信息安全技術(shù) 軟件供應(yīng)鏈安全要求

ICS35.030

CCSL80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

信息安全技術(shù)軟件供應(yīng)鏈安全要求

Informationsecuritytechnology—Securityrequirementsforsoftwaresupplychain

（征求意見稿）

2022-09-28

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本文件起草單位：中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)

處理協(xié)調(diào)中心、華為技術(shù)有限公司、中國(guó)軟件評(píng)測(cè)中心、諾基亞通信系統(tǒng)技術(shù)（北京）有限公司、網(wǎng)神

信息技術(shù)（北京）股份有限公司、深信服科技股份有限公司、聯(lián)想（北京）有限公司、北京天融信網(wǎng)絡(luò)

安全技術(shù)有限公司、國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院、國(guó)家信息技術(shù)安全研究中心、長(zhǎng)揚(yáng)科技（北

京）有限公司、深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家計(jì)算機(jī)網(wǎng)

絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心、杭州安恒信息技術(shù)股份有限公司、北京鴻騰智能科技有限公司、

北京奇虎科技有限公司、北京快手科技有限公司、國(guó)網(wǎng)區(qū)塊鏈科技（北京）有限公司、麒麟軟件有限公

司、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限公司、北京大學(xué)、

云從科技集團(tuán)股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、瀚高基礎(chǔ)軟件股份有限公司、北京

威努特技術(shù)有限公司、昆侖數(shù)智科技有限責(zé)任公司、杭州默安科技有限公司、中國(guó)信息通信研究院、中

電長(zhǎng)城網(wǎng)際安全技術(shù)研究院（北京）有限公司、北京安普諾信息技術(shù)有限公司、北京神州綠盟科技有限

公司、OPPO廣東移動(dòng)通信有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、阿里云計(jì)算有限公司、北京中測(cè)

安華科技有限公司、中國(guó)科學(xué)院信息工程研究所、上海文鰩信息科技有限公司、蘇州棱鏡七彩信息科技

有限公司、騰訊云計(jì)算（北京）有限責(zé)任公司、新華三技術(shù)有限公司、螞蟻科技集團(tuán)福根有限公司、工

業(yè)和信息化部電子第五研究所、北京人大金倉(cāng)信息技術(shù)股份有限公司、上海大學(xué)、西安郵電大學(xué)等。

本文件主要起草人：李守鵬、王欣、王曉萌、王惠蒞、林星辰、吳潤(rùn)浦、陳冬青、薛勇波、曾晉、

沈蕾、董國(guó)偉、葉潤(rùn)國(guó)、李汝鑫、高金萍、鄧輝、常遠(yuǎn)、楊慧婷、楊韜、馮明冉、楊劍、萬(wàn)振華、王振

遠(yuǎn)、王晶、張亞京、梁偉、邱林海、王頡、張大江、羅峋、張屹、李杺恬、落紅衛(wèi)、應(yīng)凌云、沈錫鏞、

孟瑾、溫婷婷、王紅亮、王春霞、王巖、李娜、王聰、李汪蔚、查文靜、李騰、宋桂香、李紅、張剛、

柴思躍、趙曉暉、申永波、白曉媛、董軍平、陳亮、徐永太、高慶、查海平、萬(wàn)曉蘭、林飛、吳菊華、

寧戈、彭晨、張勇等。

II

GB/TXXXXX—XXXX

信息安全技術(shù)軟件供應(yīng)鏈安全要求

1范圍

本文件給出了軟件供應(yīng)鏈安全保護(hù)目標(biāo)，規(guī)定了軟件供應(yīng)鏈組織管理和供應(yīng)活動(dòng)管理的安全要求。

本文件適用于指導(dǎo)軟件供應(yīng)鏈中的需方、供方開展組織管理和供應(yīng)活動(dòng)管理，可為第三方機(jī)構(gòu)開展

軟件供應(yīng)鏈安全測(cè)試和評(píng)估提供依據(jù)，也可為主管監(jiān)管部門提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T36637—2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南

3術(shù)語(yǔ)和定義

GB/T25069—2022和GB/T36637—2018中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

軟件產(chǎn)品softwareproduct

計(jì)算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件，或在提供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用等技術(shù)服務(wù)時(shí)提

供的計(jì)算機(jī)軟件，表現(xiàn)形式為一組計(jì)算機(jī)代碼、規(guī)程以及可能的相關(guān)文檔和數(shù)據(jù)。

[來(lái)源：GB/T36475—2018，3.1，有修改]

3.2

軟件服務(wù)softwareservice

實(shí)施與軟件產(chǎn)品有關(guān)的活動(dòng)、工作或義務(wù)，如軟件開發(fā)、集成、維護(hù)和運(yùn)營(yíng)。

[來(lái)源：GB/T8566—2007，3.1]

3.3

需方acquirer

從其他組織獲取軟件產(chǎn)品或服務(wù)的組織或個(gè)人。

注：本文件中主要指軟件產(chǎn)品或服務(wù)的最終用戶。

[來(lái)源：GB/T36637—2018，3.1，有修改：術(shù)語(yǔ)名稱“ICT需方ICTacquirer”改為“需方acquirer”，

“ICT產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品或服務(wù)”]

1

GB/TXXXXX—XXXX

3.4

供方supplier

提供軟件產(chǎn)品或服務(wù)的組織或個(gè)人。

注：本文件中主要指需方的第一級(jí)（直接）供應(yīng)商。

[來(lái)源：GB/T36637—2018，3.2，有修改：術(shù)語(yǔ)名稱“ICT供方ICTsupplier”改為“供方supplier”，

“ICT產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品或服務(wù)”等]

3.5

供應(yīng)關(guān)系supplierrelation

需方（3.3）和供方（3.4）之間的協(xié)議，可用于開展業(yè)務(wù)、提供軟件產(chǎn)品或服務(wù)。

注：在供應(yīng)鏈中，上游的需方同時(shí)也是下游的供方。終端客戶可以理解為一種特殊的需方。

[來(lái)源：GB/T36637—2018，3.3，有修改：“產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品或服務(wù)”]

