在軟件開發逐漸開源化和協作化的今天，軟件供應鏈的透明性與安全性已成為開發者和企業最關注的話題之一。

尤其對于國內開發者和開源社區來說，隨著國際合作與市場需求的日益增加，明確掌握軟件供應鏈的信息，保障合規性和安全性至關重要。

Gitee 全新推出的 SBOM（軟件物料清單）掃描功能，正是為了解決這些關鍵問題而生。

SBOM 掃描是什么？

軟件物料清單（Software Bill of Materials，簡稱SBOM）類似于軟件的「配料表」，清晰記錄了軟件中包含的所有具體組件、庫和依賴項。這種方式讓開發者可以快速準確地了解軟件的組成結構，從而及時發現可能存在的安全漏洞和隱患，防止問題擴大。

此外，SBOM 還能協助中國的開發者和企業滿足國內外的合規要求以及國際出口管制和知識產權保護相關的合規標準，確保軟件開發與國際接軌且安全可信。

SBOM 掃描能做什么？ 識別開源依賴風險

快速準確地識別項目中使用的開源組件，幫助開發者清晰了解依賴項，避免隱性風險，保護自主知識產權。

追蹤許可證合規性

主動管理項目中組件許可證，確保合規性，避免法律糾紛，提升對開源項目的信任度。

快速響應漏洞威脅

一旦發現漏洞或風險，可以迅速定位問題組件，減少修復時間，提升項目整體安全性。

多元數據來源支持

Gitee SBOM 掃描能夠靈活支持多種數據來源，包括：

• 源碼文件

• 包管理器配置文件

• 容器鏡像

• 各類二進制格式文件

這種多樣性確保了從軟件開發初期到發布后的各個階段都能被有效覆蓋，保障了全生命周期的安全性和合規性。

在 Gitee 上使用 SBOM 掃描

SBOM 掃描服務現已對 Gitee 中所有開源倉庫開放使用，可在服務中找到其入口。

進入 SBOM 掃描功能后，可選擇兩種方式進行掃描，此處介紹在 Gitee Go 中使用 SBOM，選擇使用 Gitee Go 流水線進行掃描分析。

如選擇使用 SBOM 服務平臺，請選擇 Gitee 賬號登錄。若顯示該網頁不安全，可直接忽略，綁定 Gitee 賬號操作即可。

新建流水線，在任務編排中選擇新的任務，添加SBOM 掃描任務，保存并確認即可。

此時，掃描任務已在運行狀態，等待十分鐘后即可掃描完成（掃描時間由倉庫大小決定）。

運行完成后，即可進入構建歷史，點擊下圖高亮處進入構建詳情。

在任務詳情中即可看到本次 SBOM 掃描報告和提取碼。

輸入提取碼后即可查看本次掃描詳情，報告中包含了組件、漏洞、許可證相關風險項及依賴關系圖。

目前該服務已對 Gitee所有開源倉庫開放使用，歡迎開發者訪問體驗。

強大底層支撐，全面追蹤風險

開源項目的安全性和透明度不容忽視，為此，Gitee SBOM 掃描采用統一的規范和嚴謹的評估方法，保證物料信息的準確性和質量。同時，依托于強大的數據庫和先進的 NLP、機器學習技術，實時更新開源組件與漏洞數據，實現風險精準追蹤與管理。

立即使用 Gitee 的 SBOM 掃描功能，讓你的軟件開發和管理更加安全、可靠、高效！