(高清版)GBT 43698-2024 網(wǎng)絡(luò)安全技術(shù) 軟件供應(yīng)鏈安全要求

網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求2024-04-25發(fā)布2024-11-01實(shí)施前言 I 2規(guī)范性引用文件 13術(shù)語(yǔ)和定義 4軟件供應(yīng)鏈安全目標(biāo) 25軟件供應(yīng)鏈安全保護(hù)框架 26軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理要求 6.1基本流程 36.2軟件供應(yīng)鏈安全圖譜 36.3軟件供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估 46.4軟件供應(yīng)鏈安全風(fēng)險(xiǎn)處置 7需方安全要求 7.1組織管理 47.2供應(yīng)活動(dòng)管理 58供方安全要求 78.1組織管理 78.2供應(yīng)活動(dòng)管理 8附錄A(資料性)軟件供應(yīng)鏈安全概述 附錄B(資料性)關(guān)鍵軟件資產(chǎn) 附錄C(資料性)組織業(yè)務(wù)場(chǎng)景分類(lèi) 附錄D(資料性)軟件供應(yīng)鏈安全圖譜 參考文獻(xiàn) IGB/T43698—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、華為技術(shù)有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)軟件評(píng)測(cè)中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)、諾基亞通信系統(tǒng)技術(shù)(北京)公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、深信服科技股份有限公司、國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院、麒麟軟件有限公司、國(guó)家信息技術(shù)安全研究中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心、深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司、昆侖數(shù)智科技有限責(zé)任公司、聯(lián)想(北京)有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、杭州默安科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、三六零數(shù)字安全科技集團(tuán)有限公司、長(zhǎng)揚(yáng)科技(北京)有限公司、上海觀安信息技術(shù)股份有限公司、北京奇虎科技有限公司、北京快手科技有限公司、云從科技集團(tuán)股份有限公司、國(guó)網(wǎng)區(qū)塊鏈科技(北京)有限公司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限公司、北京大學(xué)、啟明星辰信息技術(shù)集團(tuán)股份有限公司、瀚高基礎(chǔ)軟件股份有限公司、北京威努特技術(shù)有限公司、螞蟻科技集團(tuán)股份有限公司、中國(guó)信息通信研究院、中電長(zhǎng)城網(wǎng)際安全技術(shù)研究院(北京)有限公司、北京安普諾信息技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、北京中科微瀾科技有限公司、OPPO廣東移動(dòng)通信有限公司、公安部第一研究所、中國(guó)科學(xué)院軟件研究所、阿里云計(jì)算有限公司、湖南泛聯(lián)新安信息科技有限公司、北京中測(cè)安華科技有限公司、中國(guó)科學(xué)院信息工程研究所、蘇州棱鏡七彩信息科技有限公司、新華三技術(shù)有限公司、工業(yè)和信息化部電子第五研究所、北京源堡科技有限公司、北京人大金倉(cāng)信息技術(shù)股份有限公司、上海大學(xué)、西安郵電大學(xué)、沈陽(yáng)東軟系統(tǒng)集成工程有限公司、中國(guó)電子科技集團(tuán)公司第十五研究所、遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、上海文籃信息科技有限公司。1網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求1范圍本文件確立了軟件供應(yīng)鏈安全目標(biāo)，規(guī)定了軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理要求和供需雙方的組織管理和供應(yīng)活動(dòng)管理安全要求。本文件適用于指導(dǎo)軟件供應(yīng)鏈中的供需雙方開(kāi)展風(fēng)險(xiǎn)管理、組織管理和供應(yīng)活動(dòng)管理，為第三方機(jī)構(gòu)開(kāi)展軟件供應(yīng)鏈安全檢測(cè)和評(píng)估提供依據(jù)，供主管監(jiān)管部門(mén)參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T36637—2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南3術(shù)語(yǔ)和定義GB/T25069—2022和GB/T36637—2018界定的以及下列術(shù)語(yǔ)和定義適用于本文件。計(jì)算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件或在提供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時(shí)提供的計(jì)算機(jī)軟件。注2:本文件中軟件產(chǎn)品簡(jiǎn)稱(chēng)為軟件。[來(lái)源：GB/T36475—2018,3.1.1,有修改]軟件產(chǎn)品信息softwareproductinformation從其他組織獲取軟件產(chǎn)品的組織。注：本文件中需方指軟件產(chǎn)品的購(gòu)買(mǎi)者和使用者。[來(lái)源：GB/T36637—2018,3.1,有修改]開(kāi)展軟件產(chǎn)品開(kāi)發(fā)、交付、運(yùn)維、廢止等生命周期活動(dòng)的組織。注1:本文件中供方指需方的第一級(jí)(直接)供應(yīng)商；此外，還包括軟件產(chǎn)品的開(kāi)發(fā)商、各級(jí)銷(xiāo)售和代理商、系統(tǒng)集成商，也包括軟件或應(yīng)用商店、代碼托管平臺(tái)、第三方下載站點(diǎn)以及基于開(kāi)源代碼提供軟件產(chǎn)品的組織等。注2:開(kāi)放源代碼社區(qū)本身不是供方。2注3:供方與需方共同決定軟件產(chǎn)品的生命周期結(jié)束時(shí)間。需方(3.3)和供方(3.4)之間為開(kāi)展業(yè)務(wù)、提供軟件產(chǎn)品而建立的協(xié)議、合同等契約關(guān)系。注：在供應(yīng)鏈中，上游的需方同時(shí)也是下游的供方。[來(lái)源：GB/T36637—2018,3.3,有修改]需方(3.3)和供方(3.4)為維持日常生產(chǎn)基于供應(yīng)關(guān)系(3.5)進(jìn)行的軟件采購(gòu)、開(kāi)發(fā)、獲取、交付、運(yùn)維、廢止等活動(dòng)的總稱(chēng)。軟件供應(yīng)鏈softwaresupplychain需方和供方基于供應(yīng)關(guān)系(3.5),開(kāi)展并完成軟件采購(gòu)、開(kāi)發(fā)、交付、獲取、運(yùn)維和廢止等供應(yīng)活動(dòng)而形成的網(wǎng)鏈結(jié)構(gòu)。軟件產(chǎn)品中所包含的所有組件、相關(guān)許可協(xié)議的清單，以及所有組件之間依賴(lài)關(guān)系的描述。軟件供應(yīng)鏈安全圖譜softwaresupplychainsecuritygraph軟件產(chǎn)品信息(3.2)、軟件物料清單(3.8)、安全信息等內(nèi)容及其關(guān)聯(lián)關(guān)系的描述和表示。