信息安全技術 軟件供應鏈安全要求

ICS35.030

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

`

信息安全技術軟件供應鏈安全要求

Informationsecuritytechnology—Securityrequirementsforsoftwaresupplychain

（征求意見稿）

2022-09-28

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定

起草。

本文件由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

本文件起草單位：中國信息安全測評中心、中國電子技術標準化研究院、國家計算機網(wǎng)絡應急技術

處理協(xié)調(diào)中心、華為技術有限公司、中國軟件評測中心、諾基亞通信系統(tǒng)技術（北京）有限公司、網(wǎng)神

信息技術（北京）股份有限公司、深信服科技股份有限公司、聯(lián)想（北京）有限公司、北京天融信網(wǎng)絡

安全技術有限公司、國網(wǎng)新疆電力有限公司電力科學研究院、國家信息技術安全研究中心、長揚科技（北

京）有限公司、深圳開源互聯(lián)網(wǎng)安全技術有限公司、中國網(wǎng)絡安全審查技術與認證中心、國家計算機網(wǎng)

絡應急技術處理協(xié)調(diào)中心黑龍江分中心、杭州安恒信息技術股份有限公司、北京鴻騰智能科技有限公司、

北京奇虎科技有限公司、北京快手科技有限公司、國網(wǎng)區(qū)塊鏈科技（北京）有限公司、麒麟軟件有限公

司、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限公司、北京大學、

云從科技集團股份有限公司、啟明星辰信息技術集團股份有限公司、瀚高基礎軟件股份有限公司、北京

威努特技術有限公司、昆侖數(shù)智科技有限責任公司、杭州默安科技有限公司、中國信息通信研究院、中

電長城網(wǎng)際安全技術研究院（北京）有限公司、北京安普諾信息技術有限公司、北京神州綠盟科技有限

公司、OPPO廣東移動通信有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、阿里云計算有限公司、北京中測

安華科技有限公司、中國科學院信息工程研究所、上海文鰩信息科技有限公司、蘇州棱鏡七彩信息科技

有限公司、騰訊云計算（北京）有限責任公司、新華三技術有限公司、螞蟻科技集團福根有限公司、工

業(yè)和信息化部電子第五研究所、北京人大金倉信息技術股份有限公司、上海大學、西安郵電大學等。

本文件主要起草人：李守鵬、王欣、王曉萌、王惠蒞、林星辰、吳潤浦、陳冬青、薛勇波、曾晉、

沈蕾、董國偉、葉潤國、李汝鑫、高金萍、鄧輝、常遠、楊慧婷、楊韜、馮明冉、楊劍、萬振華、王振

遠、王晶、張亞京、梁偉、邱林海、王頡、張大江、羅峋、張屹、李杺恬、落紅衛(wèi)、應凌云、沈錫鏞、

孟瑾、溫婷婷、王紅亮、王春霞、王巖、李娜、王聰、李汪蔚、查文靜、李騰、宋桂香、李紅、張剛、

柴思躍、趙曉暉、申永波、白曉媛、董軍平、陳亮、徐永太、高慶、查海平、萬曉蘭、林飛、吳菊華、

寧戈、彭晨、張勇等。

II

GB/TXXXXX—XXXX

信息安全技術軟件供應鏈安全要求

1范圍

本文件給出了軟件供應鏈安全保護目標，規(guī)定了軟件供應鏈組織管理和供應活動管理的安全要求。

本文件適用于指導軟件供應鏈中的需方、供方開展組織管理和供應活動管理，可為第三方機構開展

軟件供應鏈安全測試和評估提供依據(jù)，也可為主管監(jiān)管部門提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術術語

GB/T36637—2018信息安全技術ICT供應鏈安全風險管理指南

3術語和定義

GB/T25069—2022和GB/T36637—2018中界定的以及下列術語和定義適用于本文件。

3.1

軟件產(chǎn)品softwareproduct

計算機軟件、信息系統(tǒng)或設備中嵌入的軟件，或在提供計算機信息系統(tǒng)集成、應用等技術服務時提

供的計算機軟件，表現(xiàn)形式為一組計算機代碼、規(guī)程以及可能的相關文檔和數(shù)據(jù)。

[來源：GB/T36475—2018，3.1，有修改]