3.6

軟件供應(yīng)鏈softwaresupplychain

基于供應(yīng)關(guān)系，通過(guò)資源和過(guò)程將軟件產(chǎn)品或服務(wù)從供方傳遞給需方的網(wǎng)鏈系統(tǒng)。

注：軟件供應(yīng)鏈中的供應(yīng)活動(dòng)主要包括軟件采購(gòu)、交付、運(yùn)維和廢止。

[來(lái)源：GB/T36637—2018，3.4，有修改：術(shù)語(yǔ)名稱“ICT供應(yīng)鏈ICTsupplychain”改為“軟件

供應(yīng)鏈softwaresupplychain”，“ICT的產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品和服務(wù)”等]

3.7

軟件物料清單softwarebillofmaterials

軟件采用的所有組件、許可協(xié)議、組件依賴關(guān)系和層次關(guān)系的清單。

3.8

軟件構(gòu)成圖譜softwarecompositiongraph

軟件物料清單、軟件供應(yīng)關(guān)系、知識(shí)產(chǎn)權(quán)、安全風(fēng)險(xiǎn)、軟件供應(yīng)鏈基礎(chǔ)設(shè)施等信息的表示形式，支

撐實(shí)現(xiàn)軟件供應(yīng)鏈的安全保護(hù)目標(biāo)。

注：一般以文本形式存儲(chǔ)，支持通過(guò)知識(shí)圖譜方式展示。

3.9

開放源代碼社區(qū)opensourcecommunity

開源代碼開發(fā)、維護(hù)的一種組織和運(yùn)作方式。

3.10

第三方組件thirdpartycomponent

由供方和需方以外的其他軟件開發(fā)組織或人員開發(fā)的獨(dú)立可用或可調(diào)用的軟件組件，通常是由二進(jìn)

制程序文件或者源代碼程序文件構(gòu)成。

4軟件供應(yīng)鏈安全保護(hù)目標(biāo)

2

GB/TXXXXX—XXXX

軟件供應(yīng)鏈安全目標(biāo)是識(shí)別和防范供應(yīng)關(guān)系和供應(yīng)活動(dòng)中面臨的安全風(fēng)險(xiǎn)（見附錄A），提升軟件

供應(yīng)鏈安全保障能力，主要包括：

a)提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)管理能力：識(shí)別和防范供應(yīng)關(guān)系建立及供應(yīng)活動(dòng)中軟件產(chǎn)

品和服務(wù)供應(yīng)中斷的管理安全風(fēng)險(xiǎn)，提升軟件供應(yīng)鏈的韌性，當(dāng)軟件供應(yīng)鏈中斷或部分失效時(shí)，

能夠保障業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行。

b)提升供應(yīng)活動(dòng)引入的技術(shù)安全風(fēng)險(xiǎn)管理能力：識(shí)別和防范由于供應(yīng)關(guān)系或供應(yīng)活動(dòng)變化導(dǎo)致的

軟件漏洞、后門、篡改、偽造等技術(shù)安全風(fēng)險(xiǎn)，提升軟件供應(yīng)鏈的可追溯性、安全性，一旦發(fā)

現(xiàn)上述風(fēng)險(xiǎn)，可以快速有效追溯和修復(fù)。

c)提升軟件供應(yīng)鏈數(shù)據(jù)安全風(fēng)險(xiǎn)管理能力：識(shí)別和防范供應(yīng)關(guān)系和供應(yīng)活動(dòng)中存在的數(shù)據(jù)泄露、

數(shù)據(jù)篡改、非法訪問(wèn)等安全風(fēng)險(xiǎn)，提升軟件供應(yīng)鏈數(shù)據(jù)安全保護(hù)能力，防止軟件供應(yīng)鏈的數(shù)據(jù)

泄露給未授權(quán)者。

5安全要求

5.1組織管理

5.1.1機(jī)構(gòu)管理

本項(xiàng)要求包括：

a)需方應(yīng)明確軟件供應(yīng)鏈安全管理機(jī)構(gòu)，明確其職責(zé)及人員，并提供用于軟件供應(yīng)鏈安全管理的

資金、資產(chǎn)和權(quán)限等可用資源，保障軟件供應(yīng)鏈安全管理工作順利執(zhí)行；

b)需方應(yīng)組織開展常態(tài)化軟件供應(yīng)鏈實(shí)體要素識(shí)別，以及供應(yīng)關(guān)系、供應(yīng)活動(dòng)的安全風(fēng)險(xiǎn)識(shí)別、

處置和防范等工作，組織構(gòu)建并管理軟件構(gòu)成圖譜（見附錄B），充分掌握組織的軟件供應(yīng)鏈

安全風(fēng)險(xiǎn)；

c)需方應(yīng)持續(xù)加強(qiáng)軟件供應(yīng)鏈安全能力建設(shè)，包括但不限于供應(yīng)關(guān)系管理，軟件供應(yīng)鏈實(shí)體要素

識(shí)別，軟件供應(yīng)鏈風(fēng)險(xiǎn)識(shí)別、響應(yīng)及防范等能力，持續(xù)提升自身軟件供應(yīng)鏈安全保障能力；

d)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜設(shè)立專職的軟件供應(yīng)鏈管理機(jī)