注：一般以文本形式存儲(chǔ)，支持通過(guò)知識(shí)圖譜方式展示。開(kāi)放源代碼社區(qū)opensourcecommunity用于開(kāi)源代碼和數(shù)據(jù)開(kāi)發(fā)、維護(hù)的一種工程組織和運(yùn)作方式。注：開(kāi)放源代碼社區(qū)也稱(chēng)開(kāi)源社區(qū)或開(kāi)源代碼社區(qū)。外部組件externalcomponent由供方以外的組織或人員開(kāi)發(fā)的程序代碼、文檔或數(shù)據(jù)，通常是由二進(jìn)制程序文件或者源代碼程序文件構(gòu)成。注：外部組件包括軟件中使用的開(kāi)源組件和第三方組件。4軟件供應(yīng)鏈安全目標(biāo)軟件供應(yīng)鏈安全目標(biāo)是建立軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理能力體系并持續(xù)改進(jìn)，增強(qiáng)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理、組織管理和供應(yīng)活動(dòng)管理能力，防范軟件供應(yīng)鏈中的供應(yīng)關(guān)系風(fēng)險(xiǎn)(例如：軟件供應(yīng)中斷、軟件功能受限、軟件服務(wù)降級(jí)等),防范供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)和知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)(例如：軟件漏洞、后門(mén)、篡改、偽造、許可協(xié)議不合規(guī)等),保障業(yè)務(wù)持續(xù)穩(wěn)定安全運(yùn)行。5軟件供應(yīng)鏈安全保護(hù)框架基于軟件供應(yīng)鏈模型、軟件供應(yīng)鏈實(shí)體角色分析和軟件供應(yīng)鏈安全構(gòu)成(見(jiàn)附錄A),確立了軟件供應(yīng)鏈安全保護(hù)框架。該框架規(guī)定了供需雙方(即“組織”)的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理要求，并從組織管3理和供應(yīng)活動(dòng)兩個(gè)方面規(guī)定了需方安全要求和供方安全要求，如圖1所示。圖1軟件供應(yīng)鏈安全保護(hù)框架6軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理要求6.1基本流程基本流程對(duì)組織要求如下。a)應(yīng)確定軟件供應(yīng)鏈風(fēng)險(xiǎn)管理的目標(biāo)及策略，按照第7章、第8章安全要求建設(shè)軟件供應(yīng)鏈組織管理和供應(yīng)活動(dòng)管理能力。b)應(yīng)識(shí)別軟件資產(chǎn)，梳理一般軟件資產(chǎn)和關(guān)鍵軟件資產(chǎn)(見(jiàn)附錄B),按照6.2的要求構(gòu)建軟件供應(yīng)鏈安全圖譜。c)應(yīng)確定軟件供應(yīng)鏈風(fēng)險(xiǎn)管理的對(duì)象、范圍和邊界，包括但不限于軟件、環(huán)境及工具、外部組件等。d)應(yīng)依據(jù)軟件供應(yīng)鏈安全圖譜等建立組織管理、供應(yīng)活動(dòng)管理等方面的供應(yīng)鏈安全信息采集和跟蹤機(jī)制。e)應(yīng)定期或基于安全需求開(kāi)展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，依據(jù)上述結(jié)論采取相應(yīng)的供應(yīng)鏈風(fēng)險(xiǎn)防范、風(fēng)險(xiǎn)緩解或風(fēng)險(xiǎn)消除措施。f)應(yīng)定期或根據(jù)實(shí)際業(yè)務(wù)需要開(kāi)展軟件供應(yīng)鏈安全要求執(zhí)行情況的監(jiān)督檢查，研判a)～e)的有效性，并根據(jù)研判結(jié)果進(jìn)行調(diào)整。6.2軟件供應(yīng)鏈安全圖譜軟件供應(yīng)鏈安全圖譜對(duì)組織要求如下。a)應(yīng)根據(jù)不同類(lèi)別的業(yè)務(wù)場(chǎng)景(見(jiàn)附錄C)確定軟件供應(yīng)鏈安全圖譜的等級(jí)，并清晰準(zhǔn)確地構(gòu)建軟件供應(yīng)鏈安全圖譜(見(jiàn)附錄D):1)一般業(yè)務(wù)場(chǎng)景中構(gòu)建的軟件供應(yīng)鏈安全圖譜，應(yīng)至少包含軟件產(chǎn)品信息；2)重要業(yè)務(wù)場(chǎng)景中構(gòu)建的軟件供應(yīng)鏈安全圖譜，應(yīng)包含1)中信息以及軟件來(lái)源信息、軟件3)核心業(yè)務(wù)場(chǎng)景中構(gòu)建的軟件供應(yīng)鏈安全圖譜，應(yīng)至少包含2)中信息，宜包含軟件部署和運(yùn)行所依賴(lài)的其他軟件產(chǎn)品信息。b)應(yīng)定期(至少每年一次)或軟件發(fā)生重要更新時(shí)，及時(shí)更新維護(hù)軟件供應(yīng)鏈安全圖譜。c)應(yīng)將軟件供應(yīng)鏈安全圖譜作為重要資產(chǎn)管理，采取相應(yīng)安全保護(hù)措施，防止軟件供應(yīng)鏈安全圖46.3軟件供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估軟件供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估對(duì)組織要求如下。a)應(yīng)按照GB/T36637—2018中6.3風(fēng)險(xiǎn)評(píng)估流程，定期開(kāi)展軟件供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估，識(shí)別現(xiàn)有或預(yù)計(jì)產(chǎn)生的組織管理和供應(yīng)活動(dòng)管理相關(guān)的安全風(fēng)險(xiǎn)，重點(diǎn)關(guān)注以下安全風(fēng)險(xiǎn)：1)發(fā)行版本或升級(jí)補(bǔ)丁停止交付或部署；2)供方提供的服務(wù)部分或完全中斷；3)激活等軟件授權(quán)措施受影響導(dǎo)致軟件功能降級(jí)或服務(wù)能力受限；4)供應(yīng)活動(dòng)在軟件中引入的安全風(fēng)險(xiǎn)破壞發(fā)行版本或升級(jí)補(bǔ)丁的完整性、安全性和合規(guī)性。b)應(yīng)對(duì)a)的影響進(jìn)行研判，至少對(duì)如下問(wèn)題做出明確結(jié)論：1)是否會(huì)影響到現(xiàn)有系統(tǒng)的正常安全運(yùn)行，以及影響范圍的大小；2)是否會(huì)影響到現(xiàn)有系統(tǒng)的日常維護(hù)工作，如：故障排查、故障部件更換、安全事件處置等；6.4軟件供應(yīng)鏈安全風(fēng)險(xiǎn)處置需方應(yīng)滿(mǎn)足第7章安全要求，供方應(yīng)滿(mǎn)足第8章要求，以防范6.3a)中的安全風(fēng)險(xiǎn)或緩解6.3b)中的7需方安全要求7.1組織管理機(jī)構(gòu)管理對(duì)需方要求如下。a)應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的資源(如有關(guān)資金、場(chǎng)地、人力等),并在預(yù)算管理過(guò)程中予以重點(diǎn)考慮。b)應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期(至少每年一次)開(kāi)展軟件供應(yīng)鏈安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作，包括但不限于軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析和6.3等。c)應(yīng)及時(shí)制定、修訂、宣貫、執(zhí)行各項(xiàng)軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。d)對(duì)于重要或核心業(yè)務(wù)場(chǎng)景，宜設(shè)立專(zhuān)職軟件供應(yīng)鏈管理機(jī)構(gòu)開(kāi)展軟件供應(yīng)鏈安全管理工作。