GB_T 43698-2024 网络安全技术 软件供应链安全要求.docx

《GB_T 43698-2024 网络安全技术 软件供应链安全要求.docx》由会员分享，可在线阅读，更多相关《GB_T 43698-2024 网络安全技术 软件供应链安全要求.docx（22页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80OB中华人民共和国国家标准GB/T436982024网络安全技术软件供应链安全要求Cybersecuritytechnology-Securityrequirementsforsoftwaresupplychain2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会发布目次前言II范围12规范性引用文件13术语和定义14软件供应链安全目标25软件供应链安全保护框架26软件供应链安全风险管理要求31.1 基本流程31.2 软件供应链安全图谱31.3 软件供应链安全风险评估41.4 软件供应链安全风险处置47 需方安全要求47.1

2、 组织管理47.2 供应活动管理58 供方安全要求78.1 组织管理78.2 供应活动管理8附录A（资料性）软件供应链安全概述11附录B（资料性）关键软件资产15附录C（资料性）组织业务场景分类16附录D（资料性）软件供应链安全图谱17参考文献19本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会（SAaTC260）提出并归口。本文件起草单位：中国信息安全测评中心、中国电子技术标准化研究院、华为技术有限公司、国家计算机网络应急技术处理协调中心

3、、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、诺基亚通信系统技术（北京）公司、奇安信网神信息技术（北京）股份有限公司、深信服科技股份有限公司、国网新疆电力有限公司电力科学研究院、麒麟软件有限公司、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心黑龙江分中心、深圳开源互联网安全技术有限公司、昆仑数智科技有限责任公司、联想（北京）有限公司、浪潮电子信息产业股份有限公司、中国网络安全审查技术与认证中心、杭州默安科技有限公司、北京天融信网络安全技术有限公司、三六零数字安全科技集团有限公司、长扬科技（北京）有限公司、上海观安信息技术股份有限公司、北京奇虎科技有限公司、北京快手科

4、技有限公司、云从科技集团股份有限公司、国网区块链科技（北京）有限公司、国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限公司、北京大学、启明星辰信息技术集团股份有限公司、瀚高基础软件股份有限公司、北京威努特技术有限公司、蚂蚁科技集团股份有限公司、中国信息通信研究院、中电长城网际安全技术研究院（北京）有限公司、北京安普诺信息技术有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、北京中科微澜科技有限公司、OPPO广东移动通信有限公司、公安部第一研究所、中国科学院软件研究所、阿里云计算有限公司、湖南泛联新安信息科技有限公司、北京中测安华科技有限公司、中国科学院信息

5、工程研究所、苏州棱镜七彩信息科技有限公司、新华三技术有限公司、工业和信息化部电子第五研究所、北京源堡科技有限公司、北京人大金仓信息技术股份有限公司、上海大学、西安邮电大学、沈阳东软系统集成工程有限公司、中国电子科技集团公司第十五研究所、远江盛邦（北京）网络安全科技股份有限公司、上海文鳏信息科技有限公司。本文件主要起草人：李守鹏、王欣、王晓萌、王惠莅、薛勇波、吴润浦、林星辰、曾晋、上官晓丽、王嘉捷、万振华、陈冬青、沈蕾、辛伟、唐福宇、董国伟、常远、崔静、叶润国、高金萍、杨慧婷、吴倩、翟艳芬、董军平、王颉、张屹、滕征岑、邱林海、邓辉、郑明、李汝鑫、谢江、张大江、刘磊、梁利、陈靓、廖毅、柴思、跃、宋

6、桂香、申永波、孟瑾、白晓媛、孔耀晖、沈锡铺、杨剑、孙世国、李娜、王聪、赵华、韩煜、落红卫、武延军、张亚京、李军、张立、王栋、温婷婷、陈亮、查海平、高庆、姚叶鹏、赵军凯、冯明冉、王春霞、刘健、李汪蔚、林飞、宁戈、张涛、袁明坤、杨廷锋、王琦、王玮琪、杨牧天、李跃、李腾、万娟、吴敬征、王振远、刘井强、肖扬、梁大功、万晓兰、蔡一兵、梁露露、赵晓晖、彭晨、杨毅、张勇、冯全宝、程岩、聂万泉、付艳艳、霍珊珊、刘胖、王晶、权晓文、周浩威。网络安全技术软件供应链安全要求1范围本文件确立了软件供应链安全目标，规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。本文件适用于指导软件供应链中的

7、供需双方开展风险管理、组织管理和供应活动管理，为第三方机构开展软件供应链安全检测和评估提供依据，供主管监管部门参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T250692022信息安全技术术语GB/T366372018信息安全技术ICT供应链安全风险管理指南3术语和定义GB/T250692022和GB/T366372018界定的以及下列术语和定义适用于本文件。3.1软件产品softwareproduct计算机软件、信息系统或设

8、备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。注1：软件产品包含计魅理序代码、规程、相关臧、文档和相关服务。注2：本文件中软件产品简称为软件。来源：GB/T364752018,3.1.1,有修改3.2软件产品信息softwareproductinformation软件产品版本、标识、来源、授权以及关联软件等信息的总称。3.3需方acquirer从其他组织获取软件产品的组织。注：本文件中需方指软件产品的购买者和使者。来源：GB/T366372018,3.1,有修改3.4供方supplier开展软件产品开发、交付、运维、废止等生命周期活动的组织。注1：本文件中供方

