1:本文件中软件产品简称为软件。来源:GB/T364752018,3.1.1,有修改软件物料清单softwarebillofmaterials描述软件产品的组成成分、内外部依赖关系、来源信息以及潜在的安全风险信息的清单。注1.本文件中清单为软件物料清单的简称。外部网络服务externaIservice通过网络为软件运行提供必要功能的非软件自身具备的应用服务,例如:域名服务、CDN服务、邮件发送、短信发送、消息推送、支付接口等。制品artifact由某一种软件开发过程所使用的或所产生的一种信息的文件。制品的实例有模型、源
6、文件、文本和二进制可执行文件。来源:GB/T11457-2006,2.76,有修改4缩略语CPE:通用平台枚举(COmmonPlatformEnumeration)HTTP:超文本传输协议(HypertextTransferProtocol)JSON:JaVaSCriPt对象标记语言(JavaScriptObjectNotation)PUR1.:包统一资源定位符(PackageUniformResource1.ocators)RPC:远程过程调用协议(RemoteProcedureCallProtocol)RTP:实时传输协议(ReaI-TinleTransportProtocol)SBOMD
7、F:软件物料清单数据格式(SoftwareBillofMaterialsDataFormat)SMTP:简单邮件传输协议(SinlPIeMailTransferProtocol)UR1.:统一资源定位符(UniformResource1.ocator)UUID:通用唯一识别码(UniversallyUniqueIdentifier)5软件物料清单组成特定版本的软件应有一份对应的软件物料清单。软件物料清单由基本信息、软件组成信息、外部依赖信息、安全信息、扩展信息和签名信息六大类信息组成,每类信息包括若干清单元素(简称“元索”)。本文件对每个清单元素所涉及的字段进行了规定。图1给出了软件物料清单的
8、组成,其中:a)基本信息:描述软件和软件物料清单的标识、来源等基本信息,包括:软件信息和清单信息;b)软件组成信息:描述软件组成成分、成分来源及其依赖关系的信息,包括:组件信息、文件信息、代码片段信息和内部依赖信息;c)外部依赖信息:描述软件开发、部署、运行、更新所依赖的外部工具、运行环境、网络服务等必需条件及其来源的信息,包括:外部网络服务信息、基础环境信息和开发工具信息;注:外部指不包含在软件中的功能、服务、特性等。d)安全信息:描述软件自身安全和供应链安全管理相关的信息,包括网络服务接口信息、补丁信息、许可证信息、安全漏洞、配置风险和生命周期维护中断风险信息;e)扩展信息:描述本文件中未
9、定义的其他软件物料信息;f)签名信息:描述用于验证清单完整性的数字证书和签名信息,应使用符合国家或行业规定的机构签发的数字证书。软件物料清单基本信息软件信息清单信息软件组成信息组件信息(文件信息代码片段信息Il内部依赖信息外部依赖信息外部网络服务信息基础环境信息11开发工具信息网络服务接口信息补丁信息安全信息配置风险生命周期维护中断风险许可证信息安全漏洞扩展信息签名信息图1软件物料清单组成示意图在不同的使用场景中,并非所有元素和元素字段都是必要信息,本文件规定了支持清单基本功能的最小元素集,包括软件信息、清单信息、组件信息、内部依赖信息和签名信息等元素。最小元素集的必要字段详见附录A。6清单文
10、件格式要求软件物料清单文件为承载软件物料清单信息的一个或一组文本文件,清单文件格式应满足以下要求:a)应支持人类容易理解和解释的格式;b)应支持自动化工具解析处理;c)应支持独立于编程语言的通用格式,包括JSON、XM1.等;d)清单文件的命名应以SBOM)F为后缀,例如:*.SBOMDF.json”。7软件物料清单元素71概述本章按照软件物料清单信息类别,对每一类别所涉及的清单元素和元素字段的进行描述,每一字段的描述包含字段名、字段描述、字段类型、字段必要性,具体描述规范详见表1。本章所涉及数据格式描述以JSON格式为例,其他格式可参照转换。表1清单信息字段描述属性属性描述字段名字段命名,应
11、采用无缝连写的英文词汇或词汇组;单词汇采用小写,例如:“signature”;多词汇采用驼峰命名法,即首个词汇小写,后续词汇依次首字母大写,例如:SoftwarcName。字段描述字段的中文名称及其含义解释。字段类型字段对应数据类型,应为如下类型中的一类:string(字符串)、ObjeCt(对象)、number(数字)、array(数组)、enum(枚举)、boolean(布尔)。字段必要性字段必要性应为如下三种情况之一:a)必选项:清单中必须包含该字段,并为该字段生成至少一个数据实体。b)可选项:清单中可根据实际情况选择性的包含该字段。C)条件必选:某些条件下必须包含该字段,包括: 当选用