構(gòu)，根據(jù)a)至c)條款開展全流程軟件供應(yīng)鏈安全管理工作。

5.1.2制度管理

本項(xiàng)要求包括：

a)需方應(yīng)圍繞軟件供應(yīng)鏈風(fēng)險(xiǎn)識(shí)別和防范明確軟件供應(yīng)鏈安全的總體方針、安全制度和策略，包

括但不限于開展軟件供應(yīng)鏈安全監(jiān)督、管理和檢查等內(nèi)容，并及時(shí)修訂更新；

b)需方應(yīng)制定軟件供應(yīng)關(guān)系的安全管理制度，包括但不限于自主研發(fā)軟件、現(xiàn)貨類軟件、定制開

發(fā)軟件等相關(guān)供應(yīng)關(guān)系的風(fēng)險(xiǎn)管理制度、流程或機(jī)制；

c)需方應(yīng)制定軟件供應(yīng)活動(dòng)的安全管理制度，包括但不限于軟件采購(gòu)、交付、運(yùn)維等軟件供應(yīng)活

動(dòng)的風(fēng)險(xiǎn)管理制度、流程或機(jī)制；

d)需方應(yīng)制定軟件供應(yīng)鏈參與人員的管理制度或機(jī)制，包括但不限于人員權(quán)限、能力、資質(zhì)、背

景、技能培訓(xùn)等內(nèi)容；

e)需方應(yīng)制定知識(shí)產(chǎn)權(quán)管理制度，包括但不限于專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容；

f)需方應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估和事件響應(yīng)制度，包括但不限于應(yīng)急處

理流程、系統(tǒng)恢復(fù)流程等內(nèi)容；

g)需方應(yīng)明確不同等級(jí)安全事件的報(bào)告、處置和響應(yīng)流程和機(jī)制，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事

件報(bào)告和后期恢復(fù)等要求；

3

GB/TXXXXX—XXXX

h)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜制定全流程軟件供應(yīng)鏈軟件安

全監(jiān)管制度，覆蓋軟件供應(yīng)鏈的全部供應(yīng)活動(dòng)。

5.1.3人員管理

本項(xiàng)要求包括：

a)需方應(yīng)明確軟件供應(yīng)鏈安全保障人員及其需具備的軟件供應(yīng)鏈實(shí)體要素的識(shí)別和安全風(fēng)險(xiǎn)管

理能力，包括但不限于軟件資產(chǎn)識(shí)別分析、完整性保護(hù)以及軟件漏洞和后門分析等；

b)需方應(yīng)劃分軟件供應(yīng)鏈各供應(yīng)活動(dòng)參與人員的職責(zé)定位、權(quán)限級(jí)別，并建立操作規(guī)范，創(chuàng)建操

作日志；

c)需方應(yīng)定期開展軟件供應(yīng)鏈安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于a)、b)中涉及的內(nèi)容；

d)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜配置軟件供應(yīng)鏈安全保障團(tuán)隊(duì)，

根據(jù)需要開展相關(guān)人員的背景調(diào)查工作；

e)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜要求安全保障人員具備防范全

流程軟件供應(yīng)鏈安全威脅的能力，如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力

分析等。

5.1.4供應(yīng)商管理

本項(xiàng)要求包括：

a)需方應(yīng)制定供應(yīng)商選擇策略和制度，對(duì)自主研發(fā)軟件、定制研發(fā)軟件、現(xiàn)貨軟件等的供應(yīng)商進(jìn)

行評(píng)估，包括但不限于背景、能力、資質(zhì)審查以及持續(xù)安全提供產(chǎn)品或服務(wù)等內(nèi)容，建立合格

的供應(yīng)目錄，并定期對(duì)該目錄進(jìn)行更新維護(hù)；

b)需方應(yīng)優(yōu)先從供應(yīng)目錄中選取滿足條件的供應(yīng)商；

c)需方應(yīng)在供應(yīng)關(guān)系發(fā)生變更時(shí)，對(duì)變更帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，并采取相應(yīng)的風(fēng)險(xiǎn)控制措施；

d)需方應(yīng)要求供方保證軟件供應(yīng)鏈上傳遞的供應(yīng)信息的真實(shí)性、準(zhǔn)確性、完整性，并采取措施保

護(hù)信息不被篡改和泄露；

e)需方應(yīng)要求供方配合開展軟件供應(yīng)鏈安全監(jiān)督和檢查；

f)對(duì)于測(cè)試評(píng)估等內(nèi)容，涉及第三方機(jī)構(gòu)的，需方應(yīng)明確第三方機(jī)構(gòu)的能力、資質(zhì)等要求；

g)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜建立供應(yīng)商替代方案，防范軟

件供應(yīng)鏈中斷風(fēng)險(xiǎn)。

5.1.5知識(shí)產(chǎn)權(quán)管理

本項(xiàng)要求包括：

a)供需雙方應(yīng)避免因知識(shí)產(chǎn)權(quán)問(wèn)題導(dǎo)致的法律安全風(fēng)險(xiǎn)；

b)需方應(yīng)充分熟悉所使用軟件產(chǎn)品和服務(wù)的知識(shí)產(chǎn)權(quán)，對(duì)自主研制軟件產(chǎn)品的知識(shí)產(chǎn)權(quán)進(jìn)行規(guī)范

管理，防止侵權(quán)；

c)需方應(yīng)要求供方提供滿足業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行時(shí)限需求的軟件產(chǎn)品或服務(wù)使用授權(quán)，包括但不限

于許可證、產(chǎn)品序列號(hào)、開源許可協(xié)議等；

d)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜對(duì)所使用的軟件產(chǎn)品或服務(wù)相

關(guān)的國(guó)內(nèi)外知識(shí)產(chǎn)權(quán)情況進(jìn)行詳細(xì)識(shí)別分析，建立相關(guān)預(yù)案應(yīng)對(duì)相關(guān)知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。

5.2供應(yīng)活動(dòng)管理

5.2.1軟件采購(gòu)

本項(xiàng)要求包括：

4

GB/TXXXXX—XXXX

a)需方應(yīng)與供方簽訂軟件產(chǎn)品和服務(wù)采購(gòu)協(xié)議，包括但不限于5.1要求的內(nèi)容；

b)需方應(yīng)強(qiáng)化采購(gòu)渠道安全管理，制定從多個(gè)國(guó)家或地區(qū)獲得軟件產(chǎn)品或軟件服務(wù)的方案，確保

來(lái)源具有多樣性；

c)需方應(yīng)明確開展軟件產(chǎn)品或服務(wù)的功能、性能及安全風(fēng)險(xiǎn)檢測(cè)評(píng)估等要求，明確檢測(cè)評(píng)估的范