3.2

軟件服務softwareservice

實施與軟件產(chǎn)品有關的活動、工作或義務，如軟件開發(fā)、集成、維護和運營。

[來源：GB/T8566—2007，3.1]

3.3

需方acquirer

從其他組織獲取軟件產(chǎn)品或服務的組織或個人。

注：本文件中主要指軟件產(chǎn)品或服務的最終用戶。

[來源：GB/T36637—2018，3.1，有修改：術語名稱“ICT需方ICTacquirer”改為“需方acquirer”，

“ICT產(chǎn)品和服務”改為“軟件產(chǎn)品或服務”]

1

GB/TXXXXX—XXXX

3.4

供方supplier

提供軟件產(chǎn)品或服務的組織或個人。

注：本文件中主要指需方的第一級（直接）供應商。

[來源：GB/T36637—2018，3.2，有修改：術語名稱“ICT供方ICTsupplier”改為“供方supplier”，

“ICT產(chǎn)品和服務”改為“軟件產(chǎn)品或服務”等]

3.5

供應關系supplierrelation

需方（3.3）和供方（3.4）之間的協(xié)議，可用于開展業(yè)務、提供軟件產(chǎn)品或服務。

注：在供應鏈中，上游的需方同時也是下游的供方。終端客戶可以理解為一種特殊的需方。

[來源：GB/T36637—2018，3.3，有修改：“產(chǎn)品和服務”改為“軟件產(chǎn)品或服務”]

3.6

軟件供應鏈softwaresupplychain

基于供應關系，通過資源和過程將軟件產(chǎn)品或服務從供方傳遞給需方的網(wǎng)鏈系統(tǒng)。

注：軟件供應鏈中的供應活動主要包括軟件采購、交付、運維和廢止。

[來源：GB/T36637—2018，3.4，有修改：術語名稱“ICT供應鏈ICTsupplychain”改為“軟件

供應鏈softwaresupplychain”，“ICT的產(chǎn)品和服務”改為“軟件產(chǎn)品和服務”等]

3.7

軟件物料清單softwarebillofmaterials

軟件采用的所有組件、許可協(xié)議、組件依賴關系和層次關系的清單。

3.8

軟件構成圖譜softwarecompositiongraph

軟件物料清單、軟件供應關系、知識產(chǎn)權、安全風險、軟件供應鏈基礎設施等信息的表示形式，支

撐實現(xiàn)軟件供應鏈的安全保護目標。

注：一般以文本形式存儲，支持通過知識圖譜方式展示。

3.9

開放源代碼社區(qū)opensourcecommunity

開源代碼開發(fā)、維護的一種組織和運作方式。

3.10

第三方組件thirdpartycomponent

由供方和需方以外的其他軟件開發(fā)組織或人員開發(fā)的獨立可用或可調(diào)用的軟件組件，通常是由二進

制程序文件或者源代碼程序文件構成。

4軟件供應鏈安全保護目標

2

GB/TXXXXX—XXXX

軟件供應鏈安全目標是識別和防范供應關系和供應活動中面臨的安全風險（見附錄A），提升軟件

供應鏈安全保障能力，主要包括：

a)提升軟件產(chǎn)品或服務中斷供應等風險管理能力：識別和防范供應關系建立及供應活動中軟件產(chǎn)

品和服務供應中斷的管理安全風險，提升軟件供應鏈的韌性，當軟件供應鏈中斷或部分失效時，

能夠保障業(yè)務持續(xù)穩(wěn)定運行。

b)提升供應活動引入的技術安全風險管理能力：識別和防范由于供應關系或供應活動變化導致的

軟件漏洞、后門、篡改、偽造等技術安全風險，提升軟件供應鏈的可追溯性、安全性，一旦發(fā)

現(xiàn)上述風險，可以快速有效追溯和修復。

c)提升軟件供應鏈數(shù)據(jù)安全風險管理能力：識別和防范供應關系和供應活動中存在的數(shù)據(jù)泄露、

數(shù)據(jù)篡改、非法訪問等安全風險，提升軟件供應鏈數(shù)據(jù)安全保護能力，防止軟件供應鏈的數(shù)據(jù)