12、另一个字段时,此字段为必选; 当另一个字段选择了一个特定值时,此字段为必选。79基本信息类别7. 2.1类别概述基本信息类别应包括如下元素:a)软件信息:包含软件所涉及的标识、供应商、来源、授权、完整性等信息;b)清单信息:包含软件物料清单所涉及的版本、标识、创建、获取等信息。8. 2.2软件信息软件信息包括如下字段:a)软件名称:软件的名称,用于标识和区分软件;b)软件版本:软件的版本编号;c)杂凑算法:对软件的制品进行完整性保护的杂凑算法名称;d)消息摘要:对软件的制品通过杂凑运算获取的摘要值;e)软件产品的供应商列表,每个供应商包括如下字段:1)供应商:软件供应商的注册名称;2)供应商类
13、型:软件供应商的类别,包括:-integrator:集成商-developer:开发商-agent:代理商-other:其他3)所属区域:软件供应商注册地所属国家省市名称,格式为“国家-省-市,最小区域至城市,例如:“中国-北京”和“中国-广东-深圳”;4)原始供应商:编写软件的人员或组织的名称,供应商类型为集成商或代理商时.,本字段为必选项;f)获取途径:获取开源软件的渠道,包括:-CodeHostingPlatform:代码托管平台-thirdPartyDownIoadSite:第三方下载站点-openSourceCommunity:开源社区g)许可证名称:列出软件的许可证名称,许可证名称
14、(及其简称)遵循ISO/IEC5962-2021中关于许可证名称和缩略名的规定,如果许可证未在ISO/IEC5962-2021中定义,可以自定义名称;清单中所列出的许可证名称,可在清单安全类别信息(见7.5节)中找到对应的许可证信息(见7.5.4节)。h)授权期限:软件授权使用的截止日期,日期格式为“YYYYTM-DD”,如为永久有效,取值为“permanent”。软件信息的各字段描述见表2。表2软件信息字段描述字段名字段描述字段类型字段必要性SoftwareName软件名称string必选项SoftwareVersion软件版本string必选项integrityhashAlg杂凑算法str
15、ing必选项messageDigest消息摘要string必选项supplierSupplierName供应商string可选项SupplierType供应商类型enum(ofstring)可选项area所属区域string可选项Orig1.nalSuppliers原始供应商string条件必选acquisitiOnChanne1s获取途径cnum(ofstring)可选项IicenseName许可证名称string可选项1iCensingTerm授权期限string可选项7.2.3清单信息清单信息包括如下字段:a)清单格式名称:清单所采用格式标准的名称,固定值“SBOMDF”;b)格式版本:
16、清单遵循的数据格式的版本,本文件对应版本号为“1.0”;c)清单标识:每个生成的清单都应该有一个唯一的序列号,采用128位的UUn),匹配正则表达式:CUnuuid:0-9a-f8-0-9a-f4-0-9a-f4-0-9a-f4-0-9a-f12$,示例:urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79;d)生命周期:此清单生成时,软件所处生命周期的阶段,包括:-develop:开发阶段-commit:交付阶段-operation:运维阶段-decommission:废止阶段e)时间戳:创建清单的日期和时间,格式为“YYYY-MM-DDTHH:InIn
17、:ssZ”;f)创建者:创建清单的实体名称;g)创建工具:创建清单的工具名称和版木;h)下载链接:获取清单的UR1.地址。清单信息的各字段描述见表3。表3清单信息字段描述字段名字段描述字段类型字段必要性formatName清单格式名称string必选项formatversion格式版本string必选项IistID清单标识string必选项lifecycle生命周期enum(ofstring)可选项timestamp时间戳string必选项authors创建者string必选项CreateTools创建工具string可选项downIoadUrl下载链接string可选项71软件组成信息类别7
