我院在软件物料清单（SBOM）研究方面取得新进展

       近日，我院云计算与大数据团队在Linux发行版SBOM模型与SBOM生成工具研究方面取得进展。团队提出了一种针对Linux发行版特性的多阶段SBOM模型，并基于该模型开发了一个原型SBOM生成工具，不仅提升了SBOM模型对Linux生态的表达能力，同时能够更全面、准确地描述 Linux 发行版的软件供应链信息。相关论文《LiPSBOMaker: A Prototype of Multi-Stage Linux Distribution Package SBOM Generator》被软件工程领域国际顶级会议ISSTA 2025（Tool Demo Track）接收。论文第一作者研究生邱童。

       为了提高软件供应链的可追溯性和透明性，降低其潜在风险，软件物料清单（Software Bill of Materials，SBOM）的概念被提出。当前SBOM在Linux发行版中的应用主要面临以下两个问题：（1）现有SBOM模型对Linux生态的表达能力不足，难以全面、准确地描述Linux发行版的软件供应链信息；（2）主流SBOM生成工具在Linux发行版中的应用存在局限性，无法生成高效用的Linux发行版SBOM，难以帮助发现和控制软件供应链风险。

       针对上述问题，团队开展实证分析，在现有主流SBOM模型的基础上，提出一种针对Linux发行版特性的SBOM模型，涵盖Linux软件包的三个生命周期阶段，并针对不同阶段的软件包特性设计了相应的SBOM模式（schema）；最后在该SBOM模型的基础上，设计并实现了一款Linux发行版SBOM生成工具LiPSBOMaker。

面向Linux发行版软件包的多生命周期阶段SBOM模型

LiPSBOMaker的系统架构图

       为充分评估LiPSBOMaker性能，团队选取openEuler-24.03-LTS-SP1 Docker镜像中初始安装的135个软件包作为SBOM生成的基础数据源，并选择openEuler社区研发的最新SBOM生成工具作为对比基线。实验结果表明，LiPSBOMaker提取的软件依赖数量显著高于基线，同时检测出的已知漏洞数量和License数量是基线的2倍以上。

LiPSBOMaker与基线对比的实验结果