泄露給未授權者。

5安全要求

5.1組織管理

5.1.1機構管理

本項要求包括：

a)需方應明確軟件供應鏈安全管理機構，明確其職責及人員，并提供用于軟件供應鏈安全管理的

資金、資產(chǎn)和權限等可用資源，保障軟件供應鏈安全管理工作順利執(zhí)行；

b)需方應組織開展常態(tài)化軟件供應鏈實體要素識別，以及供應關系、供應活動的安全風險識別、

處置和防范等工作，組織構建并管理軟件構成圖譜（見附錄B），充分掌握組織的軟件供應鏈

安全風險；

c)需方應持續(xù)加強軟件供應鏈安全能力建設，包括但不限于供應關系管理，軟件供應鏈實體要素

識別，軟件供應鏈風險識別、響應及防范等能力，持續(xù)提升自身軟件供應鏈安全保障能力；

d)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜設立專職的軟件供應鏈管理機

構，根據(jù)a)至c)條款開展全流程軟件供應鏈安全管理工作。

5.1.2制度管理

本項要求包括：

a)需方應圍繞軟件供應鏈風險識別和防范明確軟件供應鏈安全的總體方針、安全制度和策略，包

括但不限于開展軟件供應鏈安全監(jiān)督、管理和檢查等內(nèi)容，并及時修訂更新；

b)需方應制定軟件供應關系的安全管理制度，包括但不限于自主研發(fā)軟件、現(xiàn)貨類軟件、定制開

發(fā)軟件等相關供應關系的風險管理制度、流程或機制；

c)需方應制定軟件供應活動的安全管理制度，包括但不限于軟件采購、交付、運維等軟件供應活

動的風險管理制度、流程或機制；

d)需方應制定軟件供應鏈參與人員的管理制度或機制，包括但不限于人員權限、能力、資質(zhì)、背

景、技能培訓等內(nèi)容；

e)需方應制定知識產(chǎn)權管理制度，包括但不限于專利、軟件著作權、許可協(xié)議等內(nèi)容；

f)需方應制定軟件供應鏈安全風險的持續(xù)監(jiān)測、風險評估和事件響應制度，包括但不限于應急處

理流程、系統(tǒng)恢復流程等內(nèi)容；

g)需方應明確不同等級安全事件的報告、處置和響應流程和機制，規(guī)定安全事件的現(xiàn)場處理、事

件報告和后期恢復等要求；

3

GB/TXXXXX—XXXX

h)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜制定全流程軟件供應鏈軟件安

全監(jiān)管制度，覆蓋軟件供應鏈的全部供應活動。

5.1.3人員管理

本項要求包括：

a)需方應明確軟件供應鏈安全保障人員及其需具備的軟件供應鏈實體要素的識別和安全風險管

理能力，包括但不限于軟件資產(chǎn)識別分析、完整性保護以及軟件漏洞和后門分析等；

b)需方應劃分軟件供應鏈各供應活動參與人員的職責定位、權限級別，并建立操作規(guī)范，創(chuàng)建操

作日志；

c)需方應定期開展軟件供應鏈安全培訓，培訓內(nèi)容包括但不限于a)、b)中涉及的內(nèi)容；

d)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜配置軟件供應鏈安全保障團隊，

根據(jù)需要開展相關人員的背景調(diào)查工作；

e)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜要求安全保障人員具備防范全

流程軟件供應鏈安全威脅的能力，如軟件供應鏈恢復、未知安全漏洞分析、軟件持續(xù)供應能力

分析等。