18、. 3.1类别概述软件组成信息类别应包括如下元素:a)组件信息列表:软件包含的所有组件列表,每个组件包含组件标识、供应商、许可协议、完整性校验等组件信息。b)内部依赖信息列表:描述组件、文件、代码片段之间依赖关系的信息。可根据实际情况选择性包括如下元素:a)文件信息列表:软件的第一层解压和镜像加载的制品文件列表,包含文件名称、路径、用途、完整性校验等信息;b)代码片段信息列表:自研源代码中所包含的从社区、论坛等其他渠道获取的源代码片段列表,包含片段标识、位置、来源、许可证等信息。8. 3.2组件信息组件信息包括如下字段:a)组件标识:组件在清单范围内的唯一标识符;b)组件名称:组件的名称,通常
19、是组件的一个缩略名称,例如:“commons-lang3”;c)组件版本:组件的版本编号;d)组件描述:组件基本功能的详细描述;e)自研比例:组件中自研代码的占比,包括:-all:全部自研组件-part:部分自研组件-none:外部组件f)组件注册标识符:由一定范围(如国家、行业、组织等)内的管理机构维护的唯一识别组件的标识符,例如:通用平台枚举(CPE);g)重要性:组件对于保证软件正常运行的重要程度,例如:可以根据组件的是否支持核心业务功能判定组件为“关键组件”;h)安全度:描述组件的安全测评结果或安全等级信息,例如:开源组件经过社区安全审查情况、组件经过权威机构安全认证情况等;i)组件的
20、供应商列表,每个供应商包括如下字段:1)供应商:组件供应商的注册名称,非开源组件应填写本字段;2)供应商类型:组件供应商的类别,非开源组件应填写本字段,包括:-integrator:集成商-developer:开发商-agent:代理商-other:其他3)所属区域:组件供应商注册地所属国家省市名称,格式为“国家-省-市,最小区域至城市,例如:“中国-北京”和“中国-广东-深圳”,非开源组件应填写本字段;4)原始供应商:编写组件的人员或组织的名称,供应商类型为集成商或代理商时,本字段为必选项,非开源组件应填写本字段;j)获取途径:获取开源组件的渠道,包括- CodeHostingPlatfor
21、m代码托管平台- thirdPartyDownloadSite第三方下载站点- OPenSOUrCeCOnImUnity开源社区k)组件编程语言:组件使用的编程语言列表;1)许可证名称:列出组件相关的许可证名称列表,许可证名称(及其简称)遵循ISO/IEC5962-2021中关于许可证名称和缩略名的规定,如果许可证未在ISO/IEC5962-2021中定义,可以自定义名称;m)下载链接:下载组件的UR1.地址;n)主页链接:查看组件信息的主页UR1.地址;o)构建完备性:构建和编译过程中依赖的其他组件识别信息的完整程度,包括:- none:无下级组件- known:全部列出下级组件- part
22、:部分列出下级组件- unknown:未知,不知道当前组件的下级组件P)杂凑算法:对组件进行完整性保护的杂凑算法名称q)消息摘要:对组件通过杂凑运算获取的摘要值。组件信息的各字段描述见表4。表4组件信息字段描述字段名字段描述字段类型字段必要性ComponentId组件标识string必选项ComponentName组件名称string必选项componentversion组件版本string必选项ComponentDescription组件描述string可选项se1fDeveIopedProportion自研比例enum(ofstring)必选项FegIdentifer组件注册标识符stri
23、ng可选项字段名字段描述字段类型字段必要性importance重要性string可选项security安全度string可选项supplierSupplierNanie供应商string可选项SupplierType供应商类型enum(ofstring)可选项area所属区域string可选项developer原始供应商string条件必选acquisitiOnChanne1获取途径enum(ofstring)可选项Prog1.anguage组件语言arrayofstring可选项IicenseName许可证名称arrayofstring必选项downloadUrl下载链接string可选项h
24、omepageUrl主页链接string可选项completeness构建完备性enum(ofstring)可选项integrityhashAlg杂凑算法string必选项messagcDigest消息摘要string必选项7. 3.3文件信息文件信息包括如下字段:a)文件标识:文件在清单范围内的唯一标识符;b)文件名称:包含扩展名的完整文件名称;c)文件路径:文件在制品文件目录中的完整相对路径;d)用途描述:文件在软件中的功能和作用的简要说明;e)杂凑算法:对文件进行完整性保护的杂凑算法名称;f)消息摘要:对文件通过杂凑运算获取的摘要值。文件信息的各字段描述见表5。表5文件信息字段描述字段名