圍，包括但不限于軟件資產(chǎn)識(shí)別、漏洞、后門、滲透測(cè)試等，涉及第三方機(jī)構(gòu)的應(yīng)明確第三方

機(jī)構(gòu)的資質(zhì)能力；

d)需方應(yīng)根據(jù)國(guó)家標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線，確保軟件產(chǎn)品安全并保護(hù)個(gè)

人敏感信息、重要數(shù)據(jù)等不被泄露；

e)需方應(yīng)明確所采購(gòu)軟件的授權(quán)使用期限等要求；

f)需方應(yīng)要求供方構(gòu)建軟件構(gòu)成圖譜，軟件構(gòu)成圖譜至少能追溯至其第一級(jí)供應(yīng)商，對(duì)于重要組

織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方可根據(jù)需求要求軟件構(gòu)成圖譜追溯的供應(yīng)商

層級(jí)；

g)需方宜要求供方建立研發(fā)、測(cè)試工具和設(shè)備白名單，采用安全檢測(cè)、正版授權(quán)驗(yàn)證、官方完整

性校驗(yàn)等措施進(jìn)行白名單準(zhǔn)入控制，并記錄相關(guān)風(fēng)險(xiǎn)信息；

h)需方宜要求供方對(duì)其研發(fā)、測(cè)試工具提供可操作性的安全替代方案，在斷供、停服等情況下不

影響開發(fā)、測(cè)試工作；

i)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜考慮所采購(gòu)現(xiàn)貨類商業(yè)軟件和

定制開發(fā)軟件的核心模塊的替代策略。

5.2.2外部組件使用

本項(xiàng)要求包括：

a)需方應(yīng)要求供方承諾所使用的開源軟件和第三方組件不存在已公開漏洞未修復(fù)的情況，或者對(duì)

于存在已公開漏洞未修復(fù)的情況，但經(jīng)過(guò)評(píng)估后存在補(bǔ)救措施的，提供相應(yīng)的安全分析報(bào)告；

b)供需雙方應(yīng)開展軟件供應(yīng)關(guān)系、組件成分及依賴關(guān)系和訪問(wèn)控制策略等的安全測(cè)試；

c)供需雙方應(yīng)建立開源及第三方組件的入庫(kù)和使用審批機(jī)制，對(duì)來(lái)源于開放源代碼社區(qū)和第三方

的代碼、組件和軟件，進(jìn)行完整性驗(yàn)證、安全性測(cè)試和依賴關(guān)系分析，保障開源或第三方組件

來(lái)源可靠、安全風(fēng)險(xiǎn)可消除或控制，構(gòu)建形成軟件物料清單和軟件構(gòu)成圖譜；

d)供需雙方應(yīng)制定和實(shí)施防盜版的策略和規(guī)程，檢測(cè)并防止仿冒組件進(jìn)入軟件；

e)供需雙方應(yīng)建立和維護(hù)可追溯性的策略和程序，記錄和保留開源軟件、第三方組件的原始供應(yīng)

方、開源社區(qū)或開發(fā)貢獻(xiàn)者等相關(guān)信息，保障可追溯至上游供應(yīng)商，對(duì)于應(yīng)用于重要場(chǎng)景的，

例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，其核心組件需追溯至源頭供應(yīng)商；

f)供需雙方應(yīng)持續(xù)跟蹤所使用開源和第三方組件的使用狀態(tài)、安全狀態(tài)，對(duì)于存在安全風(fēng)險(xiǎn)的，

應(yīng)及時(shí)通報(bào)，并及時(shí)采取更新、修復(fù)等措施，完善軟件物料清單信息，對(duì)于缺乏維護(hù)或即將廢

止的組件建立處置措施和計(jì)劃，對(duì)于應(yīng)用于重要場(chǎng)景的，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，其

核心組件應(yīng)有可替代方案；

g)對(duì)于難以驗(yàn)證來(lái)源的開源及第三方組件，供需雙方原則上應(yīng)禁止使用，確需使用的，需醒目標(biāo)

注，說(shuō)明原因；

h)涉及第三方測(cè)試評(píng)估的，需方應(yīng)明確對(duì)第三方機(jī)構(gòu)的要求。

5.2.3軟件交付

本項(xiàng)要求包括：

a)需方應(yīng)要求供方按照協(xié)議采用安全可控的方式、渠道交付軟件產(chǎn)品或開展軟件服務(wù)；

5

GB/TXXXXX—XXXX

b)需方應(yīng)根據(jù)協(xié)議要求對(duì)交付的軟件產(chǎn)品或服務(wù)進(jìn)行驗(yàn)收，開展供應(yīng)關(guān)系、供應(yīng)活動(dòng)的安全分析

和測(cè)評(píng)，包括但不限于可持續(xù)供應(yīng)能力、復(fù)雜安全漏洞等安全風(fēng)險(xiǎn)測(cè)評(píng)，確保軟件供應(yīng)鏈符合

安全要求；

c)需方應(yīng)掌握軟件相關(guān)技術(shù)資料，包括中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場(chǎng)景和條件、權(quán)

限和授權(quán)機(jī)制、軟件使用說(shuō)明書及測(cè)試報(bào)告等技術(shù)資料；

注：測(cè)試報(bào)告包括但不限于源代碼、二進(jìn)制代碼、組件等供應(yīng)鏈安全分析報(bào)告。

d)需方應(yīng)要求供方避免交付約定范圍外的內(nèi)容，如開啟無(wú)關(guān)功能、捆綁無(wú)關(guān)軟件等；

e)需方應(yīng)要求供方不在軟件產(chǎn)品中設(shè)置后門，或利用軟件產(chǎn)品的便利條件非法獲取用戶數(shù)據(jù)、控

制和操縱用戶系統(tǒng)和設(shè)備，不會(huì)利用軟件產(chǎn)品的依賴性謀取不正當(dāng)利益，不得在未授權(quán)情況下

對(duì)軟件產(chǎn)品進(jìn)行升級(jí)或更新?lián)Q代；

f)需方應(yīng)根據(jù)協(xié)議約定要求供方對(duì)交付的軟件實(shí)行安全部署和配置，并提供軟件構(gòu)成圖譜及安全

配置基線；

g)需方應(yīng)要求供方采取軟件防篡改措施，對(duì)交付軟件進(jìn)行完整性驗(yàn)證、功能、性能及安全性測(cè)試，

并出具相應(yīng)的測(cè)試報(bào)告，對(duì)于需要第三方機(jī)構(gòu)測(cè)試的要明確對(duì)第三方機(jī)構(gòu)的要求；

