该论文对当前软件物料清单（SBOM）在软件供应链安全中的有效性提出了质疑。作者认为，SBOM的目标是通过列出应用中的组件来支持及时识别漏洞，但其假设（即对组件列表存在共识且现有技术足以保障安全）可能不成立。论文首先从软件开发生命周期出发，自底向上分析了组件包含机制（CIM），将组件如何被引入软件的过程进行分类。随后，作者系统评估了五个主流SBOM生成工具（cdxgen、syft、trivy、ORT和Microsoft sbom-tool），比较它们如何定义和识别相关组件。通过跨Python、Java、Go、PHP、Rust和C语言的真实场景测试，作者发现没有工具能覆盖所有已识别的CIM，且不同工具之间存在共同的盲区。实验结果表明，在当前模糊的定义和工具能力下，SBOM在组件包含方面存在歧义和盲点，因此无法实现安全级别的SBOM。论文呼吁回到起点，明确哪些组件应被列入SBOM，并相应修订生成工具，否则任何利用SBOM保障软件供应链安全的努力都将失败。该研究为SBOM标准制定者和工具开发者提供了重要洞察，揭示了当前实践的不足。