对于中国软件供应链未来的发展有哪些建议？

从国家与行业监管层面的建议

提高关键基础设施和重要信息系统用户软件供应链安全保障的要求，要求向关键基础设施和重要信息系统用户销售软件产品、提供 软件定制开发的厂商和供应商，在交付软件系统的同时，需提供软件物料清单（SBOM），以保持足够的透明性；组织制定软件物料清单（SBOM） 相关的国家标准、行业标准，规范针对软件物料清单（SBOM）的格式 和内容要求，促进软件物料清单（SBOM）成为软件产品的标配；建立 相应的公共服务平台，提供软件物料清单（SBOM）的检测验证、数据 查询、威胁情报等服务。、

从软件厂商和供应商层面的建议

在自身软件开发流程中采用开源安全治理工具，持续监测软件开 发中所使用的开源软件物料，消减其安全风险；产品正式发布时，应 提取和生成产品的软件物料清单（SBOM），并随软件向客户提供；针 对自身软件产品中所使用的软件物料，持续监测其安全漏洞等风险情 况，并及时为客户提供相应的技术支持服务。

从软件最终用户层面的建议

保持对软件物料透明性的高度关注，在购买软件产品或委托定制 开发软件系统时，要求厂商和供应商提软件物料清单（SBOM），并与 其签订安全责任协议，要求其对软件物料的安全性负责并提供后续的 技术支持服务；对于运行重要业务的软件系统，应使用合适的检测工 具验证厂商和供应商所提供的软件物料清单（SBOM）的正确性，确认 软件的组成成分及安全风险状况；在软件系统日常运行过程中，应基 于软件物料清单（SBOM）持续跟踪软件物料相关的威胁情报，及时采 取安全措施，消减相关安全风险。