国家标准计划《网络安全技术 软件物料清单数据格式》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 水利部信息中心 、国家能源局信息中心 、中国科学院信息工程研究所 、南方电网数字电网集团有限公司 、杭州默安科技有限公司 。

软件供应链复杂、开源软件使用增加、软件升级补丁的保障措施不够完善等，都是造成软件供应链安全风险上升、监管难度较大的主要原因。

针对软件供应链愈发复杂、软件嵌套引用组件数量庞大、国内的软件物料清单建设没有统一规范等问题，制定软件物料清单（SBOM）格式规范，识别软件组件及其依赖关系，提高软件全生命周期的可见性和透明度，增强软件供应链安全管理能力。

软件物料清单能够支撑软件供应链供方、需方和监管方发现软件中存在的安全漏洞风险和知识版权风险。

制定软件物料清单标准并推广应用，将有效提升软件供应链透明度，极大地便利软件组件溯源、软件产品依赖关系梳理、已知漏洞的影响范围判断、及时发现恶意软件渗透等，从而有力支撑软件供应链相关监管政策规则的落地实施。

本标准规定了一种通用的软件物料清单数据交换格式，包括软件物料清单数据模型、软件物料清单格式要求和软件物料清单元数据，以及软件物料清单中各元数据的属性和属性值格式等信息。 软件物料清单数据格式包含软件信息、清单信息、组件信息、文件信息、代码片段信息、依赖信息、服务信息、接口信息、补丁信息、开发环境信息、运行环境信息，覆盖组织开展软件供应链安全管理所必要的软件组成成分信息数据。 本标准适用于指导软件供应链供方、需方和监管方之间进行软件组件信息的生成、共享和使用，软件物料清单共享平台的建设和运营可参考使用。