制度管理對(duì)需方要求如下。a)應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略(可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分),至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別處置、監(jiān)督檢查等內(nèi)容。b)應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險(xiǎn)持續(xù)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估和事件響應(yīng)制度，明確不同等級(jí)安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)等要求。c)應(yīng)制定軟件采購(gòu)、獲取、運(yùn)維、廢止等供應(yīng)活動(dòng)安全管理制度，例如安全開(kāi)發(fā)、交付部署和驗(yàn)收、故障處理和維護(hù)升級(jí)等管理制度、規(guī)程或機(jī)制。d)應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等；對(duì)于重要崗位人員(如采購(gòu)人員、安全測(cè)試人員、配置管理人員、漏洞管理人員等)應(yīng)明確5并開(kāi)展背景審查工作的要求。e)應(yīng)制定供應(yīng)商管理制度，包括但不限于供應(yīng)商資質(zhì)審核、供應(yīng)商分類(lèi)分級(jí)、供應(yīng)商不良行為處理等。f)應(yīng)制定知識(shí)產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書(shū)、專(zhuān)利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。人員管理對(duì)需方要求如下。a)應(yīng)明確人員需具備的軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力，如軟件資產(chǎn)識(shí)別分析、軟件b)應(yīng)劃分人員的職責(zé)定位、權(quán)限級(jí)別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作日志。c)應(yīng)定期(至少每年一次)開(kāi)展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于a)和b)中涉及的內(nèi)容。d)應(yīng)建立并執(zhí)行離職離崗人員賬號(hào)、權(quán)限、材料的交接和清理機(jī)制和規(guī)程。e)對(duì)于核心業(yè)務(wù)場(chǎng)景，宜配置軟件供應(yīng)鏈安全保障團(tuán)隊(duì)，并根據(jù)需要開(kāi)展相關(guān)人員的背景調(diào)查。f)對(duì)于核心業(yè)務(wù)場(chǎng)景，宜具備防范各類(lèi)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)能力，例如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。供應(yīng)商管理對(duì)需方要求如下。a)應(yīng)分類(lèi)分級(jí)建立合格的供應(yīng)目錄，對(duì)供應(yīng)目錄及相關(guān)信息進(jìn)行集中管理，并定期或按照實(shí)際需求進(jìn)行更新維護(hù)。b)應(yīng)優(yōu)先選擇供應(yīng)目錄中滿(mǎn)足條件的供應(yīng)商。c)根據(jù)軟件供應(yīng)鏈中供應(yīng)關(guān)系、供應(yīng)活動(dòng)的不同，供應(yīng)商應(yīng)符合8.2的安全要求。d)應(yīng)制定供應(yīng)商選擇策略和制度，對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)分析，包括但不限于背景、資質(zhì)、能力以及能否持續(xù)安全提供產(chǎn)品或服務(wù)等方面的風(fēng)險(xiǎn)。e)應(yīng)要求供方開(kāi)展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估工作，明確相關(guān)內(nèi)容和范圍；確需第三方機(jī)構(gòu)的，應(yīng)明確對(duì)第三方機(jī)構(gòu)的能力、資質(zhì)等要求。f)應(yīng)要求供方配合相關(guān)部門(mén)開(kāi)展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查。g)應(yīng)在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時(shí)，對(duì)變更帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并采取相應(yīng)的風(fēng)險(xiǎn)控制措施。h)應(yīng)建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護(hù)能力，防范軟件供應(yīng)鏈中斷風(fēng)險(xiǎn)。7.1.5知識(shí)產(chǎn)權(quán)管理知識(shí)產(chǎn)權(quán)管理對(duì)需方要求如下。a)應(yīng)防止因知識(shí)產(chǎn)權(quán)問(wèn)題導(dǎo)致的法律風(fēng)險(xiǎn)，或具備防范相應(yīng)法律風(fēng)險(xiǎn)的能力和機(jī)制。b)應(yīng)充分熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識(shí)產(chǎn)權(quán)，對(duì)知識(shí)產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。c)在核心業(yè)務(wù)場(chǎng)景中，宜對(duì)所使用的軟件產(chǎn)品或服務(wù)相關(guān)的國(guó)內(nèi)外知識(shí)產(chǎn)權(quán)情況進(jìn)行詳細(xì)識(shí)別分析，建立相關(guān)知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)的應(yīng)對(duì)方案。7.2供應(yīng)活動(dòng)管理基本流程對(duì)需方要求如下。6a)應(yīng)在開(kāi)展供應(yīng)活動(dòng)前，以協(xié)議、合同等方式與供方建立供應(yīng)關(guān)系。b)應(yīng)在協(xié)議、合同等文件中明確對(duì)供應(yīng)活動(dòng)的安全要求，并簽署相應(yīng)的保密協(xié)議。c)應(yīng)按照約定的內(nèi)容和范圍開(kāi)展軟件供應(yīng)活動(dòng)管理。軟件采購(gòu)對(duì)需方要求如下。a)應(yīng)邀請(qǐng)軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)＜?或具備相應(yīng)網(wǎng)絡(luò)空間安全能力的評(píng)標(biāo)人員)參與招標(biāo)采購(gòu)過(guò)程。b)應(yīng)結(jié)合軟件應(yīng)用的實(shí)際業(yè)務(wù)場(chǎng)景，明確對(duì)軟件供應(yīng)鏈安全圖譜的要求；需要供方提供軟件供應(yīng)鏈安全圖譜的應(yīng)明確圖譜的內(nèi)容，如安全圖譜的等級(jí)、可追溯層級(jí)等。c)應(yīng)根據(jù)國(guó)家和行業(yè)已發(fā)布標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線和防護(hù)架構(gòu)，如軟件應(yīng)具備的安全防護(hù)能力、保護(hù)個(gè)人信息和重要數(shù)據(jù)等不被泄露的能力。