1.spd?修修改޸?Դ??
2.SCA技术进阶系列（四）：DSDX SBOM供应链安全应用实践

spd?޸?Դ??

       中船海舟与沪东中华在要闻中实现了重要合作，完成了SPD源代码的改源工具交接，共同描绘了珊瑚生态的修修改数字化未来蓝图。

       这次交接源于中国船舶集团的改源工具支持，标志着SPD这一沪东中华自主研发的修修改船舶三维设计软件正式融入了中船海舟的数字生态系统。SPD汇集了沪东中华深厚的改源工具溯源码假货设计智慧与工程经验，包含丰富的修修改船舶生产设计知识，而中船海舟的改源工具珊瑚Marine则以全三维CAD软件的形式，体现了集成、修修改平台化的改源工具设计理念。

       交接的修修改意义在于，中船海舟将能利用SPD的改源工具工程应用优势，加快自身船舶CAD软件的修修改迭代和应用，缩短验证周期。改源工具同时，修修改SPD中的源码分享歌单名业务知识和解决方案将通过新平台焕发活力，为船海企业创造更多价值。

       未来，两家公司将优势互补，中船海舟凭借行业领军地位和友好的用户平台，将为船舶研发设计提供更高效的服务，沪东中华的丰富应用场景将得以进一步拓展。中船海舟致力于打造更优数字生态，以中国船舶的力量推动工业软件行业创新和生产力提升，为船海业的未来发展贡献力量。

SCA技术进阶系列（四）：DSDX SBOM供应链安全应用实践

       在数字时代，软件已成为维持日常生活与工作运行的必要元素。伴随容器、中间件、微服务、DevOps等技术的贴图指标公式源码发展，软件行业迅速壮大，但与此同时，软件设计开发的复杂度也在提升，软件供应链的复杂性加剧，软件整体透明度降低，软件供应链的安全防护难度也随之增加。

       面对软件资产管理的挑战，供应链透明度的缺失使得在环境出现新漏洞时，检测受影响的应用程序和服务变得困难且耗时。若能列举并轻松管理使用的所有软件组件，快速定位分析漏洞的影响范围，将极大提升软件资产精细管理的效率。

       为解决这一问题，供应链物料清单（SBOM）应运而生。SBOM作为记录软件组成等信息的界面特效apk源码工程文件，对提升供应链的维护和保障工作量及难度具有重大意义。随着软件供应链安全成为焦点，特别是年美国行政令EO的推动，SBOM的推广和落地变得迫切。

       SBOM的实践存在挑战，尤其是在国内缺乏自主协议框架的情况下，上游组件生成SBOM的最佳方法不统一，导致SBOM可能不完整或不准确。不同格式（如CycloneDX、SPDX、SWID）的缺乏标准化分发机制，使得SBOM的消费变得困难。此外，SBOM的分发、验证、咖啡馆源码集中数据和使用数据方面仍需改进。

       在SBOM主流协议方面，国外主要格式包括Software Package Data Exchange（SPDX）、CycloneDX和Software Identification（SWID）。尽管许可证似乎无断供风险，但违反基金会条款可能导致项目访问受限。我国在软件供应链安全物料清单管理方面基础薄弱，限制了软件信息共享和数据交换。

       DSDX协议作为国内首个数字供应链安全SBOM格式，由OpenSCA社区发起，汇聚了权威研究机构、用户、安全厂商等多方力量。DSDX旨在成为软件供应链治理与运营的核心技术抓手，助力从软件供应链安全向数字供应链安全过渡。其目标是让每个软件公司都能在可交付成果中附上SBOM，使用户完全了解组件使用情况及潜在漏洞。

       DSDX规范由基本信息、项目信息、对象信息、代码片段信息及依赖信息等部分组成。依赖树信息、备注信息等元素确保了SBOM的完整性与可追溯性。DSDX兼容国际标准，并引入了运行环境信息、创建阶段和供应链流转信息，加强清单间的引用，支持代码片段信息的存储与追踪。

       DSDX协议支持软件供应链全生命周期管理，从源码到发布阶段，覆盖组件、漏洞、许可证风险的全面覆盖。创建SBOM时，应与代码仓库集成，嵌入更新逻辑，或在CI/CD环节通过与软件集成实现审查。SBOM应跟随代码、制品动态变化，实时更新。

       DSDX协议在SBOM自身安全可信、深度与有效性、与漏洞关联、结合风险策略排查等方面提供价值。SBOM应包含真实性和完整性保障，支持深度依赖关系分析，与漏洞关联，构建风险分析和资产管理能力。悬镜安全通过源鉴SCA产品集成了DSDX、SPDX、CycloneDX、SWID四种SBOM标准格式的自动化生成能力，为用户提供全面的数字供应链安全管理解决方案。

       SBOM清单管理涉及生成、检测、资产管理和风险分析等关键环节。悬镜安全的源鉴SCA在资产视角上提供树结构和图谱结构，支持过滤检测，分析依赖关系，建立完整的软件与组件链路关系树，进行风险识别与评估。SBOM清单与组件、漏洞和知识库数据联动，帮助企业识别、分析、评估和解决网络安全威胁。

       在供应链安全事件发生时，DSDX中的详细软件组成成分帮助快速定位受影响组件，加速应急响应速度。SBOM作为关键数据，支持企业实现依赖治理、漏洞管理和开源许可证合规。通过与生成工具和研发流程的无缝集成，实时更新SBOM清单，与知识库数据动态关联，SBOM的作用得到充分发挥。

       随着软件供应链的安全问题日益凸显，SBOM作为供应链管理的重要工具，其重要性不容忽视。DSDX协议作为SBOM格式的代表，在供应链的各个关键环节发挥重要作用，悬镜安全全栈产品基于DSDX，为中国企业实战化应用场景提供安全解决方案与整体建设思路。