25、字段描述字段类型字段必要性fileld文件标识string必选项fiIeName文件名称string必选项fiIePath文件路径string必选项purpose用途描述string可选项integrityhashlg杂凑算法string可选项messageDigest消息摘要string可选项8. 3.4代码片段信息代码片段信息包括如下字段:a)片段标识:代码片段的在清单范围内的唯一标识符;b)关联文件:包含此代码片段的自研文件的路径和文件名;c)起点字节数:代码片段在自研源文件中的起始位置(按字节计算);d)终点字节数:代码片段在自研源文件中的结束位置(按字节计算);e)起点行数:代码片段
26、在自研源文件中的起始位置(按行数计算);f)终点行数:代码片段在自研源文件中的结束位置(按行数计算);g)片段来源:代码片段所属开源项目名称;h)片段链接:代码片段所属开源项目的UR1.地址;i)许可证名称:列出代码片段相关的许可证名称,许可证名称(及其简称)遵循ISO/IEC5962-2021中关于许可证名称和缩略名的规定,如果许可证未在ISO/IEC5962-2021中定义,可以自定义名称;j)杂凑算法:对代码片段进行完整性保护的杂凑算法名称;k)消息摘要:对代码片段通过杂凑运算获得的摘要值。代码片段信息的各字段描述见表6o表6代码片段信息字段描述字段名字段描述字段类型字段必要性Snipp
27、etId片段标识string必选项SnippetFile关联文件string必选项byteStartPointer起点字节数number必选项byteEndPointer终点字节数number必选项IineStartPointer起点行数number必选项IineEndPointer终点行数number必选项SnippetSource片段来源string可选项SnippetUrl片段链接string可选项IicenseName许可证名称string必选项integrityhashAlg杂凑算法string可选项messageDigest消息摘要string可选项7.3.5内部依赖信息内部依赖信
28、息包括如下字段:a)依赖标识:描述存在依赖关系的组件、文件或代码片段实体在本清单内的标识符;b)关系:描述关系类型,包括:-dependsOn:依赖-contain:包含-other:其他c)被依赖标识:描述被依赖的组件、文件或代码片段实体在本清单内的标识符。内部依赖信息的各字段描述见表7o表7内部依赖信息字段描述字段名字段描述字段类型字段必要性JdentityAId依赖标识string必选项relationship关系arrayofstring必选项identityBId被依赖标识string必选项74外部依赖信息类别7. 4.1类别概述外部依赖信息类别可根据实际情况选择性的包括如下元素:a
29、)外部网络服务信息列表:为软件运行提供必要功能的外部网络服务列表(例如:域名服务、CDN服务、邮件发送、短信发送、支付接口等),包含服务名称、可替代性、供应商、服务环境、服务数据等信息;b)基础环境信息列表:支撑软件运行的数据库管理系统、Web应用框架、中间件、操作系统、InOS等基础运行环境的列表,包含基础环境名称、版本、可替代性、供应商等信息;c)开发工具信息列表:能够生成或影响最终软件代码的开发工具的列表,例如:编译器、构建工具、配置管理工具等,包含开发工具名称、版本、用途等信息。8. 4.2外部网络服务信息外部网络服务包括如下字段:a)服务标识:外部网络服务在清单范围内的唯一标识符;b
30、)服务名称:外部网络服务的中英文名称;c)可替代性:是否存在其他的供应商能提供相同功能的外部网络服务,包括-true:存在-false:不存在d)供应商:外部网络服务供应商的注册名称,如果可替代性取值为false”,木字段为必选项;e)所属区域:外部网络服务供应商注册地所属国家省市名称,格式为“国家-省市,最小区域至城市,例如:“中国-北京”和“中国-广东-深圳”,如果可替代性取值为false,本字段为必选项;f)服务地址:服务端的UR1.地址,如果可替代性取值为false,本字段为必选项;g)服务环境:服务端所在地理位置区域,如果可替代性取值为false,本字段为必选项,包括:-domest
