《 軟件標識化標簽編碼指南（征求意見稿）》編制說明

近年來，軟件供應鏈安全威脅加劇，xz-utils、log4j等軟件供應鏈安全事件，波及范圍廣，危害程度深。軟件供應鏈復雜、開源軟件使用增加、軟件標識不規(guī)范等都是造成軟件供應鏈安全風險上升、監(jiān)管難度較大的主要原因。為應對國內外軟件供應鏈安全威脅，我國加快了針對供應鏈安全的保障工作，近年來先后頒布的《中華人民共和國保護條例》等政策法規(guī)強調加強軟件供應鏈的安全保障。并通過《信息安全技術ICT供應鏈安全風險管理指南》（GB/T43698-2024）等標準，為提升安全防護能力，加強軟件供應鏈安全保障和審查提供了基礎支撐。針對軟件供應鏈愈發(fā)復雜、軟件嵌套引用組件數量龐大、國內軟件安全管理沒有統一規(guī)范等問題，開展軟件標識化工作具有重要意義。制定軟件標識化標簽編碼，明確軟件標識化標簽的結構和編碼規(guī)則，促進不同軟件信息的通過一致的方法表示，提高軟件全生命周期的可見性和透明度，增強軟件供應鏈安全管理能力。本文件規(guī)定了軟件標識化標簽的結構和編碼規(guī)則，適用于軟件標識化標簽的實現和檢測，能夠進一步細化國家標準對軟件供應鏈的相關要求，規(guī)范軟件供應鏈安全檢測，支撐國家法律法規(guī)和標準落地。二、任務來源近年來，軟件供應鏈安全事件頻發(fā)，嚴重危害網絡安全。停服斷供、安全漏洞以及外部代碼組件違規(guī)使用等軟件供應鏈安全風險導致傳統軟件安全面臨新的挑戰(zhàn)，有的已經阻礙正常工作生活的持續(xù)穩(wěn)定運行，甚至危害國家安全?！吨腥A人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律法規(guī)中對軟件產品，及其供應和使用單位提出了要求。在國家標準層面《網絡安全技術軟件供應鏈安全要求》正式發(fā)布，然而在軟件標識化編碼方面，尚未有可操作性較強的國家、地方、行業(yè)或團體標準。經中國網絡空間安全協會專家審議通過，2024年6月17日下達《軟件標識化編碼指南》團體標準計劃項目。三、編制過程牽頭單位對前期的研究工作進行了匯報。確定了標準的研究思路和分工。多次標準工作組內部討論，并針對標準大體框架與內容方向進行了修改與調整，形成第一版標準草案。4）2024年6月17日，召開立項評審會，專家一致同意標準立項，并對標準草案提出修改意見。了兩次標準工作組內部討論，針對標準內容進行了細節(jié)的修改與調整。6）2024年6月21日，形成第二版標準草案，并召集了標準草案的內部閉門研討會。四、主要內容技術指標確立本文件規(guī)定了軟件標識化標簽的結構和編碼規(guī)則，包括軟件標識化標簽的數據構成、數據格式要求、基本數據元素、擴展數據元素，以及軟件標識化標簽的驗證。數據要素包括基本數據元素、可選數據元素和擴展數據元素，規(guī)定了各元素的字段和字段值格式，并給出了各個字段的含義說明。本文件適用于軟件標識化標簽的實現和驗證，可用于指導軟件供應鏈相關方之間進行軟件標識化標簽的生成、共享和使用。本文件牽頭單位為中國信息安全測評中心，參編單位有深圳市金蝶天燕云計算股份有限公司、工業(yè)和信息化部第五研究所、京東科技信息技術有限公司、統信軟件技術有限公司、麒麟軟件有限公司等。五、與相關法律法規(guī)和國家標準的關系本文件的總體結構和編寫方法按照GB/T1.1-2020《標準化工作導則第一部分：標準化文件的結構和起草規(guī)則》《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》GB/T11457-2006<信息技術軟件工程術語》GB/T24420-2009《供應鏈風險管理》GB/T25069-2022《信息安全技術術語》GB/T36637-2018《信息安全技術ICT供應鏈安全風險管理指南》GB/T43698-2024《信息安全技術軟件供應鏈安全要求》《網絡安全技術軟件物料清單數據格式》（征求意見稿）ISO/IEC19770-1:2015《Informationtechnology—Softwareassetmanagement—Part1：Processesandtieredassessmentofconformance》ISO/IEC19770-2:2015《Informationtechnology—ITassetmanagementPart2:Softwareidentificationtag》ISO/IEC5962—2021Informationtechnology—SPDX@SpecificationV2.2.1NIST.IR.8060《GuidelinesfortheCreationofInteroperableSoftwareIden