开源软件强调共享，但因涉及到跨国别和跨区域的流动，则很有可能触发某些国家的出口管制风险。在进出口审核时，软件物料清单(SBOM)是首选要素。SBOM的概念源于制造业，典型的SBOM是一份详细列出产品中所含全部项目的清单。这样，一旦发现有缺陷的零部件，制造商便可以知道哪些产品受到了影响，并安排对其进行维修或更换。同理，维护准确的、最新的、列出开源组件的SBOM对于确保代码的高质量、合规性和安全性是必要的。

  与制造业一样，开源组件的SBOM允许进出口审查部门快速查明风险组件，并合理确定补救措施的优先级。全面的SBOM列出了应用程序中的所有开源组件，以及这些组件的许可证、版本和补丁状态，是对供应链攻击的完美防御。SBOM旨在帮助管理开源和第三方代码的使用，提供对应用程序“成分”的可视性，并标准化信息通信方式。除作为文档或记录的基本功能外，我们还建议用户将SBOM视为一个管理系统或者工具、实践和过程。用户应该具备溯源意识来识别开源组件，然后将这些组件映射到漏洞数据。有效的开源管理有助于围绕战略和安全计划的改进展开对话，以实现成功的供应链风险管理。

  2022年，包含美国在内的十多个国家已经将SBOM列入软件产品进出口要素列表中。例如，拥有长臂管辖权的美国《出口管制条例》（“EAR”）对开源软件原则上持宽松态度，但会限制包含加密功能的开源软件。美国出口管制条例拥有长臂管辖权，管辖的行为包括出口、再出口和境内转移行为。以软件为例，在美国向一个外国人释放或转移源代码的行为，视为对该外国人的最新国籍国或永久居住地的出口行为；在美国以外的第三国向一个外国人释放或转移受EAR管辖的源代码行为，视为对该外国人的最新国籍国或永久居住地的再出口行为；在美国以外的第三国国民向另外一个第三国国民释放或转移受EAR管辖的源代码行为，视为境内转移行为。如果开源软件中涉及某些加密源代码，则其出口、再出口和境内转移都可能受EAR管辖。如果违反EAR，则可能面临民事和刑事处罚，并有可能被监管机构美国工业与安全局（BIS）加入实体清单。因此，了解应用程序中使用的组件并生成SBOM应该是任何现代软件项目的基本要求。

  CodeAnt可导入导出SBOM清单，实时查看扫描报告。包含文件名、状态、组件数、安全漏洞、许可证、处置建议、导入人、最近扫描时间等详细信息，完全满足进出口审计需求。