5.1.4供應商管理

本項要求包括：

a)需方應制定供應商選擇策略和制度，對自主研發(fā)軟件、定制研發(fā)軟件、現(xiàn)貨軟件等的供應商進

行評估，包括但不限于背景、能力、資質(zhì)審查以及持續(xù)安全提供產(chǎn)品或服務等內(nèi)容，建立合格

的供應目錄，并定期對該目錄進行更新維護；

b)需方應優(yōu)先從供應目錄中選取滿足條件的供應商；

c)需方應在供應關系發(fā)生變更時，對變更帶來的安全風險進行評估，并采取相應的風險控制措施；

d)需方應要求供方保證軟件供應鏈上傳遞的供應信息的真實性、準確性、完整性，并采取措施保

護信息不被篡改和泄露；

e)需方應要求供方配合開展軟件供應鏈安全監(jiān)督和檢查；

f)對于測試評估等內(nèi)容，涉及第三方機構的，需方應明確第三方機構的能力、資質(zhì)等要求；

g)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜建立供應商替代方案，防范軟

件供應鏈中斷風險。

5.1.5知識產(chǎn)權管理

本項要求包括：

a)供需雙方應避免因知識產(chǎn)權問題導致的法律安全風險；

b)需方應充分熟悉所使用軟件產(chǎn)品和服務的知識產(chǎn)權，對自主研制軟件產(chǎn)品的知識產(chǎn)權進行規(guī)范

管理，防止侵權；

c)需方應要求供方提供滿足業(yè)務持續(xù)穩(wěn)定運行時限需求的軟件產(chǎn)品或服務使用授權，包括但不限

于許可證、產(chǎn)品序列號、開源許可協(xié)議等；

d)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜對所使用的軟件產(chǎn)品或服務相

關的國內(nèi)外知識產(chǎn)權情況進行詳細識別分析，建立相關預案應對相關知識產(chǎn)權風險。

5.2供應活動管理

5.2.1軟件采購

本項要求包括：

4

GB/TXXXXX—XXXX

a)需方應與供方簽訂軟件產(chǎn)品和服務采購協(xié)議，包括但不限于5.1要求的內(nèi)容；

b)需方應強化采購渠道安全管理，制定從多個國家或地區(qū)獲得軟件產(chǎn)品或軟件服務的方案，確保

來源具有多樣性；

c)需方應明確開展軟件產(chǎn)品或服務的功能、性能及安全風險檢測評估等要求，明確檢測評估的范

圍，包括但不限于軟件資產(chǎn)識別、漏洞、后門、滲透測試等，涉及第三方機構的應明確第三方

機構的資質(zhì)能力；

d)需方應根據(jù)國家標準以及自身業(yè)務要求制定軟件的安全需求基線，確保軟件產(chǎn)品安全并保護個

人敏感信息、重要數(shù)據(jù)等不被泄露；

e)需方應明確所采購軟件的授權使用期限等要求；

f)需方應要求供方構建軟件構成圖譜，軟件構成圖譜至少能追溯至其第一級供應商，對于重要組

織或場景，例如關鍵信息基礎設施運營者等，需方可根據(jù)需求要求軟件構成圖譜追溯的供應商

層級；

g)需方宜要求供方建立研發(fā)、測試工具和設備白名單，采用安全檢測、正版授權驗證、官方完整

性校驗等措施進行白名單準入控制，并記錄相關風險信息；

h)需方宜要求供方對其研發(fā)、測試工具提供可操作性的安全替代方案，在斷供、停服等情況下不

影響開發(fā)、測試工作；

i)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜考慮所采購現(xiàn)貨類商業(yè)軟件和