h)需方應(yīng)要求供方在軟件技術(shù)文檔中設(shè)置聲明條款，說(shuō)明采購(gòu)第三方軟件產(chǎn)品、開源限制性、知

識(shí)產(chǎn)權(quán)等情況；

i)供需雙方應(yīng)不將軟件產(chǎn)品的全部或部分泄露到授權(quán)以外的范圍。

5.2.4軟件運(yùn)維

本項(xiàng)要求包括：

a)需方應(yīng)要求供方根據(jù)協(xié)議確保授權(quán)期內(nèi)軟件持續(xù)穩(wěn)定可用；

b)需方應(yīng)明確運(yùn)維技術(shù)團(tuán)隊(duì)及相應(yīng)的技術(shù)能力要求,包括但不限于風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別、漏洞修復(fù)、完

整性保護(hù)、安全測(cè)試等；

c)需方應(yīng)定期排查超過(guò)授權(quán)使用期限、超過(guò)維保期限但仍在使用的軟件，并對(duì)其安全性進(jìn)行評(píng)估

分析；

d)需方應(yīng)要求供方在未經(jīng)書面授權(quán)的情況下，不應(yīng)將所運(yùn)維軟件的相關(guān)數(shù)據(jù)用于除運(yùn)行維護(hù)以外

的目的；

e)需方應(yīng)要求供方在生產(chǎn)地、注冊(cè)地所在國(guó)家或地區(qū)出現(xiàn)因政治、外交、貿(mào)易、自然災(zāi)害、公共

安全事件等不可抗力導(dǎo)致或可能導(dǎo)致供應(yīng)中斷時(shí)，及時(shí)采取應(yīng)對(duì)措施，對(duì)于應(yīng)用于重要場(chǎng)景的，

例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，其軟件應(yīng)提供替代方案；

f)需方應(yīng)要求供方不得向未授權(quán)者提供運(yùn)維相關(guān)數(shù)據(jù)，或?qū)⑾嚓P(guān)數(shù)據(jù)用于運(yùn)維以外的目的；

g)供需雙方應(yīng)在軟件進(jìn)行升級(jí)維護(hù)時(shí)，采用安全可控的渠道交付軟件升級(jí)包、補(bǔ)丁包，并開展相

應(yīng)的安全性測(cè)試、完整性校驗(yàn)等工作，在確保安全后進(jìn)行軟件更新升級(jí)，并同步更新相關(guān)配置；

h)供需雙方應(yīng)根據(jù)需求、協(xié)議等定期檢查軟件是否受到篡改；

i)供需雙方應(yīng)收集軟件供應(yīng)鏈的風(fēng)險(xiǎn)信息，在發(fā)現(xiàn)存在脆弱性、漏洞等風(fēng)險(xiǎn)后，按照相關(guān)規(guī)定及

時(shí)通報(bào)用戶及相關(guān)政府部門，并快速采取補(bǔ)救措施；

j)供需雙方應(yīng)根據(jù)協(xié)議形成常態(tài)化風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停

止提供產(chǎn)品升級(jí)等持續(xù)供應(yīng)風(fēng)險(xiǎn)，漏洞、后門等技術(shù)安全風(fēng)險(xiǎn)和信息泄露、數(shù)據(jù)篡改等數(shù)據(jù)安

全風(fēng)險(xiǎn)；

k)供需雙方應(yīng)明確軟件供應(yīng)鏈參與人員對(duì)軟件供應(yīng)鏈訪問(wèn)權(quán)限級(jí)別，對(duì)訪問(wèn)范圍進(jìn)行嚴(yán)格區(qū)分；

l)供需雙方應(yīng)建立可追溯臺(tái)賬，對(duì)整個(gè)使用過(guò)程進(jìn)行記錄、檢測(cè)和維護(hù)，及時(shí)更新維護(hù)軟件構(gòu)成

圖譜；

m)供需雙方應(yīng)共同保障運(yùn)維過(guò)程中的數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生；

6

GB/TXXXXX—XXXX

n)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方應(yīng)掌握重要軟件、組件的代碼結(jié)

構(gòu)和技術(shù)原理，具備修改和二次開發(fā)、獨(dú)立維護(hù)等能力；

o)對(duì)于重要組織或場(chǎng)景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者等，需方宜配備專門的運(yùn)維技術(shù)團(tuán)隊(duì)，制

定應(yīng)急響應(yīng)計(jì)劃，包括但不限于軟件供應(yīng)鏈中斷、有組織的網(wǎng)絡(luò)攻擊等。

5.2.5軟件廢止

本項(xiàng)要求包括：

a)需方應(yīng)建立軟件產(chǎn)品廢止處理規(guī)范流程，包括但不限于軟件停用、卸載和數(shù)據(jù)清除或遷移等內(nèi)

容；

b)需方應(yīng)依據(jù)廢止處理規(guī)范流程對(duì)停止使用的軟件進(jìn)行廢止處理；

c)需方應(yīng)對(duì)軟件代碼、授權(quán)信息以及軟件使用過(guò)程中產(chǎn)生的數(shù)據(jù)等進(jìn)行安全處理和保護(hù)；

d)需方應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力；

e)需方應(yīng)將廢止軟件的安全處理應(yīng)交給具備相關(guān)資質(zhì)的機(jī)構(gòu)負(fù)責(zé)；

f)對(duì)于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，需方應(yīng)要求供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。