d)應(yīng)確定所采購(gòu)軟件的授權(quán)使用期限及相應(yīng)的技術(shù)協(xié)助要求，在授權(quán)方式可選的條件下，明確軟件的激活、授權(quán)需求，優(yōu)先選擇離線永久激活模式，其次是完全在國(guó)內(nèi)線上永久激活，再次是完全在國(guó)內(nèi)實(shí)現(xiàn)的周期性線上激活、國(guó)外線上激活(永久或周期性)。e)應(yīng)制定從多個(gè)源廠商獲得兼容的產(chǎn)品和服務(wù)的方案，確保軟件來(lái)源的多樣性。對(duì)于單一來(lái)源的軟件，應(yīng)制定風(fēng)險(xiǎn)消減措施。f)對(duì)于定制研發(fā)軟件，應(yīng)要求供方具備安全開(kāi)發(fā)相關(guān)資質(zhì)或建立安全開(kāi)發(fā)規(guī)范，建立和維護(hù)安全的開(kāi)發(fā)環(huán)境、建立工具和設(shè)備的安全管理和準(zhǔn)入控制等。g)應(yīng)要求供方提供驗(yàn)證產(chǎn)品是否來(lái)自原廠商且獲得許可的途徑或方法。h)應(yīng)明確對(duì)運(yùn)維技術(shù)團(tuán)隊(duì)及相應(yīng)技術(shù)能力的要求，包括但不限于風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別、漏洞修復(fù)、完整i)應(yīng)要求軟件開(kāi)發(fā)、交付、部署、測(cè)試等工具和設(shè)備具備可操作的替代方案。j)應(yīng)考慮政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時(shí)的可替代策略。k)應(yīng)明確軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估的范圍，例如軟件資產(chǎn)識(shí)別、源代碼和二進(jìn)制代碼安全漏洞分析、軟件成分分析等；涉及第三方機(jī)構(gòu)的應(yīng)明確第三方機(jī)構(gòu)的資質(zhì)能力。軟件獲取對(duì)需方要求如下。a)應(yīng)對(duì)軟件進(jìn)行端到端的完整性驗(yàn)證。b)應(yīng)對(duì)所獲取軟件進(jìn)行全面安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，例如源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析、容器鏡像安全分析、軟件成分分析和6.3等，確保所獲取軟件符合約定的安全要求。c)應(yīng)確保獲取的軟件不存在已公開(kāi)漏洞未修復(fù)的情況；對(duì)于存在已公開(kāi)漏洞未修復(fù)的，應(yīng)要求供方及時(shí)修復(fù)或采取相應(yīng)緩解措施，并提供漏洞處置報(bào)告。d)對(duì)于定制研發(fā)軟件，宜掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理；對(duì)于需要二次開(kāi)發(fā)、獨(dú)立維護(hù)的應(yīng)獲取軟件源代碼和相關(guān)知識(shí)產(chǎn)權(quán)的授權(quán)，并妥善保管。e)對(duì)于定制研發(fā)軟件，應(yīng)要求廠商提供軟件相關(guān)技術(shù)資料，包括但不限于中文版運(yùn)行維護(hù)、二次開(kāi)發(fā)、軟件使用的場(chǎng)景和條件、權(quán)限和授權(quán)機(jī)制，軟件使用說(shuō)明書(shū)、技術(shù)分析報(bào)告等技術(shù)資料。注1:技術(shù)分析報(bào)告包括但不限于源代碼、二進(jìn)制代碼、組件等供應(yīng)鏈安全分析報(bào)告。注2:軟件技術(shù)資料中設(shè)置聲明條款，說(shuō)明采購(gòu)第三方軟件、開(kāi)源限制性、知識(shí)產(chǎn)權(quán)等情況。軟件運(yùn)維對(duì)需方要求如下。7a)應(yīng)確定運(yùn)維方案，包括運(yùn)維團(tuán)隊(duì)、運(yùn)維內(nèi)容和范圍、運(yùn)維流程等內(nèi)容。b)應(yīng)確保軟件及運(yùn)行環(huán)境持續(xù)穩(wěn)定可用，保障軟件完整性和訪問(wèn)控制策略正常。c)應(yīng)建立可追溯臺(tái)賬，對(duì)軟件產(chǎn)品或服務(wù)整個(gè)使用過(guò)程進(jìn)行記錄、檢測(cè)和維護(hù)，及時(shí)更新維護(hù)軟件供應(yīng)鏈安全圖譜。d)應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，保障軟件安裝、升級(jí)維護(hù)時(shí)從安全可控的渠道獲取軟件安裝包、升級(jí)包、補(bǔ)丁包，并開(kāi)展相應(yīng)的可用性、安全性及完整性檢測(cè)分析，在確保符合要求后進(jìn)行軟件安裝、更新升級(jí)，并同步更新相關(guān)配置。e)應(yīng)在約定的環(huán)境中使用軟件，對(duì)軟件及其運(yùn)行環(huán)境進(jìn)行安全配置，并記錄相關(guān)信息。f)應(yīng)明確運(yùn)維人員的訪問(wèn)權(quán)限級(jí)別，對(duì)其訪問(wèn)范圍和授權(quán)期限進(jìn)行嚴(yán)格區(qū)分，確定不同權(quán)限人員尤其是廠商、外包等非自有維護(hù)人員，開(kāi)展軟件運(yùn)維的內(nèi)容和邊界。g)應(yīng)對(duì)授權(quán)期限進(jìn)行管理，禁止使用超過(guò)授權(quán)使用期限或維保期限的軟件；確需使用的應(yīng)定期評(píng)估并處置其安全風(fēng)險(xiǎn)。h)應(yīng)對(duì)軟件運(yùn)維工具、運(yùn)維環(huán)境等進(jìn)行安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停止提供產(chǎn)品升級(jí)等供應(yīng)關(guān)系風(fēng)險(xiǎn)，漏洞、后門(mén)等技術(shù)安全風(fēng)險(xiǎn)以及知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。i)應(yīng)收集軟件供應(yīng)鏈的安全風(fēng)險(xiǎn)信息，發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，并按照規(guī)定及時(shí)向有關(guān)主管監(jiān)管部門(mén)報(bào)告。j)應(yīng)依據(jù)實(shí)際業(yè)務(wù)場(chǎng)景的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃，制定可接受的恢復(fù)時(shí)間和恢復(fù)目標(biāo)，并確定防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險(xiǎn)的安全策略。k)應(yīng)開(kāi)展軟件供應(yīng)鏈相關(guān)范圍內(nèi)的數(shù)據(jù)安全檢測(cè)分析和風(fēng)險(xiǎn)評(píng)估等工作，防止因軟件漏洞引起的信息泄露、數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生。1)應(yīng)對(duì)軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等進(jìn)行檢測(cè)和分析，及時(shí)發(fā)現(xiàn)產(chǎn)品后門(mén)植入、擅自提高權(quán)限等違規(guī)操作。軟件廢止對(duì)需方要求如下。a)應(yīng)制定軟件廢止處理規(guī)程，例如軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷(xiāo)毀等，并按照規(guī)程開(kāi)展相應(yīng)工作。b)應(yīng)移除準(zhǔn)入控制措施和策略中與所廢止軟件相關(guān)的信息，例如軟件、人員、設(shè)備等要求和規(guī)則；對(duì)于不適合清除的應(yīng)制定相應(yīng)的控制措施和策略。c)應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。