定制開發(fā)軟件的核心模塊的替代策略。

5.2.2外部組件使用

本項要求包括：

a)需方應要求供方承諾所使用的開源軟件和第三方組件不存在已公開漏洞未修復的情況，或者對

于存在已公開漏洞未修復的情況，但經(jīng)過評估后存在補救措施的，提供相應的安全分析報告；

b)供需雙方應開展軟件供應關系、組件成分及依賴關系和訪問控制策略等的安全測試；

c)供需雙方應建立開源及第三方組件的入庫和使用審批機制，對來源于開放源代碼社區(qū)和第三方

的代碼、組件和軟件，進行完整性驗證、安全性測試和依賴關系分析，保障開源或第三方組件

來源可靠、安全風險可消除或控制，構建形成軟件物料清單和軟件構成圖譜；

d)供需雙方應制定和實施防盜版的策略和規(guī)程，檢測并防止仿冒組件進入軟件；

e)供需雙方應建立和維護可追溯性的策略和程序，記錄和保留開源軟件、第三方組件的原始供應

方、開源社區(qū)或開發(fā)貢獻者等相關信息，保障可追溯至上游供應商，對于應用于重要場景的，

例如關鍵信息基礎設施運營者等，其核心組件需追溯至源頭供應商；

f)供需雙方應持續(xù)跟蹤所使用開源和第三方組件的使用狀態(tài)、安全狀態(tài)，對于存在安全風險的，

應及時通報，并及時采取更新、修復等措施，完善軟件物料清單信息，對于缺乏維護或即將廢

止的組件建立處置措施和計劃，對于應用于重要場景的，例如關鍵信息基礎設施運營者等，其

核心組件應有可替代方案；

g)對于難以驗證來源的開源及第三方組件，供需雙方原則上應禁止使用，確需使用的，需醒目標

注，說明原因；

h)涉及第三方測試評估的，需方應明確對第三方機構的要求。

5.2.3軟件交付

本項要求包括：

a)需方應要求供方按照協(xié)議采用安全可控的方式、渠道交付軟件產(chǎn)品或開展軟件服務；

5

GB/TXXXXX—XXXX

b)需方應根據(jù)協(xié)議要求對交付的軟件產(chǎn)品或服務進行驗收，開展供應關系、供應活動的安全分析

和測評，包括但不限于可持續(xù)供應能力、復雜安全漏洞等安全風險測評，確保軟件供應鏈符合

安全要求；

c)需方應掌握軟件相關技術資料，包括中文版運行維護、二次開發(fā)、軟件使用的場景和條件、權

限和授權機制、軟件使用說明書及測試報告等技術資料；

注：測試報告包括但不限于源代碼、二進制代碼、組件等供應鏈安全分析報告。

d)需方應要求供方避免交付約定范圍外的內(nèi)容，如開啟無關功能、捆綁無關軟件等；

e)需方應要求供方不在軟件產(chǎn)品中設置后門，或利用軟件產(chǎn)品的便利條件非法獲取用戶數(shù)據(jù)、控

制和操縱用戶系統(tǒng)和設備，不會利用軟件產(chǎn)品的依賴性謀取不正當利益，不得在未授權情況下

對軟件產(chǎn)品進行升級或更新?lián)Q代；

f)需方應根據(jù)協(xié)議約定要求供方對交付的軟件實行安全部署和配置，并提供軟件構成圖譜及安全

配置基線；

g)需方應要求供方采取軟件防篡改措施，對交付軟件進行完整性驗證、功能、性能及安全性測試，

并出具相應的測試報告，對于需要第三方機構測試的要明確對第三方機構的要求；

h)需方應要求供方在軟件技術文檔中設置聲明條款，說明采購第三方軟件產(chǎn)品、開源限制性、知

識產(chǎn)權等情況；

i)供需雙方應不將軟件產(chǎn)品的全部或部分泄露到授權以外的范圍。

5.2.4軟件運維

本項要求包括：