31、ic:国内计算环境-overseas:国外计算环境h)服务协议:服务使用的网络应用协议的名称,例如:HTTP、SMTP、DNS等;i)数据描述:对服务传输的敏感数据内容的描述。外部网络服务信息的各字段描述见表8o表8外部网络服务信息字段描述字段名字段描述字段类型字段必要性ServiceId服务标识string必选项ServiceName服务名称string必选项substitutability可替代性boolean必选项supplierSupplierName供应商string条件必选area所属区域string条件必选ServiceUrl服务地址string条件必选ServiceArea服务
32、环境enum(ofstring)条件必选ServiceProtocol服务协议string可选项JataDescription数据描述string可选项7.4.3基础环境信息基础环境信息包括如下字段:a)基础环境标识:基础环境软件在清单范围内的唯标识符;b)基础环境名称:可用于识别基础环境软件的名称;c)基础环境版本:基础环境软件的版本编号;d)可替代性:软件是否支持其他供应商提供的相同功能的基础环境软件,包括:-true:支持-false:不支持e)供应商:基础环境软件供应商的注册名称,如果可替代性取值为false,本字段为必选项;f)所属区域:外部网络服务供应商注册地所属国家省市名称,格式
33、为“国家-省-市,最小区域至城市,例如:“中国-北京”和“中国-广东-深圳”,如果可替代性取值为false,本字段为必选项。基础环境信息的各字段描述见表9o表9基础环境信息字段描述字段名字段描述字段类型字段必要性assetld基础环境标识string必选项HssetName基础环境名称string必选项assetVersion基础环境版本string必选项substitutability可替代性boolean必选项SupplierName供应商string条件必选area所屈区域string条件必选7.4.4开发工具信息开发工具信息包括如下字段:a)工具标识:开发工具在清单范围内的唯一标识符;
34、b)工具名称:开发工具的名称;c)工具类型:开发工具的类型说明,例如:代码编辑器、配置管理工具、需求跟踪工具、代码仓库、持续集成/部署工具、包管理器、容器工具等;d)工具版本:开发工具的版本编号;e)用途描述:使用开发工具完成开发工作内容的简要说明。开发工具信息的各字段描述见表100表10开发工具信息字段描述字段名字段描述字段类型字段必要性toolId工具标识string必选项toolName工具名称string必选项100lType工具类型string可选项tOolVersion工具版本string必选项purpose用途描述string可选项75安全信息类别7.5.1类别概述安全信息类别应
35、包括如下元素:a)生命周期维护中断风险列表:软件生命周期中可能发生的维护服务终止的风险列表,包含中断类型、描述、预计中断时间、处置情况等信息。可根据实际情况选择性包括如下元素:a)网络服务接口信息列表:软件提供的可被访问或调用的网络服务接口列表,包含接口描述、协议、地址、请求方式等信息;b)补丁信息列表:从软件发布到生成软件物料清单期间为了修复问题和漏洞、优化性能而发布的补丁列表,包含补丁名称、原厂标识、用途描述等信息;c)许可证信息列表:软件及其组件和代码片段中使用的许可证列表,包含许可证名称、内容、风险等信息:d)安全漏洞列表:生成清单之前已修复的组件安全漏洞信息列表,包含漏洞名称、相关编
36、号、影响对象、修复情况等信息;e)配置风险列表:从软件发布到生成软件物料清单期间发现的软件默认配置项可能存在的已知配置风险信息列表,包含风险名称、受影响配置项、处置建议等信息。7.5.2网络服务接口信息网络服务接口信息包括如下字段:a)接口标识:接口在清单范围内的唯一标识符;b)接口类型:接口的类型,例如:Restful.RPC等;c)接口描述:描述接口调用方法和具体功能的信息;d)接口必要性:接口对软件在当前配置状态下正常使用的必要性说明,包括:-true:必要-false:非必要e)请求方式:接口的请求方式,例如:GET、POST、HEAD等,接口类型为“Restful”时,此字段为必选项
37、;f)接口地址:接口访问UR1.地址,可以有一个或多个接口地址,接口类型为“Restful”时,此字段为必选项;g)方法签名:接口在代码中的入口点函数名和参数列表,接口类型为“Restful”时,此字段为必选项。网络服务接口信息的各字段描述见表11。表11网络服务接口信息字段描述字段名字段描述字段类型字段必要性InterfaceId接Il标识string必选项InterfaceType接口类型string必选项Description接口描述string必选项Necessity接口必要性boolean可选项FequestMethod请求方式string条件必选InterfaceAddress接口