d)對(duì)于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，應(yīng)要求新產(chǎn)品的供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。e)涉及數(shù)據(jù)銷(xiāo)毀的，宜參照GB/T37988—2019中第11章的要求進(jìn)行數(shù)據(jù)銷(xiāo)毀、防止對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行修復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。f)廢止工作完成后應(yīng)進(jìn)行安全檢測(cè)，確保除例外的要求和規(guī)則外，軟件及其相關(guān)信息被完全廢止。8供方安全要求8.1組織管理機(jī)構(gòu)管理對(duì)供方要求如下。a)應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的8資源(如有關(guān)資金、場(chǎng)地、人力等),并在預(yù)算管理過(guò)程中予以重點(diǎn)考慮。b)應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期(至少每年一次)開(kāi)展軟件供應(yīng)鏈安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估等軟件供應(yīng)鏈安全風(fēng)險(xiǎn)管理工作，包括但不限于軟件成分分析、源代碼和二進(jìn)制代碼安全檢測(cè)和6.3等。c)應(yīng)及時(shí)制定、修訂、宣貫、執(zhí)行各項(xiàng)軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。制度管理對(duì)供方要求如下。a)應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略(可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分),至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險(xiǎn)識(shí)別、處置、監(jiān)督檢查等內(nèi)容。b)應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估和事件響應(yīng)制度，并明確不同等級(jí)安全事件的報(bào)告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)等要求。c)應(yīng)制定軟件開(kāi)發(fā)、交付、運(yùn)維、廢止等供應(yīng)活動(dòng)的安全管理制度，例如安全開(kāi)發(fā)、交付部署和驗(yàn)收、故障處理和維護(hù)升級(jí)等管理制度、規(guī)程或機(jī)制。d)應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等內(nèi)容；對(duì)于重要崗位人員(如安全測(cè)試人員、配置管理人員、漏洞管理人員等)應(yīng)明確并開(kāi)展背景審查工作的要求。e)應(yīng)制定知識(shí)產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書(shū)、專(zhuān)利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。人員管理對(duì)供方要求如下。a)應(yīng)明確人員需具備的軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全分析能力，例如軟件資產(chǎn)識(shí)別分析、軟b)應(yīng)劃分人員的職責(zé)定位、權(quán)限級(jí)別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作日志。c)應(yīng)具備防范各類(lèi)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)能力，如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。d)應(yīng)定期(至少每年一次)開(kāi)展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于a)～c)中涉及的內(nèi)容。e)應(yīng)建立并執(zhí)行離職離崗人員的賬號(hào)、權(quán)限、材料等交接、清理的機(jī)制和規(guī)程。8.1.4知識(shí)產(chǎn)權(quán)管理知識(shí)產(chǎn)權(quán)管理對(duì)供方要求如下。a)應(yīng)防止因知識(shí)產(chǎn)權(quán)問(wèn)題導(dǎo)致的法律風(fēng)險(xiǎn)，或具備防范相應(yīng)法律風(fēng)險(xiǎn)的能力和機(jī)制。b)應(yīng)充分熟悉所提供軟件的知識(shí)產(chǎn)權(quán)，對(duì)知識(shí)產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。8.2供應(yīng)活動(dòng)管理基本流程對(duì)供方要求如下。a)應(yīng)在開(kāi)展供應(yīng)活動(dòng)前以協(xié)議、合同等方式與需方建立供應(yīng)關(guān)系。b)應(yīng)在協(xié)議、合同等文件中明確對(duì)供應(yīng)活動(dòng)的安全要求，并簽署相應(yīng)的保密協(xié)議。c)應(yīng)按照約定的內(nèi)容和范圍開(kāi)展軟件供應(yīng)活動(dòng)管理。9軟件開(kāi)發(fā)對(duì)供方要求如下。a)參照GB/T30998—2014的第6章開(kāi)展軟件開(kāi)發(fā)的安全保障分析，或具備安全開(kāi)發(fā)資質(zhì)，例如信息安全服務(wù)資質(zhì)(安全開(kāi)發(fā)類(lèi))、軟件安全開(kāi)發(fā)服務(wù)資質(zhì)等。b)應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，制定和實(shí)施防盜版的策略和規(guī)程，開(kāi)發(fā)過(guò)程中對(duì)文件、組件、開(kāi)發(fā)工具等采取訪問(wèn)控制、完整性保護(hù)等安全機(jī)制。c)應(yīng)構(gòu)建軟件供應(yīng)鏈安全圖譜，記錄軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息，并保障其完備性和準(zhǔn)確性。d)應(yīng)基于軟件供應(yīng)鏈安全圖譜，建立和維護(hù)可追溯性的策略和程序，記錄和保留外部組件的原始供應(yīng)方、開(kāi)源社區(qū)或開(kāi)發(fā)貢獻(xiàn)者等相關(guān)信息，可追溯至上游供應(yīng)商。e)應(yīng)確定軟件的安全需求基線和防護(hù)架構(gòu)，保障軟件具備安全防護(hù)、保護(hù)個(gè)人信息和重要數(shù)據(jù)不被泄露等能力。f)應(yīng)承諾所使用的外部組件不存在已公開(kāi)漏洞未修復(fù)的情況；對(duì)于存在已公開(kāi)漏洞未修復(fù)的，應(yīng)及時(shí)修復(fù)漏洞，或采取緩解防御措施，或提供漏洞分析和處置報(bào)告。g)應(yīng)建立外部組件的使用審批機(jī)制，對(duì)來(lái)源于開(kāi)放源代碼社區(qū)和第三方的代碼、組件和軟件進(jìn)行完整性驗(yàn)證、安全檢測(cè)和依賴(lài)關(guān)系分析，并對(duì)開(kāi)源代碼進(jìn)行安全評(píng)價(jià)；建立自有的開(kāi)源和第三方組件庫(kù)，并標(biāo)明使用等級(jí)(如優(yōu)選、可選、限選、禁選等),保障外部組件來(lái)源可靠、安全風(fēng)險(xiǎn)可消除或控制。h)應(yīng)持續(xù)跟蹤所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài)；對(duì)于存在安全風(fēng)險(xiǎn)的，應(yīng)及時(shí)通報(bào)，并及時(shí)采取更新、修復(fù)等措施，完善軟件供應(yīng)鏈安全圖譜信息；對(duì)于缺乏維護(hù)或即將廢止的組件應(yīng)采取停用、廢止等處置措施。