1)制定軟件產(chǎn)品數(shù)據(jù)遷移計(jì)劃，并確保數(shù)據(jù)安全遷移；

2)在數(shù)據(jù)遷移完成后，對(duì)廢止軟件進(jìn)行數(shù)據(jù)清除和卸載，對(duì)廢止軟件進(jìn)行安全處理。

7

GB/TXXXXX—XXXX

附錄A

（資料性）

軟件供應(yīng)鏈安全風(fēng)險(xiǎn)

A.1概述

軟件供應(yīng)鏈?zhǔn)且粋€(gè)全球分布的、具有供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全流程覆蓋等諸多特點(diǎn)的復(fù)

雜系統(tǒng)，在軟件供應(yīng)鏈各個(gè)供應(yīng)活動(dòng)中均可能引入安全隱患，導(dǎo)致軟件漏洞、軟件后門、惡意篡改、假

冒偽劣、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)、供應(yīng)中斷、信息泄露等安全風(fēng)險(xiǎn)。

A.2軟件漏洞利用

隨著軟件的復(fù)雜度不斷提高，軟件產(chǎn)品內(nèi)部開發(fā)過(guò)程中產(chǎn)生的以及從上游繼承的軟件漏洞無(wú)法避

免，這些軟件漏洞可能被攻擊者利用，對(duì)軟件以及計(jì)算機(jī)系統(tǒng)造成嚴(yán)重的安全風(fēng)險(xiǎn)。

A.3軟件后門植入

主要包括以下內(nèi)容：

a)供方預(yù)留

供方出于軟件維護(hù)的目的，在軟件產(chǎn)品中預(yù)置后門，如果預(yù)置后門被泄露，攻擊者會(huì)通過(guò)預(yù)置后門

獲得軟件或操作系統(tǒng)的訪問(wèn)權(quán)限；

b)攻擊者惡意植入

攻擊者入侵軟件開發(fā)環(huán)境，污染軟件供應(yīng)鏈中的組件，劫持軟件交付升級(jí)鏈路，攻擊軟件運(yùn)行環(huán)境

植入惡意后門，獲得軟件或操作系統(tǒng)的訪問(wèn)權(quán)限。

A.4惡意篡改

主要包括以下內(nèi)容：

a)惡意代碼植入

在需方不知情的情況下，在軟件產(chǎn)品或供應(yīng)鏈中的組件中植入具有惡意邏輯的可執(zhí)行文件、代碼模

塊或代碼片斷。

b)開發(fā)工具植入

使用被惡意篡改的開發(fā)工具，導(dǎo)致開發(fā)的軟件或組件存在惡意代碼。

c)供應(yīng)信息篡改

在供方不知情的情況下，篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息，如銷售信息、商品信息、軟件構(gòu)成信

息等。

A.5假冒偽劣

供方提供未經(jīng)產(chǎn)品認(rèn)證、檢測(cè)的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。

A.6知識(shí)產(chǎn)權(quán)非法使用

未經(jīng)授權(quán)而生產(chǎn)、銷售、發(fā)布軟件或組件，導(dǎo)致軟件產(chǎn)品的全部或部分被泄漏到授權(quán)以外的范圍。

8

GB/TXXXXX—XXXX

如盜版軟件、違反開源許可使用的軟件、違反協(xié)議進(jìn)行的二次開發(fā)等。

A.7供應(yīng)中斷

主要包括以下內(nèi)容：

a)突發(fā)事件中斷

因自然等不可抗力、政治、外交、國(guó)際經(jīng)貿(mào)等原因造成上游軟件、使用許可、知識(shí)產(chǎn)權(quán)授權(quán)的中斷。

b)不正當(dāng)競(jìng)爭(zhēng)

軟件供方利用需方對(duì)產(chǎn)品和服務(wù)的依賴，實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的行為。

A.8信息泄露

軟件供應(yīng)鏈信息被有意或無(wú)意地泄露，如軟件上游供應(yīng)商、下游需方的信息可能涉及商業(yè)秘密，供

應(yīng)鏈信息存在被泄露的風(fēng)險(xiǎn)。

A.9開源許可違規(guī)使用

主要包括以下內(nèi)容：

a)無(wú)開源許可證

軟件產(chǎn)品發(fā)布時(shí)缺少開源許可證類型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等

許可證。

b)使用不規(guī)范

軟件產(chǎn)品發(fā)布時(shí)不符合相應(yīng)許可協(xié)議的規(guī)范和要求，包括但不限于沒有遵循開源許可證協(xié)議，開源

組件修改后許可信息丟失，存在無(wú)許可信息的開源片段代碼等。

A.10供應(yīng)鏈劫持

供應(yīng)鏈劫持是普遍存在的一種供應(yīng)鏈污染，安全風(fēng)險(xiǎn)突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫

持、物流鏈劫持、升級(jí)劫持等。

A.11其他風(fēng)險(xiǎn)

由于軟件供應(yīng)鏈內(nèi)外部人員、軟件供應(yīng)鏈全球性等特點(diǎn)帶來(lái)的風(fēng)險(xiǎn)或挑戰(zhàn)。

A.12風(fēng)險(xiǎn)要求對(duì)應(yīng)關(guān)系

A.2至A.11描述的風(fēng)險(xiǎn)與安全要求條款和應(yīng)對(duì)措施間的對(duì)應(yīng)關(guān)系如表A.1所示。

9

GB/TXXXXX—XXXX

表A.1風(fēng)險(xiǎn)要求對(duì)應(yīng)關(guān)系

序號(hào)安全風(fēng)險(xiǎn)安全要求條款控制措施安全保護(hù)目標(biāo)

進(jìn)行代碼、組件、軟件

5.1.3e)5.2.2a)

A.25.1.1a)b)c)d)漏洞檢測(cè)分析、漏洞修提升供應(yīng)活動(dòng)引入

5.1.4f)g)5.2.3b)g)

1軟件漏洞5.1.2c)f)g)h)復(fù)，對(duì)于殘余漏洞風(fēng)險(xiǎn)的技術(shù)安全風(fēng)險(xiǎn)管

5.2.15.2.4

利用5.1.3a)d)e)提供虛擬補(bǔ)丁、熱補(bǔ)丁理能力

c)f)g)h)h)i)k)n)