38、地址arrayofstring条件必选method方法签名string条件必选7.5.3补丁信息补丁信息包括如下字段:a)补丁标识:补丁在清单范围内的唯一标识符;b)补丁名称:可用于识别补丁的名称;c)发布日期:公开发布补丁的日期,口期格式为“YYYYTM-DD”;d)原厂标识:软件原始供应商维护的补丁唯一标识符;e)补丁地址:下载补丁的UR1.地址;f)用途描述:补丁更新内容等说明信息;g)补丁清单文件:补丁配套的软件物料清单文件名称,应为每个补丁文件建立软件物料清单。补丁信息的各字段描述见表12。表12补丁信息字段描述字段名字段描述字段类型字段必要性patchld补丁标识string必选项
39、PatChName补丁名称string必选项releaseDate发布日期string必选项OriginalId原厂标识string必选项PatchAddress补丁地址string可选项字段名字段描述字段类型字段必要性purpose用途描述string可选项PatchSbom补丁清单文件string可选项7.5.4许可证信息许可证信息包括如下字段:a)许可证标识:许可证在软件物料清单范围内的唯一标识符;b)许可证名称:软件、组件、文件使用的许可证名称,许可证名称应与软件信息、组件信息、文件信息中的IiCenSeNanle字段值对应;c)下载链接:获取许可证信息的UR1.地址;d)许可方:授予
40、许可证的个人或组织的名称,本字段适用于商用许可证;e)被许可方:被授予许可证的个人或组织的名称,本字段适用于商用许可证;D到期日期:商用许可证有效期最后一天的日期,日期格式为“YYYYT1.M-DD”,如果是永久有效,本字段应填“permanent”,本字段适用于商用许可证;g)条款约束:使用者的权利和义务的详细描述;h)适用范围:许可证适用地理区域范围,例如:“全球”;i)专利权:许可证是否包含授予专利许可的声明,包括:-true:包含-false:不包含j)风险描述:许可证的风险信息的详细描述,例如:违规使用许可证的行为和可能造成的影响。许可证信息的各字段描述见表13。表13许可证信息字段
41、描述字段名字段描述字段类型字段必要性IicenseId许可证标识string必选项IicenseName许可证名称string必选项downIoadUrl下载链接string可选项licensor许可方string可选项licensee被许可方string可选项term到期日期string可选项content条款约束string必选项scope适用范围string可选项patent专利权boolean可选项riskDescription风险描述string可选项7.5.5安全漏洞安全漏洞包括如下字段:a)漏洞标识:漏洞在清单范围内的唯一标识符;b)漏洞名称:漏洞信息的概括性描述;c)影响对象:
42、存在漏洞的组件在清单范围内的标识符;d)相关编号:漏洞发布平台提供的漏洞编号,例如:“CNVD-2023-27109”,可以有多个相关编号;e)修复情况:修复组件漏洞采取的措施说明,包括:-codelevel:代码级修复-patchrepair:使用补丁修复-other:其他缓解措施安全漏洞的各字段描述见表Mo表14安全漏洞字段描述字段名字段描述字段类型字段必要性VulnerabilityId漏洞标识string必选项VulnerabilityName漏洞名称string必选项affectedbject影响对象string必选项OtherID相关编号arrayofstring必选项Fepair
43、Situation修复情况string必选项7.5.6配置风险配置风险包括如下字段:a)配置风险标识:配置风险在软件物料清单范围内的唯一标识符;b)配置风险名称:描述配置风险的简短的中文名称;c)配置项:存在安全风险的配置项及其默认取值的描述;d)处置建议:配置风险处置建议的描述;e)检测工具:推荐的配置风险检测工具名称;f)相关链接:可获取配置风险详细信息的UR1.地址。配置风险的各字段描述见表15o表15配置风险字段描述字段名字段描述字段类型字段必要性ConfigRiskId配置风险标识string必选项ConfigRiskName配置风险名称string必选项configitem配置项string必选项suggestion处置建议string可选项testingTool检测工具string可选项relatedUrl相关链接string可选项7.5.7生命周期维护中断风险生命周期维护中断风险包括如下字段:a)中断标识:中断风险的在清单范围内的唯一标识符;b)中断类型:说明引起中断的具体原因,包括:- authorizationexpires:证书授权到期- notU