i)對(duì)于難以驗(yàn)證來(lái)源的工具、外部組件，應(yīng)禁止使用；確需使用的應(yīng)醒目標(biāo)注，說(shuō)明原因，通過(guò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估后方可使用。j)應(yīng)建立安全可控的軟件開(kāi)發(fā)工作場(chǎng)所，搭建并使用專(zhuān)用的開(kāi)發(fā)環(huán)境；涉及多個(gè)開(kāi)發(fā)環(huán)境的應(yīng)進(jìn)行必要的邏輯隔離。k)應(yīng)建立開(kāi)發(fā)/測(cè)試工具和設(shè)備白名單，采用安全檢測(cè)、正版授權(quán)驗(yàn)證、官方完整性校驗(yàn)等措施進(jìn)行白名單準(zhǔn)入控制，保障核心開(kāi)發(fā)工具、核心組件有可替代方案或自主可控。1)應(yīng)選擇供需雙方約定的方式開(kāi)展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估工作，例如源代碼安全檢測(cè)、二進(jìn)制代碼安全檢測(cè)、軟件成分分析、知識(shí)產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等。軟件交付對(duì)供方要求如下。a)應(yīng)確保交付軟件的真實(shí)性、準(zhǔn)確性、完整性，采取措施保護(hù)信息不被篡改和泄露，并提供所交付軟件的完整性驗(yàn)證措施或方法。b)應(yīng)按約定方式對(duì)交付軟件實(shí)行安全部署和配置，提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜等信息。c)應(yīng)承諾所交付軟件不存在已公開(kāi)漏洞未修復(fù)的情況；對(duì)于存在已公開(kāi)漏洞未修復(fù)的，應(yīng)及時(shí)采取緩解措施，并提供漏洞處置報(bào)告。d)應(yīng)配合開(kāi)展所交付軟件的功能、性能、完整性及安全性等驗(yàn)收測(cè)試并對(duì)軟件進(jìn)行數(shù)字簽名，開(kāi)展包括但不限于供應(yīng)關(guān)系、供應(yīng)活動(dòng)的安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，以及可持續(xù)供應(yīng)能力、安全漏洞等安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，確保符合約定的安全要求。e)對(duì)于所交付軟件，應(yīng)禁止交付約定范圍外的內(nèi)容，如開(kāi)啟無(wú)關(guān)功能、捆綁無(wú)關(guān)軟件等，并承諾不在軟件中設(shè)置后門(mén)，或利用軟件的便利條件非法獲取用戶(hù)數(shù)據(jù)、控制和操縱用戶(hù)系統(tǒng)和設(shè)備，不會(huì)利用軟件的依賴(lài)性謀取不正當(dāng)利益，不在未授權(quán)情況下對(duì)軟件進(jìn)行升級(jí)或更新?lián)Q代；對(duì)于約定的遠(yuǎn)程訪問(wèn)控制措施，應(yīng)采取必要技術(shù)手段和管理措施確保遠(yuǎn)程控制過(guò)程的安全性。f)應(yīng)及時(shí)提供交付環(huán)節(jié)變化的通報(bào)，以及相關(guān)的交付途徑安全性分析報(bào)告，并對(duì)可能造成嚴(yán)重后果的變化，快速采取補(bǔ)救措施。g)應(yīng)交付需方購(gòu)買(mǎi)軟件的使用授權(quán)，例如許可證、產(chǎn)品序列號(hào)、許可協(xié)議等h)應(yīng)保障所交付軟件使用的外部組件獲取途徑安全性、自身安全性、組件可持續(xù)服務(wù)等，提供與等相關(guān)材料。i)對(duì)于定制研發(fā)軟件，應(yīng)交付包括但不限于軟件源代碼，中文版運(yùn)行維護(hù)、二次開(kāi)發(fā)、軟件使用的場(chǎng)景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說(shuō)明書(shū)、技術(shù)分析報(bào)告等技術(shù)資料。注1:技術(shù)分析報(bào)告包括但不限于源代碼、二進(jìn)制代碼、組件等供應(yīng)鏈安全分析報(bào)告。注2:軟件技術(shù)資料中設(shè)置聲明條款，說(shuō)明采購(gòu)第三方軟件、開(kāi)源限制性、知識(shí)產(chǎn)權(quán)等情況。j)對(duì)于定制研發(fā)或者自主研制軟件，應(yīng)妥善保管i)中的內(nèi)容，并依據(jù)相關(guān)規(guī)定或合同文件，不將軟件全部或部分泄露到授權(quán)以外的范圍，并簽署保密協(xié)議。k)應(yīng)對(duì)軟件分包、集成等工作的安全負(fù)責(zé)。1)應(yīng)開(kāi)展全面的軟件供應(yīng)鏈安全檢測(cè)，例如源代碼安全檢測(cè)、二進(jìn)制代碼安全檢測(cè)和容器鏡像安全檢測(cè)等，緩解或消除軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。軟件運(yùn)維對(duì)供方要求如下。a)應(yīng)確保軟件在授權(quán)期內(nèi)持續(xù)穩(wěn)定可用，保障軟件完整性和訪問(wèn)控制策略正常。b)應(yīng)協(xié)調(diào)軟件原廠、供應(yīng)商、集成商等共同開(kāi)展軟件運(yùn)維工作。c)應(yīng)建立并維護(hù)可追溯臺(tái)賬，及時(shí)更新維護(hù)軟件供應(yīng)鏈安全圖譜信息。d)應(yīng)識(shí)別授權(quán)即將到期或超過(guò)授權(quán)、維保期限仍在使用的軟件，定期開(kāi)展安全風(fēng)險(xiǎn)檢測(cè)和風(fēng)險(xiǎn)評(píng)估，及時(shí)向需方發(fā)送風(fēng)險(xiǎn)提醒，并協(xié)助處置發(fā)現(xiàn)的安全風(fēng)險(xiǎn)。e)應(yīng)定期(至少每年一次)開(kāi)展軟件供應(yīng)鏈安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，例如軟件本身、運(yùn)維工具、運(yùn)維環(huán)境、軟件外聯(lián)網(wǎng)絡(luò)地址、域名以及數(shù)據(jù)安全等安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停止提供產(chǎn)品升級(jí)等持續(xù)供應(yīng)風(fēng)險(xiǎn)，漏洞、后門(mén)以及數(shù)據(jù)泄露、篡改和損毀、信息泄露、擅自提高權(quán)限等安全風(fēng)險(xiǎn)，并按照有關(guān)規(guī)定向相關(guān)部門(mén)報(bào)告。f)應(yīng)在生產(chǎn)地、注冊(cè)地所在國(guó)家或地區(qū)出現(xiàn)因政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時(shí)，及時(shí)采取應(yīng)對(duì)措施，或在需方采用替代方案時(shí)積極給予協(xié)助。g)應(yīng)禁止向未授權(quán)者提供運(yùn)維相關(guān)數(shù)據(jù)，或?qū)⑾嚓P(guān)數(shù)據(jù)用于運(yùn)維以外的目的。h)應(yīng)明確軟件供應(yīng)鏈運(yùn)維人員對(duì)軟件供應(yīng)鏈的訪問(wèn)權(quán)限，確定不同權(quán)限人員開(kāi)展軟件運(yùn)維的內(nèi)容和邊界。軟件廢止對(duì)供方要求如下。a)應(yīng)協(xié)助需方開(kāi)展軟件卸載、停用及數(shù)據(jù)備份、遷移、銷(xiāo)毀等工作。b)應(yīng)具備防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。