更新

開展入侵檢測(cè)、操作審

A.35.1.1a)b)c)d)5.1.2c)5.2.3a)c)d)提升供應(yīng)活動(dòng)引入

計(jì)等，并針對(duì)維護(hù)升級(jí)

2軟件后門5.1.2a)c)f)g)h)5.2.15.2.4的技術(shù)安全風(fēng)險(xiǎn)管

通道進(jìn)行認(rèn)證、防止控

植入5.1.3a)d)e)c)f)g)i)j)k)n)理能力

制和操作審計(jì)

5.1.1a)b)c)d)5.2.3a)e)g)提升供應(yīng)活動(dòng)引入

A.45.2.1f)g)軟件完整性的校驗(yàn)、防

35.1.2a)c)f)g)h)5.2.4的技術(shù)安全風(fēng)險(xiǎn)管

惡意篡改5.2.2b)c)篡改預(yù)警等保護(hù)機(jī)制

5.1.3a)d)e)g)i)j)k)l）理能力

5.1.1a)b)c)d)5.2.1f)5.2.3g)明確相關(guān)測(cè)評(píng)要求，并提升供應(yīng)活動(dòng)引入

A.5

45.1.2a)c)f)g)h)5.2.2b)c)d)5.2.4在軟件交付時(shí)進(jìn)行相應(yīng)的技術(shù)安全風(fēng)險(xiǎn)管

假冒偽劣

5.1.3a)d)e)g)f)i)j)l)n）的安全檢查和審核理能力

A.65.1.1a)b)c)d)5.1.55.2.3d)h)i)明確相關(guān)知識(shí)產(chǎn)權(quán)要提升軟件供應(yīng)鏈數(shù)

5知識(shí)產(chǎn)權(quán)5.1.2c)e)f)g)h)a)b)c)d)5.2.4求，并在交付時(shí)進(jìn)行相據(jù)安全風(fēng)險(xiǎn)管理能

非法使用5.1.3a)d)e)5.2.1e)c)d)i)j)k)應(yīng)的安全檢查和審核力

5.1.1a)b)c)d)5.1.4a)-h)

A.75.1.2b)f)g)h)5.2.15.2.3a)b)c)提升軟件產(chǎn)品或服

建立供應(yīng)商安全預(yù)警、

6供應(yīng)中斷5.1.3a)d)e)b)h)i)5.2.4務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)

冗余等機(jī)制

5.1.4a)b)c)d)5.2.2d)f)a)e)i)m)n)管理能力

5.2.1b)

5.2.3

在數(shù)據(jù)采集、傳輸、存

5.1.1a)b)c)d)5.1.4d)f)e)h)i)提升軟件供應(yīng)鏈數(shù)

A.8儲(chǔ)及運(yùn)維中進(jìn)行認(rèn)證、

75.1.2a)c)f)g)h)e)f）g)5.2.4據(jù)安全風(fēng)險(xiǎn)管理能

信息泄露加密、水印、脫敏等數(shù)

5.1.3a)d)e)5.2.1d)d)j)k)l)n)力

據(jù)安全管控。

5.2.5c)d)f)

A.9對(duì)開源組件使用許可協(xié)提升供應(yīng)活動(dòng)引入

5.1.1a)b)c)d)5.2.2

8開源許可5.2.3h)i)議情況進(jìn)行檢測(cè)并提供的技術(shù)安全風(fēng)險(xiǎn)管

5.1.3a)d)e)a)-h)

違規(guī)使用相應(yīng)的評(píng)估說(shuō)明理能力

對(duì)供應(yīng)鏈上游環(huán)境安全

A.105.2.1g)h)進(jìn)行相應(yīng)的評(píng)估和加提升軟件產(chǎn)品或服

5.1.1a)b)c)d)5.2.4

9供應(yīng)鏈劫5.2.3固；軟件運(yùn)維升級(jí)通道務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)

5.1.3a)d)e)a)c)f)h)i)m)

持a)c)d)e)f)進(jìn)行身份認(rèn)證、傳輸加管理能力

密及訪問(wèn)控制

提升軟件產(chǎn)品或服

務(wù)中斷供應(yīng)等風(fēng)險(xiǎn)

5.1.1a)5.2.15.2.3a)管理能力、供應(yīng)活

A.11加強(qiáng)機(jī)構(gòu)職責(zé)、制度建

105.1.2a)d)f)g)h)a)d)f)5.2.4k)m)n)動(dòng)引入的技術(shù)安全

其他風(fēng)險(xiǎn)設(shè)防范多種風(fēng)險(xiǎn)

5.1.3b)c)5.2.2e)5.2.5a)b)e)風(fēng)險(xiǎn)管理能力、數(shù)

據(jù)安全風(fēng)險(xiǎn)管理能

力

10

GB/TXXXXX—XXXX

附錄B

（資料性）

軟件構(gòu)成圖譜

B.1內(nèi)容簡(jiǎn)介

軟件構(gòu)成圖譜包含軟件物料清單和安全風(fēng)險(xiǎn)兩方面內(nèi)容。其中，軟件物料清單是指軟件在開發(fā)過(guò)程

中所采用的所有組件、許可協(xié)議、知識(shí)產(chǎn)權(quán)、軟件供應(yīng)鏈基礎(chǔ)設(shè)施等元素相關(guān)信息及其供應(yīng)鏈上下游依

賴關(guān)系以及相關(guān)證明材料的集合；安全風(fēng)險(xiǎn)是指軟件物料清單中的組件、代碼、軟件供應(yīng)鏈基礎(chǔ)設(shè)施中

存在的附錄A中的風(fēng)險(xiǎn)等元素及相關(guān)的安全檢測(cè)評(píng)估報(bào)告的集合。軟件構(gòu)成圖譜通常由供方提供，或

者由第三方機(jī)構(gòu)生成，其作用是通過(guò)軟件物料清單中的信息與安全風(fēng)險(xiǎn)的精確關(guān)聯(lián)，增強(qiáng)軟件供應(yīng)鏈的

