4.2 行业努力：国家实验室

为应对特定行业的需求，几个概念验证（PoC）小组作为NTIA SBOM研讨会的一部分被建立。医疗PoC至少经历了三次迭代，此外还成立了汽车PoC和其他几个小组。这些小组中有些对公众开放，有些仅限邀请。在许多情况下，即使是公共工作组也对解决方案提供商如何支持这些工作有限制。爱达荷国家实验室 (INL; http://inl.gov/sbom-poc) 成立了一个以能源用例为重点的 PoC，最初由 INL 的 Virginia Wright 和 Tom Alrich 组成，Tom Alrich 是著名的供应链和北美电力可靠性公司关键基础设施保护 (NERC CIP) 合规顾问和行业博客作者，现在被许多人视为 SBOM 专家。Tom的角色现已被Allan Friedman取代，但该工作组对关键基础设施相关问题的教育和讨论的开放性值得一提。

能源计划委员会整理的资料是仅次于 NTIA 官方网站（www.ntia.gov/SBOM），可供公众使用的保存最完好的资料。过去会议的完整录音以及许多其他参考资料、链接和与SBOM相关的主题均可获取。虽然重点是能源使用案例，但这项工作的基础教育方面为任何希望熟悉这些主题的人提供了一个丰富的起点。

在能源部（DoE）的支持下，国家实验室从研究和思想领导的角度发挥着宝贵的作用，重点关注从气候变化到绿色能源进步，再到网络安全的方方面面。例如，一个名为“优化安全与能源管理的区块链”（http://netl.doe.gov/BLOSEM）的研究计划重点关注区块链技术的多种使用案例，其中许多案例都与供应链安全有关。一些值得注意的的例子如使用区块链识别交付给公用事业的设备是否是预期设备，配置和设定值的完整性检查，以及 SBOM 和硬件物料清单（HBOM）的安全分发和区块链互操作性。

这项工作由 "电网现代化计划 "发起，该计划是能源部的一项合作计划，由电力输送和能源可靠性办公室以及能源效率和可再生能源办公室共同资助，并由国家可再生能源实验室（NREL）和国家能源技术实验室（NETL）负责执行。除了这两个实验室，还有许多其他行业合作伙伴，包括太平洋西北国家实验室（PNNL）等。PNNL正在利用他们在电网网络安全和运行联邦资助的电力区块链方面的专业知识和经验共同领导区块链用例的开发。

此外，通过 "弹性工业控制系统网络测试"（CyTRICS）计划 (http://cytrics.inl.gov)，我们致力于确定如何最好地表示系统的各个组成部分，包括硬件和软件。这些努力在某种程度上是封闭的，只对产品供应商开放，但这里创建的生态系统为作为系统描述符的 SBOM 主题提供了一个基础用例。此外，CyTRICS为关键基础设施的产品安全和供应链信息创建了一个通用框架和存储库，虽然尚未过渡到商业使用，但它是公私合作如何为软件透明度主题的创新创造机会的一个范例。