c)對(duì)于軟件廢止并替換為新軟件的，新軟件應(yīng)采取如下措施支持?jǐn)?shù)據(jù)遷移到新的軟件：1)制定軟件數(shù)據(jù)遷移計(jì)劃，并確保數(shù)據(jù)安全遷移；2)在數(shù)據(jù)遷移完成后，對(duì)廢止軟件進(jìn)行數(shù)據(jù)清除和卸載，對(duì)廢止軟件進(jìn)行安全處理。GB/T43698—2024(資料性)軟件供應(yīng)鏈安全概述A.1軟件供應(yīng)鏈模型軟件供應(yīng)鏈?zhǔn)且环N由供應(yīng)關(guān)系、供應(yīng)活動(dòng)構(gòu)成的網(wǎng)鏈結(jié)構(gòu)。軟件供應(yīng)鏈至少包含一層供應(yīng)關(guān)系，一種實(shí)體可以有多種角色。以軟件采購(gòu)為例，當(dāng)需方直接從軟件開(kāi)發(fā)廠商采購(gòu)軟件時(shí)，供應(yīng)鏈中包含開(kāi)發(fā)商(供方)和采購(gòu)商(需方)兩種實(shí)體角色，此時(shí)軟件供應(yīng)鏈僅包含一層供應(yīng)關(guān)系；當(dāng)需方采購(gòu)定制研發(fā)軟件產(chǎn)品時(shí)，定制過(guò)程中需外包或采購(gòu)部分功能模塊，此時(shí)軟件供應(yīng)鏈可能存在多層供應(yīng)關(guān)系，外包方(供方)和定制開(kāi)發(fā)方(需方)、定制開(kāi)發(fā)方(供方)和軟件采購(gòu)方(需方),定制開(kāi)發(fā)方具備了供方和需方兩種角色；軟件供應(yīng)鏈中最細(xì)粒度的供應(yīng)關(guān)系僅包含一層供應(yīng)關(guān)系。軟件供應(yīng)鏈模型示意圖如圖A.1集成軟件運(yùn)維需方/供方(集成商)需方/供方需方/供方軟1交付軟件開(kāi)發(fā)詳細(xì)過(guò)程供方第三方供方(外包方)供方(代理商)供方(開(kāi)發(fā)商)上游需方/供方需方/供方需方/供方史王壞節(jié)交付壞節(jié)開(kāi)發(fā)環(huán)節(jié)供方需方/供方圖A.1軟件供應(yīng)鏈模型示意圖A.2軟件供應(yīng)鏈實(shí)體角色分析軟件供應(yīng)鏈主要相關(guān)實(shí)體角色是供方和需方。在特定條件下，第三方機(jī)構(gòu)將參與供方和需方的相關(guān)活動(dòng)。其中，第三方機(jī)構(gòu)在軟件供應(yīng)鏈中主要根據(jù)供需雙方的安全要求開(kāi)展軟件供應(yīng)鏈安全檢測(cè)、評(píng)估、咨詢(xún)等服務(wù)，在此過(guò)程中第三方機(jī)構(gòu)作為服務(wù)提供方屬于供方角色范疇。軟件供應(yīng)鏈中供方、需方和第三方機(jī)構(gòu)間的關(guān)系如圖A.2所示。安全檢測(cè)、評(píng)估、咨詢(xún)第三方機(jī)構(gòu)開(kāi)發(fā)、交付、運(yùn)維、廢止需方供方需方采購(gòu)、獲取、運(yùn)維、廢止A.3軟件供應(yīng)鏈安全構(gòu)成A.3.1概述軟件供應(yīng)鏈安全包括實(shí)體角色與活動(dòng)、環(huán)節(jié)與供應(yīng)活動(dòng)、安全風(fēng)險(xiǎn)等內(nèi)容，如圖A.3所示。軟件開(kāi)發(fā)商/代理商軟件開(kāi)發(fā)商/代理商第三方組件供應(yīng)商外包開(kāi)發(fā)商監(jiān)管機(jī)構(gòu)、第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)發(fā)環(huán)節(jié)軟件運(yùn)維軟件廢止后門(mén)、漏洞、缺陷代碼托管風(fēng)險(xiǎn)管理、知識(shí)產(chǎn)權(quán)等風(fēng)險(xiǎn)+**采購(gòu)需求分析編碼開(kāi)發(fā)、測(cè)試第三方紐件使用代碼托管外包集成軟件開(kāi)發(fā)商/代理商監(jiān)管機(jī)構(gòu)、第三方測(cè)評(píng)機(jī)構(gòu)物流餅劫持下載劫持擁綁下載軟件交付范圍擴(kuò)大+.4*運(yùn)行壞境污染升級(jí)更新劫持應(yīng)急響應(yīng)風(fēng)險(xiǎn)軟件供應(yīng)中斷使用操作運(yùn)光維護(hù)應(yīng)急處置代理交付直接交付下載獲取安裝部署軟件采購(gòu)軟件開(kāi)發(fā)環(huán)節(jié)與供應(yīng)活動(dòng)實(shí)體角色與活動(dòng)交付環(huán)節(jié)安全風(fēng)險(xiǎn)*4圖A.3軟件供應(yīng)鏈安全構(gòu)成示意圖A.3.2軟件供應(yīng)鏈環(huán)節(jié)與供應(yīng)活動(dòng)軟件供應(yīng)鏈主要包括三個(gè)環(huán)節(jié)，分別是開(kāi)發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)。軟件供應(yīng)鏈安全以軟件供應(yīng)鏈環(huán)節(jié)為主線，以風(fēng)險(xiǎn)管理為總體依據(jù)，指導(dǎo)供需雙方開(kāi)展組織管理和供應(yīng)活動(dòng)管理工作。軟件供應(yīng)止。根據(jù)實(shí)體角色的不同，在各個(gè)環(huán)節(jié)中供需雙方涉及的供應(yīng)活動(dòng)不同。需方和供方涉及的各個(gè)供應(yīng)活動(dòng)的相關(guān)描述如表A.1所示。表A.1軟件供應(yīng)鏈環(huán)節(jié)和供應(yīng)活動(dòng)環(huán)節(jié)名稱(chēng)供應(yīng)活動(dòng)實(shí)體角色活動(dòng)描述開(kāi)發(fā)環(huán)節(jié)軟件采購(gòu)需方通過(guò)文件、協(xié)議或合同的方式確定軟件供需雙方的關(guān)系，軟件采購(gòu)將對(duì)軟件供應(yīng)鏈中后續(xù)供需雙方的供應(yīng)活動(dòng)的總體要求進(jìn)行闡釋、說(shuō)明和約定軟件開(kāi)發(fā)供方軟件供應(yīng)鏈的供方進(jìn)行軟件的設(shè)計(jì)、編碼、集成、測(cè)試等活動(dòng)，形成滿(mǎn)足需方要求的軟件交付環(huán)節(jié)軟件交付供方供方通過(guò)特定的方式或渠道將軟件交付至需方軟件獲取需方需方從供方獲取軟件，并開(kāi)展軟件驗(yàn)收等工作使用環(huán)節(jié)軟件運(yùn)維供方需方為保障軟件的正常運(yùn)行，軟件供應(yīng)鏈的供方和需方開(kāi)展運(yùn)營(yíng)、維護(hù)、排障、更新、應(yīng)急處置等工作軟件廢止供方需方在軟件生命周期結(jié)束之前，供需雙方對(duì)上述活動(dòng)中產(chǎn)生的程序、代碼、資料、文檔等進(jìn)行銷(xiāo)毀、封存、存檔等處理工作A.3.3軟件供應(yīng)鏈安全風(fēng)險(xiǎn)A.3.3.1概述在軟件供應(yīng)鏈各個(gè)供應(yīng)活動(dòng)中均可能引入安全風(fēng)險(xiǎn)，主要分為供應(yīng)關(guān)系風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)和知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)3類(lèi)。其中，供應(yīng)關(guān)系風(fēng)險(xiǎn)主要是指供應(yīng)中斷，技術(shù)風(fēng)險(xiǎn)主要指軟件漏洞、軟件后門(mén)、惡意篡改和信息泄露等，知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)主要指假冒偽劣、不合規(guī)等安全風(fēng)險(xiǎn)。A.3.3.2供應(yīng)中斷和降級(jí)因自然等不可抗力、政治、外交、國(guó)際經(jīng)貿(mào)等原因造成上游軟件、使用許可、知識(shí)產(chǎn)權(quán)授權(quán)等交付途軟件漏洞通常被認(rèn)為是軟件生命周期中出現(xiàn)的設(shè)計(jì)錯(cuò)誤、編碼缺陷以及運(yùn)行故障。A.3.3.4軟件后門(mén)主要包括以下內(nèi)容。a)供方預(yù)留在軟件產(chǎn)品中預(yù)置且未向需方聲明的用于管理、運(yùn)維、調(diào)試等接口，如果被泄露，攻擊者會(huì)通過(guò)預(yù)置接口獲得軟件或操作系統(tǒng)的訪問(wèn)權(quán)限。