ICS35.080
CCSL70
团体标准
CQAE*****—2025
软件物料清单构成和要求
CompositionandRequirementsforSoftwareBillofMaterials
(报批稿)
202X-XX-XX发布202X-XX-XX实施
中国电子质量管理协会发布
CQAE*****—2025
目次
前言III
1范围1
2规范性引用文件1
3术语和定义1
4缩略语2
5总体要求2
5.1概述2
5.2主要构成2
6文档信息数据字段3
6.1文档名称3
6.2文档版本3
6.3文档时间戳4
6.4数据格式4
6.5工具信息4
6.6创建者信息4
6.7创建者备注4
6.8文档备注5
7基本数据字段5
7.1作者名称5
7.2供应商名称5
7.3组件名称6
7.4组件版本6
7.5组件哈希值6
7.6唯一标识符7
7.7许可证7
7.8依赖关系7
7.9时间戳8
8可选数据字段8
8.1SBOM类型8
8.2与其它组件关系9
8.3组件安全信息10
8.4组件来源信息11
8.5组件版权信息11
8.6补丁信息11
8.7组件描述12
8.8文件信息12
9支持工具要求14
9.1能力要求14
I
CQAE*****—2025
9.2能力类型14
9.3格式支持15
9.4生成深度15
9.5兼容性15
9.6易用性16
10管理和应用要求16
10.1概述16
10.2覆盖范围16
10.3更新和版本管理17
10.4SBOM采用类型17
10.5声明未详尽信息17
10.6分发和交付17
10.7维护和监控17
10.8与其他关键信息系统的互操作性17
10.9访问控制17
10.10完整真实18
10.11其他18
附录A(规范性)DP-SBOM格式参考19
A.1概述19
A.2兼容性19
A.3JSON数据模型19
附录B(资料性)DP-SBOM与SPDX、CycloneDX的对比31
参考文献33
II
CQAE*****—2025
软件物料清单构成和要求
1范围
本文件确立了软件物料清单构成的总体要求,规定了文档信息数据字段、基本数据字段、可选
数据字段、支持工具要求和管理应用要求。
本文件适用于软件供应链管理的全生存周期,包括开发、采购、运维等环节。也可用于SBOM生
成、转换、验证和管理需求的其他场景。
2规范性引用文件
下列文件中的内容通过文中的规范性引用构成本文件的必不可少条款。其中,注日期的引用文
件,仅该日期的版本适用于本文件;未注日期的引用文件,其最新版本(包括所有的修改单)适用
于本文件。
GB/T7408.1-2023日期和时间信息交换表示法第1部分:基本原则
3术语和定义
下列术语和定义适用于本文件