a)需方應要求供方根據(jù)協(xié)議確保授權期內(nèi)軟件持續(xù)穩(wěn)定可用；

b)需方應明確運維技術團隊及相應的技術能力要求,包括但不限于風險監(jiān)測識別、漏洞修復、完

整性保護、安全測試等；

c)需方應定期排查超過授權使用期限、超過維保期限但仍在使用的軟件，并對其安全性進行評估

分析；

d)需方應要求供方在未經(jīng)書面授權的情況下，不應將所運維軟件的相關數(shù)據(jù)用于除運行維護以外

的目的；

e)需方應要求供方在生產(chǎn)地、注冊地所在國家或地區(qū)出現(xiàn)因政治、外交、貿(mào)易、自然災害、公共

安全事件等不可抗力導致或可能導致供應中斷時，及時采取應對措施，對于應用于重要場景的，

例如關鍵信息基礎設施運營者等，其軟件應提供替代方案；

f)需方應要求供方不得向未授權者提供運維相關數(shù)據(jù)，或?qū)⑾嚓P數(shù)據(jù)用于運維以外的目的；

g)供需雙方應在軟件進行升級維護時，采用安全可控的渠道交付軟件升級包、補丁包，并開展相

應的安全性測試、完整性校驗等工作，在確保安全后進行軟件更新升級，并同步更新相關配置；

h)供需雙方應根據(jù)需求、協(xié)議等定期檢查軟件是否受到篡改；

i)供需雙方應收集軟件供應鏈的風險信息，在發(fā)現(xiàn)存在脆弱性、漏洞等風險后，按照相關規(guī)定及

時通報用戶及相關政府部門，并快速采取補救措施；

j)供需雙方應根據(jù)協(xié)議形成常態(tài)化風險監(jiān)測機制，及時發(fā)現(xiàn)并處置軟件中斷供應、停止授權、停

止提供產(chǎn)品升級等持續(xù)供應風險，漏洞、后門等技術安全風險和信息泄露、數(shù)據(jù)篡改等數(shù)據(jù)安

全風險；

k)供需雙方應明確軟件供應鏈參與人員對軟件供應鏈訪問權限級別，對訪問范圍進行嚴格區(qū)分；

l)供需雙方應建立可追溯臺賬，對整個使用過程進行記錄、檢測和維護，及時更新維護軟件構成

圖譜；

m)供需雙方應共同保障運維過程中的數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生；

6

GB/TXXXXX—XXXX

n)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方應掌握重要軟件、組件的代碼結

構和技術原理，具備修改和二次開發(fā)、獨立維護等能力；

o)對于重要組織或場景，例如關鍵信息基礎設施運營者等，需方宜配備專門的運維技術團隊，制

定應急響應計劃，包括但不限于軟件供應鏈中斷、有組織的網(wǎng)絡攻擊等。

5.2.5軟件廢止

本項要求包括：

a)需方應建立軟件產(chǎn)品廢止處理規(guī)范流程，包括但不限于軟件停用、卸載和數(shù)據(jù)清除或遷移等內(nèi)

容；

b)需方應依據(jù)廢止處理規(guī)范流程對停止使用的軟件進行廢止處理；

c)需方應對軟件代碼、授權信息以及軟件使用過程中產(chǎn)生的數(shù)據(jù)等進行安全處理和保護；

d)需方應具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力；

e)需方應將廢止軟件的安全處理應交給具備相關資質(zhì)的機構負責；

f)對于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，需方應要求供方支持數(shù)據(jù)遷移到新的軟件產(chǎn)品。

