文章总结： GB/T47020-2026《网络安全技术软件物料清单数据格式》国家标准正式发布，将于2026年8月1日实施。该标准定义了软件物料清单（SBOM）的六大类信息结构，包含120余项验证指标，旨在提升软件供应链透明度与安全管控能力。中国信通院已完成25家重点企业的试点验证，现正式启动首批符合性验证工作，提供评估测试与咨询服务两种流程，企业可通过邮件报名参与。 综合评分： 78 文章分类： 政策法规,供应链安全,安全标准,安全建设

国标《软件物料清单数据格式》正式发布，中国信通院启动首批SBOM符合性验证工作

可信安全

2026年2月10日 10:39 北京

近日，国家市场监督管理总局、国家标准化管理委员会发布的2026年第4号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的GB/T 47020—2026《网络安全技术 软件物料清单数据格式》国家标准正式发布，将于2026年8月1日起正式实施。

按照《全国信息安全标准化技术委员会标准制修订工作程序》中关于“标准牵头单位可组织开展标准试点验证工作，对标准内容的合理性和可操作性进行验证”要求，同时落实全国网络安全标准化技术委员会秘书处关于召开网络安全国家标准试点工作部署的相关要求，中国信息通信研究院从2024年4月下旬起牵头开展试点验证工作。通过标准试点工作检验了标准落地实施性，充分了解业界实践中发现的问题，对于提高标准质量、促进标准落地性发挥了重要作用。

一、软件物料清单助力加强软件供应链安全管理

软件物料清单（SBOM，Software Bill of Materials）指软件中所包含的所有组件、文件、开源代码片段的清单，以及软件内外部依赖关系和安全信息的描述（来源：GB/T 47020—2026，3.2）。软件物料清单的概念由传统物料的概念衍生而来，指一个软件产品的物料清单，列出了软件组件、组件信息以及它们之间的供应链关系，能够为软件生产人员、购买者和运营者提供软件开发过程中所采用的所有“原材料”相关信息及其供应链上下游依赖关系。

软件供应链是由多个上游与下游组织相互连接形成的网链结构。新技术飞速发展导致软件供应链复杂性增加。容器、中间件、微服务等技术的演进推动软件行业快速发展，同时带来软件设计开发复杂度不断提升，软件供应链愈发复杂，全链路安全防护难度不断加大等问题。在具体场景中，当软件设计复杂度增加时，其供应链的复杂性也会随之提升，具体构成关系、供应链上下游的依赖关系也随之模糊，从而进一步降低软件供应链整体透明度。软件供应链安全成为关注焦点，降低软件供应链安全风险成为业界共识。随着用户安全意识及内外部安全需求的不断提升，对软件及其供应链精准管控，保障软件供应链安全成为业界关注焦点和企业共同诉求。

软件物料清单助力提升软件供应链透明度，降低软件供应链风险。软件物料清单自诞生之初便有明确目标，即提高软件组件及供应链透明度。软件物料清单提供了一组附加信息，把软件的组成成分和依赖关系等信息可视化，并统一记录管理，大大提升了软件供应链整体透明度，对于降低软件使用和维护成本，保障软件供应链安全具有重要意义。

二、软件物料清单必要数据字段

GB/T 47020—2026《网络安全技术 软件物料清单数据格式》中明确软件物料清单由基本信息、软件组成信息、外部依赖信息、安全信息、扩展信息和签名信息六大类信息组成，如下图所示。

同时，标准明确了软件物料清单必选元素以及必选元素的必选字段，详细描述如下：

软件信息：软件名称、软件版本、杂凑算法、消息摘要、供应商、许可证名称

清单信息：清单格式名称、格式版本、清单表示、时间戳、创建者

组件信息：组件标识、组件名称、组件版本、供应商、许可证名称、杂凑算法、消息摘要

内部依赖信息：依赖标识、关系、被依赖标识

许可证信息：许可证标识、许可证名称、条款约束、适用范围、专利权、风险描述

安全信息：漏洞标识、漏洞名称、影响对象、相关编号、修复方式、修复方式说明

签名信息：签名文件、数字证书文件

三、国标前期试点工作详情

试点参与单位：试点单位涵盖水利、能源、金融、通信、汽车、软件、第三方机构、安全厂商等25家重点行业代表企业。

试点工作内容：试点验证采取标准指标全覆盖的形式，针对试点参与方提供的软件物料清单基本信息、软件组成信息、外部依赖信息、安全信息、扩展信息、签名信息6个维度120余项指标项进行验证。

试点工作方法：1）针对具体产品项目，与试点单位软件物料清单的相关建设团队访谈沟通，确定软件物料清单中软件信息数据的生成机制和管理维护方式；2）填写标准项目试点验证调研问卷和原始记录，并通过技术手段明确软件物料清单数据格式符合性。

试点结果分析：从数据字段覆盖度、数据字段必要性、采集可行性、可自动化获取率四个维度明确试点单位是否满足软件信息清单数据格式的要求。

四、后续广泛的符合性验证

中国信通院将基于GB/T 47020—2026《网络安全技术 软件物料清单数据格式》国家标准正式启动首批标准符合性验证工作，对相关软件产品/系统的软件物料清单进行技术测试和文档审查，进一步推动标准的全面实施。我们将通过实际案例和测试数据，提供充分的事实依据，帮助企业理解并积极应用标准，提升产业软件物料清单建设水平。

根据企业实际情况提供两种测试流程：

评估测试：确认申请→签订合同→提供测试材料→现场测试→出具测试报告→专家评审→颁发证书。

咨询服务：确认申请→签订合同→提供预测试材料→现场测试→出具差距报告→企业整改→提供测试材料→现场测试→出具测试报告→专家评审→颁发证书。

报名机制

1

报名时间：

滚动报名

2

评估周期：

1-2月，周期以双方协商为准

3

评估依据：

GB/T 47020—2026《网络安全技术 软件物料清单数据格式》

4

报名方式：

请发送报名邮件至[email protected]，邮件主题为相关评估报名，正文应至少包括企业名称、联系人、联系方式等内容。

业务联系人

王老师 18652930342  [email protected]

吴老师 18810541612 [email protected]

1项网络安全国家标准获批发布

长按二维码关注

链接云端，可信而安

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：可信安全 《国标《软件物料清单数据格式》正式发布，中国信通院启动首批SBOM符合性验证工作》