b)攻擊者惡意植入攻擊者入侵供應(yīng)鏈環(huán)節(jié)，在供應(yīng)鏈環(huán)節(jié)中修改軟件組件以植入惡意后門(mén)，達(dá)到捆綁惡意代碼、A.3.3.5惡意篡改主要包括以下內(nèi)容。a)惡意代碼植入在需方不知情的情況下，在軟件產(chǎn)品或供應(yīng)鏈中的組件、外部工具(開(kāi)發(fā)、測(cè)試、運(yùn)維等工具)中植入具有惡意邏輯的可執(zhí)行文件、代碼模塊或代碼片段。b)供應(yīng)信息篡改在供方不知情的情況下，篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息，如銷(xiāo)售信息、商品信息、軟件構(gòu)成信息等。供方提供未經(jīng)產(chǎn)品認(rèn)證、檢測(cè)的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。軟件供應(yīng)鏈信息被有意或無(wú)意地泄露，如軟件上游供應(yīng)商、下游需方的信息可能涉及商業(yè)秘密，供應(yīng)鏈信息存在被泄露的風(fēng)險(xiǎn)。A.3.3.8供應(yīng)鏈劫持供應(yīng)鏈劫持是普遍存在的一種供應(yīng)鏈污染，安全風(fēng)險(xiǎn)突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫A.3.3.9知識(shí)產(chǎn)權(quán)非法使用未經(jīng)授權(quán)而生產(chǎn)、銷(xiāo)售、發(fā)布軟件或組件，導(dǎo)致軟件產(chǎn)品的全部或部分被泄漏到授權(quán)以外的范圍，如盜版軟件、違反開(kāi)源許可使用的軟件、違反協(xié)議進(jìn)行的二次開(kāi)發(fā)等。A.3.3.10開(kāi)源許可違規(guī)使用主要包括以下內(nèi)容。a)無(wú)開(kāi)源許可證軟件產(chǎn)品發(fā)布時(shí)缺少開(kāi)源許可證類(lèi)型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等許可證。b)使用不規(guī)范軟件產(chǎn)品發(fā)布時(shí)不符合相應(yīng)許可協(xié)議的規(guī)范和要求，包括但不限于沒(méi)有遵循開(kāi)源許可證協(xié)議，開(kāi)源組件修改后許可信息丟失，存在無(wú)許可信息的開(kāi)源片段代碼等。由于軟件供應(yīng)鏈內(nèi)外部人員、軟件供應(yīng)鏈全球性等特點(diǎn)帶來(lái)的風(fēng)險(xiǎn)或挑戰(zhàn)。GB/T43698—2024(資料性)關(guān)鍵軟件資產(chǎn)B.1概述關(guān)鍵軟件資產(chǎn)主要指具有或直接依賴(lài)包含至少一項(xiàng)特定關(guān)鍵功能屬性的軟件，比如處理重要數(shù)據(jù)、涉及特權(quán)操作等。B.2關(guān)鍵軟件資產(chǎn)清單在重要業(yè)務(wù)場(chǎng)景和核心業(yè)務(wù)場(chǎng)景中梳理關(guān)鍵軟件資產(chǎn)，建立關(guān)鍵軟件資產(chǎn)清單，并將關(guān)鍵軟件資產(chǎn)所依賴(lài)的其他軟件納入關(guān)鍵軟件資產(chǎn)清單。B.3關(guān)鍵軟件資產(chǎn)供應(yīng)鏈?zhǔn)崂黻P(guān)鍵軟件資產(chǎn)供應(yīng)鏈?zhǔn)崂淼男畔?，主要包括以下?nèi)容。a)產(chǎn)品發(fā)布版本號(hào)。b)產(chǎn)品原廠。c)產(chǎn)品生命周期。d)產(chǎn)品補(bǔ)丁發(fā)布計(jì)劃。e)產(chǎn)品交付途徑。f)產(chǎn)品部署方式(在線或離線)。g)產(chǎn)品授權(quán)(或許可)方式、年限。h)產(chǎn)品中所包括的外部組件清單，及其源供應(yīng)商。i)產(chǎn)品發(fā)行版本是否有激活等技術(shù)性版權(quán)控制措施。如有，還需進(jìn)一步梳理如下信息：1)激活版本和未激活版本是否有功能差異；2)激活是線上完成還是離線完成；3)激活是否需要原廠提供的憑據(jù)、數(shù)據(jù)等，這些憑據(jù)、數(shù)據(jù)丟失或損壞后能否以及如何恢復(fù)；4)激活是永久激活還是定期激活；5)是否有去激活機(jī)制，去激活是否需要原廠參與；6)是否允許重新激活，重新激活過(guò)程是否可以離線完成。j)產(chǎn)品部署版本和補(bǔ)丁從原廠交付到需方、并部署到需方信息系統(tǒng)的所有經(jīng)過(guò)的交付節(jié)點(diǎn)(環(huán)1)原廠是否提供交付環(huán)節(jié)端對(duì)端數(shù)據(jù)完整性保護(hù)措施；2)交付環(huán)節(jié)之間是否提供點(diǎn)對(duì)點(diǎn)的完整性保護(hù)措施；3)每一個(gè)交付環(huán)節(jié)是否有防止交付物被修改的措施。對(duì)產(chǎn)品中包括的核心外部組件，需要軟件供應(yīng)商提供外部組件源供應(yīng)商與其之間的供應(yīng)鏈信息，至少包括上述a)～j)項(xiàng)信息。(資料性)組織業(yè)務(wù)場(chǎng)景分類(lèi)組織根據(jù)軟件是否應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施、軟件資產(chǎn)分類(lèi)、場(chǎng)景價(jià)值3個(gè)要素對(duì)業(yè)務(wù)場(chǎng)景分a)根據(jù)國(guó)家相關(guān)規(guī)定確定軟件是否應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施(關(guān)基);b)結(jié)合軟件在實(shí)際業(yè)務(wù)中的重要程度，將其確定為一般軟件資產(chǎn)、關(guān)鍵軟件資產(chǎn)(見(jiàn)附錄B);c)根據(jù)a)和b)的結(jié)果確定場(chǎng)景的價(jià)值為較低、較高和很高；d)場(chǎng)景價(jià)值較低的為一般業(yè)務(wù)場(chǎng)景，場(chǎng)景價(jià)值較高的為重要業(yè)務(wù)場(chǎng)景，場(chǎng)景價(jià)值很高的為核心業(yè)表C.1業(yè)務(wù)場(chǎng)景分類(lèi)場(chǎng)景分類(lèi)結(jié)果應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施軟件資產(chǎn)分類(lèi)場(chǎng)景價(jià)值場(chǎng)景說(shuō)明軟件供應(yīng)鏈安全圖譜一般業(yè)務(wù)場(chǎng)景否一般較低僅涉及個(gè)人或組織安全或利益數(shù)據(jù)的業(yè)務(wù)場(chǎng)景下的軟件供應(yīng)鏈：1)業(yè)務(wù)場(chǎng)景價(jià)值較低；2)受到損害后僅對(duì)法人或組織安全造成損害，影響范圍較小基礎(chǔ)級(jí)重要業(yè)務(wù)場(chǎng)景否關(guān)鍵較高行業(yè)或社會(huì)廣泛使用的，涉及行業(yè)或社會(huì)重要數(shù)據(jù)業(yè)務(wù)場(chǎng)景下的軟件供應(yīng)鏈：1)在行業(yè)或社會(huì)廣泛使用，業(yè)務(wù)場(chǎng)景價(jià)值較高；2)受到破壞后損害組織、公共利益或社會(huì)安全通用級(jí)是一般核心業(yè)務(wù)場(chǎng)景是關(guān)鍵很高全社會(huì)使用非常廣泛、國(guó)家重要領(lǐng)域、要害部門(mén)等關(guān)鍵信息基礎(chǔ)設(shè)施中涉及國(guó)家安全和國(guó)計(jì)民生的軟件供應(yīng)鏈：1)用戶(hù)為全社會(huì)、國(guó)家重要領(lǐng)域、要害部門(mén)，業(yè)務(wù)場(chǎng)景價(jià)值很高；2)涉及國(guó)家安全和國(guó)計(jì)民生，受到破壞后損害國(guó)家安全或嚴(yán)重?fù)p害社會(huì)安全增強(qiáng)級(jí)(資料性)軟件供應(yīng)鏈安全圖譜D.1圖譜構(gòu)成軟件供應(yīng)鏈安全圖譜包含軟件產(chǎn)品信息、軟件物料清單和安全信息3方面內(nèi)容。其中，安全信息是指軟件物料清單中的組件、代碼中存在的技術(shù)安