CycloneDX/specification

# CycloneDX 物料清单规范 (ECMA-424) [][license-url] [](https://tc54.org) [](https://cyclonedx.org/) [](https://cyclonedx.org/slack/invite) [](https://groups.io/g/CycloneDX) [](https://twitter.com/CycloneDX_Spec) [](https://github.com/CycloneDX/specification/actions/workflows/build_docs.yml) [](https://github.com/CycloneDX/specification/actions/workflows/test_java.yml) [](https://github.com/CycloneDX/specification/actions/workflows/test_js.yml) [](https://github.com/CycloneDX/specification/actions/workflows/test_php.yml) [](https://github.com/CycloneDX/specification/actions/workflows/test_proto.yml) OWASP CycloneDX 是一个全栈物料清单 (BOM) 标准，为 网络风险降低提供先进的供应链能力。CycloneDX 是 [Ecma International](https://ecma-international.org/) 发布的标准，以 [ECMA-424](https://ecma-international.org/publications-and-standards/standards/ecma-424/) 发布。 [OWASP 基金会](https://owasp.org/) 和 Ecma International [软件与系统透明度技术委员会 (TC54)](https://tc54.org/) 推动该规范的持续进步。 该规范支持： * 软件物料清单 (SBOM) * 软件即服务物料清单 (SaaSBOM) * 硬件物料清单 (HBOM) * 机器学习物料清单 (ML-BOM) * 密码学物料清单 (CBOM) * 制造物料清单 (MBOM) * 运营物料清单 (OBOM) * 漏洞披露报告 (VDR) * 漏洞利用交换 (VEX) * CycloneDX 证明 (CDXA) ## 关于标准与模式 CycloneDX 是一个 Ecma International 标准，以 [ECMA-424](https://ecma-international.org/publications-and-standards/standards/ecma-424/) 发布，遵循 [免版税专利政策](https://ecma-international.org/policies/by-ipr/royalty-free-patent-policy-extension-option/)。 本仓库中的 CycloneDX 模式是该标准的官方解释，并遵循 [Apache 2.0 许可证](https://www.apache.org/licenses/LICENSE-2.0.txt)。JSON 模式是标准的参考实现 ## 使用场景 CycloneDX 项目维护了一个 [可实现的使用场景列表](https://cyclonedx.org/use-cases/)。每个 使用场景的示例均以 XML 和 JSON 格式提供。 ## 工具中心 [CycloneDX 工具中心](https://cyclonedx.org/tool-center/) 是一个社区努力，旨在建立一个 免费、开源和专有工具的 marketplace，以支持 CycloneDX 规范。 ## 媒体类型 以下媒体类型已正式在 IANA 注册： | 媒体类型 | 格式 | 分配 | |------------|--------|------------| | `application/vnd.cyclonedx+xml` | XML | [IANA](https://www.iana.org/assignments/media-types/application/vnd.cyclonedx+xml) | | `application/vnd.cyclonedx+json` | JSON | [IANA](https://www.iana.org/assignments/media-types/application/vnd.cyclonedx+json) | | `application/x.vnd.cyclonedx+protobuf` | 协议缓冲区 | | 可以通过使用版本参数来指定特定版本的 CycloneDX。例如：`application/vnd.cyclonedx+xml; version=1.6`。 ## 认可的文件模式 以下文件名约定用于存储 CycloneDX BOM 文件： * `bom.json` 用于 JSON 编码的 CycloneDX BOM 文件。 * `bom.xml` 用于 XML 编码的 CycloneDX BOM 文件。 或者，符合以下通配符模式的文件也会被识别： * `*.cdx.json` 用于 JSON 编码的 CycloneDX BOM 文件。 * `*.cdx.xml` 用于 XML 编码的 CycloneDX BOM 文件。 ## 发布历史 | 版本 | 发布日期 | |-------------------|-----------------| | CycloneDX 1.7 | 2025年10月21日 | | CycloneDX 1.6 | 2024年4月9日 | | CycloneDX 1.5 | 2023年6月26日 | | CycloneDX 1.4 | 2022年1月12日 | | CycloneDX 1.3 | 2021年5月4日 | | CycloneDX 1.2 | 2020年5月26日 | | CycloneDX 1.1 | 2019年3月3日 | | CycloneDX 1.0 | 2018年3月26日 | | 初始原型 | 2017年5月1日 | ## 版权与许可 CycloneDX 规范版权归 OWASP 基金会所有。保留所有权利。 在 [Apache License 2.0][license-url] 条款下，授予修改和重新分发的权限

标签：AI/ML-BOM, Bill of Materials, BOM, CBOM, CycloneDX, ECMA-424, Ecma International, HBOM, JS文件枚举, MBOM, OBOM, SaaSBOM, SBOM, VDR, VEX, 全栈, 技术标准, 数据可视化, 标准规范, 硬件无关, 网络安全, 跌倒检测, 软件物料清单, 隐私保护, 风险降低