该论文对当前软件物料清单（SBOM）在软件供应链安全中的有效性提出了质疑。作者认为，SBOM的目标是通过列出应用中的组件来支持及时识别漏洞，但其假设（即对组件列表存在共识且现有技术足以保障安全）可能不成立。论文首先从软件开发生命周期出发，自底向上分析了组件包含机制（CIM），将组件如何被引入软件的过程进行分类。随后，作者系统评估了五个主流SBOM生成工具（cdxgen、syft、trivy、ORT和Microsoft sbom-tool），比较它们如何定义和识别相关组件。通过跨Python、Java、Go、PHP、Rust和C语言的真实场景测试，作者发现没有工具能覆盖所有已识别的CIM，且不同工具之间存在共同的盲区。实验结果表明，在当前模糊的定义和工具能力下，SBOM在组件包含方面存在歧义和盲点，因此无法实现安全级别的SBOM。论文呼吁回到起点，明确哪些组件应被列入SBOM，并相应修订生成工具，否则任何利用SBOM保障软件供应链安全的努力都将失败。该研究为SBOM标准制定者和工具开发者提供了重要洞察，揭示了当前实践的不足。

本文报告了2025年7月9日由美国国家科学基金会（NSF）支持的Secure Software Supply Chain Center（S3C2）举办的政府安全供应链峰会（S3C2 Summit 2025-07）的讨论内容。峰会汇集了来自6个美国政府机构的12名参与者，以及3名S3C2研究人员，旨在促进跨行业经验分享、建立新合作关系，并了解参与者面临的挑战以指导未来研究。讨论覆盖六个主题：软件物料清单（SBOM）的实践与标准化、合规性与政策落地、恶意代码提交的检测与预防、构建基础设施安全（如CI/CD管道）、安全文化培养，以及大语言模型（LLM）在安全中的应用与风险。每个主题均以问题列表和此前两次行业峰会的总结为引导。报告提供了各主题的对话摘要，并附有初始讨论问题清单。尽管未提出新方法或实验，但该峰会反映了美国政府在软件供应链安全方面的优先关注领域，尤其强调SBOM的采用、恶意提交的溯源以及LLM对供应链安全的双重影响（既可辅助检测，也可能被攻击者利用）。