【产通社，12月5日讯】乐鑫信息科技（上海）股份有限公司（Espressif Systems；股票代码：688018）官网消息，“软件物料清单”（SBOM）信息是确保联网设备安全性的关键，乐鑫现在提供了相关工具和解决方案，便于跟踪和分析这些信息。

SBOM已经成为软件安全和软件供应链风险管理的关键组成部分。SBOM是与应用程序相关的所有软件组件、依赖项和元数据的详尽清单。美国国家电信和信息管理局（NTIA）的SBOM FAQ对SBOM的官方定义如下：

软件物料清单（SBOM）是一个完整的、正式结构化的组件、库和模块列表，这些组件、库和模块是构建（即编译和链接）给定软件以及它们之间的供应链关系所需的。这些组件可以是开源的或专有的，免费的或付费的，可以广泛使用或限制访问。

每个组件的关键数据字段包括：供应商名称、组件名称、组件版本、其他唯一标识符、依赖关系、SBOM数据作者、时间戳。

SBOM数据需要通过一致易懂的格式呈现，SPDX、CycloneDX等都是数据表示的格式。软件包数据交换（SPDX）是用于传递SBOM信息的开放标准，支持准确识别软件组件、明确映射组件关系，以及将安全和许可信息与每个组件关联起来。

ESP-IDF-SBOM是一个SBOM生成工具，为基于ESP-IDF的应用程序生成SPDX格式的SBOM。该工具还可以对比美国国家漏洞数据库（NVD），检查生成的SBOM中是否存在已知安全漏洞。

SBOM生成器工作流程大致如下：
从依赖组件中收集sbom.yml文件（manifest文件）；
解析ESP-IDF构建系统生成的项目描述文件；
生成SPDX报告；扫描生成的SPDX报告，检查。

查询进一步信息，请访问官方网站http://www.espressif.com.cn/zh-hans/home。（张怡，产通发布）    （完）