1)制定軟件產(chǎn)品數(shù)據(jù)遷移計劃，并確保數(shù)據(jù)安全遷移；

2)在數(shù)據(jù)遷移完成后，對廢止軟件進行數(shù)據(jù)清除和卸載，對廢止軟件進行安全處理。

7

GB/TXXXXX—XXXX

附錄A

（資料性）

軟件供應鏈安全風險

A.1概述

軟件供應鏈是一個全球分布的、具有供應商多樣性、產(chǎn)品服務復雜性、全流程覆蓋等諸多特點的復

雜系統(tǒng)，在軟件供應鏈各個供應活動中均可能引入安全隱患，導致軟件漏洞、軟件后門、惡意篡改、假

冒偽劣、知識產(chǎn)權風險、供應中斷、信息泄露等安全風險。

A.2軟件漏洞利用

隨著軟件的復雜度不斷提高，軟件產(chǎn)品內(nèi)部開發(fā)過程中產(chǎn)生的以及從上游繼承的軟件漏洞無法避

免，這些軟件漏洞可能被攻擊者利用，對軟件以及計算機系統(tǒng)造成嚴重的安全風險。

A.3軟件后門植入

主要包括以下內(nèi)容：

a)供方預留

供方出于軟件維護的目的，在軟件產(chǎn)品中預置后門，如果預置后門被泄露，攻擊者會通過預置后門

獲得軟件或操作系統(tǒng)的訪問權限；

b)攻擊者惡意植入

攻擊者入侵軟件開發(fā)環(huán)境，污染軟件供應鏈中的組件，劫持軟件交付升級鏈路，攻擊軟件運行環(huán)境

植入惡意后門，獲得軟件或操作系統(tǒng)的訪問權限。

A.4惡意篡改

主要包括以下內(nèi)容：

a)惡意代碼植入

在需方不知情的情況下，在軟件產(chǎn)品或供應鏈中的組件中植入具有惡意邏輯的可執(zhí)行文件、代碼模

塊或代碼片斷。

b)開發(fā)工具植入

使用被惡意篡改的開發(fā)工具，導致開發(fā)的軟件或組件存在惡意代碼。

c)供應信息篡改

在供方不知情的情況下，篡改軟件供應鏈上傳遞的供應信息，如銷售信息、商品信息、軟件構成信

息等。

A.5假冒偽劣

供方提供未經(jīng)產(chǎn)品認證、檢測的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。

A.6知識產(chǎn)權非法使用

未經(jīng)授權而生產(chǎn)、銷售、發(fā)布軟件或組件，導致軟件產(chǎn)品的全部或部分被泄漏到授權以外的范圍。

8

GB/TXXXXX—XXXX

如盜版軟件、違反開源許可使用的軟件、違反協(xié)議進行的二次開發(fā)等。

A.7供應中斷

主要包括以下內(nèi)容：

a)突發(fā)事件中斷

因自然等不可抗力、政治、外交、國際經(jīng)貿(mào)等原因造成上游軟件、使用許可、知識產(chǎn)權授權的中斷。

b)不正當競爭

軟件供方利用需方對產(chǎn)品和服務的依賴，實施不正當競爭或損害用戶利益的行為。

A.8信息泄露

軟件供應鏈信息被有意或無意地泄露，如軟件上游供應商、下游需方的信息可能涉及商業(yè)秘密，供

應鏈信息存在被泄露的風險。

A.9開源許可違規(guī)使用

主要包括以下內(nèi)容：

a)無開源許可證

軟件產(chǎn)品發(fā)布時缺少開源許可證類型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等

許可證。

b)使用不規(guī)范

軟件產(chǎn)品發(fā)布時不符合相應許可協(xié)議的規(guī)范和要求，包括但不限于沒有遵循開源許可證協(xié)議，開源

組件修改后許可信息丟失，存在無許可信息的開源片段代碼等。

A.10供應鏈劫持

供應鏈劫持是普遍存在的一種供應鏈污染，安全風險突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡劫

持、物流鏈劫持、升級劫持等。

A.11其他風險

由于軟件供應鏈內(nèi)外部人員、軟件供應鏈全球性等特點帶來的風險或挑戰(zhàn)。

A.12風險要求對應關系

A.2至A.11描述的風險與安全要求條款和應對措施間的對應關系如表A.1所示。

9

GB/TXXXXX—XXXX

表A.1風險要求對應關系

序號安全風險安全要求條款控制措施安全保護目標

進行代碼、組件、軟件

5.1.3e)5.2.2a)

A.25.1.1a)b)c)d)漏洞檢測分析、漏洞修提升供應活動引入

5.1.4f)g)5.2.3b)g)

1軟件漏洞5.1.2c)f)g)h)復，對于殘余漏洞風險的技術安全風險管

5.2.15.2.4

利用5.1.3a)d)e)提供虛擬補丁、熱補丁理能力

c)f)g)h)h)i)k)n)

更新

開展入侵檢測、操作審

A.35.1.1a)b)c)d)5.1.2c)5.2.3a)c)d)提升供應活動引入

計等，并針對維護升級

2軟件后門5.1.2a)c)f)g)h)5.2.15.2.4的技術安全風險管

通道進行認證、防止控

植入5.1.3a)d)e)c)f)g)i)j)k)n)理能力

制和操作審計

5.1.1a)b)c)d)5.2.3a)e)g)提升供應活動引入

A.45.2.1f)g)軟件完整性的校驗、防

35.1.2a)c)f)g)h)5.2.4的技術安全風險管

惡意篡改5.2.2b)c)篡改預警等保護機制

5.1.3a)d)e)g)i)j)k)l）理能力

5.1.1a)b)c)d)5.2.1f)5.2.3g)明確相關測評要求，并提升供應活動引入

A.5

45.1.2a)c)f)g)h)5.2.2b)c)d)5.2.4在軟件交付時進行相應的技術安全風險管

假冒偽劣

5.1.3a)d)e)g)f)i)j)l)n）的安全檢查和審核理能力

A.65.1.1a)b)c)d)5.1.55.2.3d)h)i)明確相關知識產(chǎn)權要提升軟件供應鏈數(shù)

