2024年10月15日，美国网络安全与基础设施安全局（CISA）发布了第三版《软件组件透明度框架（2024）》，该框架由CISA通用软件物料清单和实施工作组撰写，旨在提高软件组件透明度，第一版于2019年发布。

该框架扩大了2021年《软件组件透明度框架》指南中建立软件透明度所需的基线内容，进一步定义了每个通用软件物料清单的基线属性，详细阐述了每个基线属性的最低预期、推荐做法和理想目标，并新增了两个新的基线属性“许可证”和“版权所有者”，并且强调软件物料清单消费过程中的风险管理。该版本反映了CISA、通用软件物料清单和实施工作组以及整个软件社区广泛反馈的建议。

据悉，美国国土安全部科学技术理事会已于2023年4月选择七家公司构建基于软件物料清单的产品。

信息来源：

https://www.cisa.gov/news-events/alerts/2024/10/15/guidance-framing-software-component-transparency-establishing-common-software-bill-materials-sbom