9、指需方的第级值拼供应商；此外还包括软件产品的开发商、各级销售和f诞商、系雌成商，也包括软件或应用商店、代码托管平台、第三方下载站点以及基于开源代码提供软件产品的组织等。注2：开放源代码社区本身不是供方。注3:供方与需方共同决定软件产品的生命周期结束时间。3.5供应关系supplierrelation需方(3.3)和供方(3.4)之间为开展业务、提供软件产品而建立的协议、合同等契约关系。注：在供应链中，上游的需方同时也是下游的供方。来源：GB/T366372018,3.3,有修改3.6供应活动supplyactivity需方3)和供方(3.4)为维持日常生产基于供应关系5)进行的软件采购、开发、

10、获取、交付、运维、废止等活动的总称。3.7软件供应链softwaresplychain需方和供方基于供应关系(3.5),开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。来源：GB/T366372018,3.4,有修改3.8软件翎清单softwarebillofmaterials软件产品中所包含的所有组件、相关许可协议的清单，以及所有组件之间依赖关系的描述。3.9软件供应链安全图谱softwaresplychainsecuritygraph软件产品信息(3.2)、软件物料清单(3.8)、安全信息等内容及其关联关系的描述和表示。注：一般以文本形式存储，支持通过知识图谱方

11、式展示。3.10开放源代码社区opensourcecommunity用于开源代码和数据开发、维护的一种工程组织和运作方式。注：开放源代码社区也称开源社区或开源代码社区。3.11外部组件externalcomponent由供方以外的组织或人员开发的程序代码、文档或数据，通常是由二进制程序文件或者源代码程序文件构成。注：外部组件包括软件中使用的开源组件和第三方组件。4软件供应链安全目标软件供应链安全目标是建立软件供应链安全风险管理能力体系并持续改进，增强软件供应链安全风险管理、组织管理和供应活动管理能力，防范软件供应链中的供应关系风险(例如：软件供应中断、软件功能受限、软件服务降级等)，防范供应活

12、动引入的技术安全风险和知识产权风险(例如：软件漏洞、后门、篡改、伪造、许可协议不合规等)，保障业务持续稳定安全运行。5软件供应偌安全保护框架基于软件供应链模型、软件供应链实体角色分析和软件供应链安全构成(见附录A),确立了软件供应链安全保护框架。该框架规定了供需双方(即“组织”)的软件供应链安全风险管理要求，并从组织管理和供应活动两个方面规定了需方安全要求和供方安全要求，如图1所示。图1软件供应链安全保护框架6软件供应错安全风险管理要求6.1 基本流程基本流程对组织要求如下。a）应确定软件供应链风险管理的目标及策略，按照第7章、第8章安全要求建设软件供应链组织管理和供应活动管理能力。b）应识别

13、软件资产，梳理一般软件资产和关键软件资产（见附录B）,按照6.2的要求构建软件供应链安全图谱。C）应确定软件供应链风险管理的对象、范围和边界，包括但不限于软件、环境及工具、外部组件等。d）应依据软件供应链安全图谱等建立组织管理、供应活动管理等方面的供应链安全信息采集和跟踪机制。e）应定期或基于安全需求开展软件供应链安全检测和风险评估，依据上述结论采取相应的供应链风险防范、风险缓解或风险消除措施。f）应定期或根据实际业务需要开展软件供应链安全要求执行情况的监督检查，研判a）e）的有效性，并根据研判结果进行调整。6.2 软件供应链安全图谱软件供应链安全图谱对组织要求如下。a）应根据不同类别的业务场

14、景（见附录C）确定软件供应链安全图谱的等级，并清晰准确地构建软件供应链安全图谱（见附录D）:1） 一般业务场景中构建的软件供应链安全图谱，应至少包含软件产品信息；2）重要业务场景中构建的软件供应链安全图谱，应包含1）中信息以及软件来源信息、软件组件成分信息、组件漏洞信息、合规信息等；3）核心业务场景中构建的软件供应链安全图谱，应至少包含2）中信息，宜包含软件部署和运行所依赖的其他软件产品信息。b）应定期（至少每年一次）或软件发生重要更新时，及时更新维护软件供应链安全图谱。c）应将软件供应链安全图谱作为重要资产管理，采取相应安全保护措施，防止软件供应链安全图谱泄露。6.3 软件供应捱安全风险评估

15、软件供应链安全风险评估对组织要求如下。a）应按照GB/T366372018中6.3风险评估流程，定期开展软件供应链安全风险评估，识别现有或预计产生的组织管理和供应活动管理相关的安全风险，重点关注以下安全风险：D发行版本或升级补丁停止交付或部署；2）供方提供的服务部分或完全中断；3）激活等软件授权措施受影响导致软件功能降级或服务能力受限；4）供应活动在软件中引入的安全风险破坏发行版本或升级补丁的完整性、安全性和合规性。b）应对a）的影响进行研判，至少对如下问题做出明确结论：1）是否会影响到现有系统的正常安全运行，以及影响范围的大小；2）是否会影响到现有系统的日常维护工作，如：故障排查、故障部件更换、安全事件处置等；3）是否会影响到系统的重新部署、备份、迁移、升级、扩容等工作。6.4 软件供应链安全风险处需方应满足第7章安全要求，供方应满足第8章要求，以防范6.3a）中的安全风险或缓解6.3b）中的影响。7需方安全要求7.1 mra7.1.1 机构管理机构管理对需方要求如下。a）应明确软件供应链安全管理组织机构或人员