可追溯性、可審計(jì)性。

B.2主要元素

根據(jù)軟件構(gòu)成圖譜中各元素所屬范圍不同，所有元素可以劃分為兩類，分別是軟件物料清單、安全

風(fēng)險(xiǎn)。其中，軟件物料清單包括物料清單信息、軟件基本信息、組件基本信息和相關(guān)說(shuō)明材料4個(gè)二級(jí)

分類；安全風(fēng)險(xiǎn)包括安全風(fēng)險(xiǎn)信息和安全測(cè)評(píng)2個(gè)二級(jí)分類。詳細(xì)分類信息參考表B.1。

表B.1軟件構(gòu)成圖譜主要元素列表

一級(jí)分類二級(jí)分類元素名稱說(shuō)明

唯一標(biāo)識(shí)物料清單的唯一標(biāo)識(shí)

生成階段軟件供應(yīng)鏈活動(dòng)、過(guò)程

物料清單信息

時(shí)間戳生成時(shí)間

生成方供方或第三方機(jī)構(gòu)

軟件名稱官方發(fā)布的軟件名稱

軟件唯一標(biāo)識(shí)唯一標(biāo)識(shí)

軟件基本信息軟件版本官方發(fā)布的版本信息

(軟件1、軟件2、……)軟件來(lái)源軟件供方

軟件物料清單軟件供應(yīng)鏈基礎(chǔ)設(shè)施參考術(shù)語(yǔ)定義3.6

引入組件數(shù)量開源、第三方、自主研制

組件名稱組件名稱

組件唯一標(biāo)識(shí)唯一標(biāo)識(shí)

組件版本官方發(fā)布的版本信息

組件基本信息

組件來(lái)源組件的獲取地址

(組件1、組件2、……)

組件依賴關(guān)系直接引用或間接引用

組件調(diào)用位置組件的使用位置

知識(shí)產(chǎn)權(quán)開源許可協(xié)議、專利等

11

GB/TXXXXX—XXXX

表B.1（續(xù)）

一級(jí)分類二級(jí)分類元素名稱說(shuō)明

組件分析證明

軟件物料清單技術(shù)報(bào)告組件測(cè)評(píng)報(bào)告

(組件1、組件2、……)

軟件漏洞附錄A.2

軟件后門附錄A.3

惡意篡改附錄A.4

假冒偽劣附錄A.5

知識(shí)產(chǎn)權(quán)附錄A.6

安全風(fēng)險(xiǎn)信息

安全風(fēng)險(xiǎn)供應(yīng)中斷附錄A.7

信息泄露附錄A.8

開源許可附錄A.9

供應(yīng)鏈劫持附錄A.10

其他附錄A.11

安全測(cè)評(píng)測(cè)評(píng)報(bào)告正文提到的各類測(cè)評(píng)報(bào)告

B.3軟件構(gòu)成圖譜元素關(guān)系

在軟件供應(yīng)鏈中，組織的軟件構(gòu)成圖譜可以準(zhǔn)確表達(dá)軟件、組件及安全風(fēng)險(xiǎn)之間的關(guān)系。軟件的安

全風(fēng)險(xiǎn)主要是源于自身安全風(fēng)險(xiǎn)和直接/間接引用存在安全風(fēng)險(xiǎn)的組件。組件的安全風(fēng)險(xiǎn)源于自身安全

風(fēng)險(xiǎn)或者其依賴組件的安全風(fēng)險(xiǎn)。組織中軟件與軟件之間利用引用的相同組件能夠?qū)崿F(xiàn)軟件構(gòu)成圖譜的

連接，不斷擴(kuò)大圖譜規(guī)模。因此，組織一旦發(fā)現(xiàn)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，可通過(guò)軟件構(gòu)成圖譜快速實(shí)現(xiàn)軟

件供應(yīng)鏈安全風(fēng)險(xiǎn)定位。軟件構(gòu)成圖譜元素關(guān)系如圖B.1.所示。

名稱安全漏洞

軟件

唯一標(biāo)識(shí)1存在軟件后門

直接引用間接引用存在安

組全

件來(lái)源供應(yīng)鏈中斷

存在威

基存在

引用方式組件組件脅

本存在惡意篡改信

信存在

是否開源直接引用直接引用息

息軟件信息泄露

2

軟直接引用

件

物

料間接引用組件

名稱

清

單

唯一標(biāo)識(shí)間接引用引用引用引用

軟引

件軟件來(lái)源用

基組件組件方

本版本式

信軟件

物料清單基n

息間接引用引用引用引用

本信息

組件組件

圖B.1軟件構(gòu)成圖譜元素關(guān)系圖

12

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T32921—2016信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則

[2]GB/T36475—2018軟件產(chǎn)品分類

[3]GB/T37970—2019軟件過(guò)程及制品可信度評(píng)估

[4]ISO28001Securitymanagementsystemsforthesupplychain–Bestpracticesfor

implementingsupplychainsecurity,assessmentsandplans–Requirementsandguidance

[5]ISO/IEC27036—2Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part2:Requirements

[6]ISO/IEC27036—3Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part3:Guidelinesforinformationand

communicationtechnologysupplychainsecurity

[7]NIST800—161SupplyChainRiskManagementPracticesforFederalInformationSystems

andOrganizations

13

GB/TXXXXX—XXXX

目次

前言..................................................................................II

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語(yǔ)和定義...........................................................................1

4軟件供應(yīng)鏈風(fēng)險(xiǎn)管理目標(biāo)...............................................................2

5安全要求.............................................................................3

5.1組織管理.........................................................................3

5.1.1機(jī)構(gòu)管理.....................................................................3

5.1.2制度管理.....................................................................3

5.1.3人員管理.....................................................................4

5.1.4供應(yīng)商管理...................................................................4

5.1.5知識(shí)產(chǎn)權(quán)管理.................................................................4

5.2供應(yīng)活動(dòng)管理.....................................................................4

5.2.1軟件采購(gòu).....................................................................4

5.2.2外部組件管理.................................................................5

5.2.3軟件交付.......................................