故宫，这座中国传统文化的重要代表和象征性建筑已屹立近600年，是世界上现存规模最大、保存最为完整的木质结构古建筑之一。

故宫之所以能至今保存完好，除持续保护和修缮外，其使用的木材和砖石等材料也经过了精挑细选，保证故宫的建筑更加坚固耐用。

别小看一截木头、一块砖，关键时刻烂掉可不是闹着玩儿的，一处损坏，可能将影响到整个大殿的安全性。

因此，明成祖在修建故宫时实行了严格的“监工责任制”，包括总督、专督和监修三个层次。对于木料、石料等主要建材，都会采用严格的物料管理制度，选择质量上乘、质地坚固的材料。木材选择质地坚硬、耐腐蚀、抗变形的红杉、楠木、榉木、杉木等；石料选用优质的花岗岩，通过凿石、切割等工艺进行加工；屋顶采用质地坚硬的琉璃瓦覆盖，具有防水和防火的功能，以确保建筑的安全性和耐久性。

如今，软件开发也是堆砌一块块“木头和砖墙”的过程，建筑材料就像软件组件，经过程序员的妙手生花，按照一定逻辑关系组合成一款软件。

在开源组件被广泛使用的今天，其潜藏的安全问题极易演变成软件供应链风险。主要原因是用户并不了解软件的组成成分，从而无法了解使用的软件是否受到漏洞的影响。

为了解决这个问题，修建故宫时所使用的管理方法，又被拿了出来，软件物料清单SBOM应运而生。

SBOM列出了软件中使用的“物料”，即组件和库，以及它们的版本和依赖关系。一旦发现漏洞，企业就可以对着这张“物料清单”，找出问题所在。

开源网安软件成分分析平台SourceCheck，就是这样一款具备SBOM物料清单的检测工具，可以帮助开发人员清晰看到每一块“砖木”的身份信息和漏洞传播链条，大幅减少风险排查时间成本，加快开发进程。

明成祖朱棣曾说：“天下之事，常成于慎始”，正是采用了谨慎的态度与做事方法，在每一块砖木质量上下功夫，建成的紫禁城才能至今屹立不倒，成为中华民族的一张响亮名片。同样，现代的软件开发，也应在早期阶段厘清每一部分组件和代码，提前挖掘出安全风险，才能保证软件上线后正常运行，为数字业务的发展提供强劲动力。

推荐阅读

面对开源许可证的隐患，如何做出明智选择？

SBOM那么重要，到底是怎么生成的？