5知識產(chǎn)權5.1.2c)e)f)g)h)a)b)c)d)5.2.4求，并在交付時進行相據(jù)安全風險管理能

非法使用5.1.3a)d)e)5.2.1e)c)d)i)j)k)應的安全檢查和審核力

5.1.1a)b)c)d)5.1.4a)-h)

A.75.1.2b)f)g)h)5.2.15.2.3a)b)c)提升軟件產(chǎn)品或服

建立供應商安全預警、

6供應中斷5.1.3a)d)e)b)h)i)5.2.4務中斷供應等風險

冗余等機制

5.1.4a)b)c)d)5.2.2d)f)a)e)i)m)n)管理能力

5.2.1b)

5.2.3

在數(shù)據(jù)采集、傳輸、存

5.1.1a)b)c)d)5.1.4d)f)e)h)i)提升軟件供應鏈數(shù)

A.8儲及運維中進行認證、

75.1.2a)c)f)g)h)e)f）g)5.2.4據(jù)安全風險管理能

信息泄露加密、水印、脫敏等數(shù)

5.1.3a)d)e)5.2.1d)d)j)k)l)n)力

據(jù)安全管控。

5.2.5c)d)f)

A.9對開源組件使用許可協(xié)提升供應活動引入

5.1.1a)b)c)d)5.2.2

8開源許可5.2.3h)i)議情況進行檢測并提供的技術安全風險管

5.1.3a)d)e)a)-h)

違規(guī)使用相應的評估說明理能力

對供應鏈上游環(huán)境安全

A.105.2.1g)h)進行相應的評估和加提升軟件產(chǎn)品或服

5.1.1a)b)c)d)5.2.4

9供應鏈劫5.2.3固；軟件運維升級通道務中斷供應等風險

5.1.3a)d)e)a)c)f)h)i)m)

持a)c)d)e)f)進行身份認證、傳輸加管理能力

密及訪問控制

提升軟件產(chǎn)品或服

務中斷供應等風險

5.1.1a)5.2.15.2.3a)管理能力、供應活

A.11加強機構職責、制度建

105.1.2a)d)f)g)h)a)d)f)5.2.4k)m)n)動引入的技術安全

其他風險設防范多種風險

5.1.3b)c)5.2.2e)5.2.5a)b)e)風險管理能力、數(shù)

據(jù)安全風險管理能

力

10

GB/TXXXXX—XXXX

附錄B

（資料性）

軟件構成圖譜

B.1內(nèi)容簡介

軟件構成圖譜包含軟件物料清單和安全風險兩方面內(nèi)容。其中，軟件物料清單是指軟件在開發(fā)過程

中所采用的所有組件、許可協(xié)議、知識產(chǎn)權、軟件供應鏈基礎設施等元素相關信息及其供應鏈上下游依

賴關系以及相關證明材料的集合；安全風險是指軟件物料清單中的組件、代碼、軟件供應鏈基礎設施中

存在的附錄A中的風險等元素及相關的安全檢測評估報告的集合。軟件構成圖譜通常由供方提供，或

者由第三方機構生成，其作用是通過軟件物料清單中的信息與安全風險的精確關聯(lián)，增強軟件供應鏈的

可追溯性、可審計性。

B.2主要元素

根據(jù)軟件構成圖譜中各元素所屬范圍不同，所有元素可以劃分為兩類，分別是軟件物料清單、安全

風險。其中，軟件物料清單包括物料清單信息、軟件基本信息、組件基本信息和相關說明材料4個二級

分類；安全風險包括安全風險信息和安全測評2個二級分類。詳細分類信息參考表B.1。

表B.1軟件構成圖譜主要元素列表

一級分類二級分類元素名稱說明

唯一標識物料清單的唯一標識

生成階段軟件供應鏈活動、過程

物料清單信息

時間戳生成時間

生成方供方或第三方機構

軟件名稱官方發(fā)布的軟件名稱

軟件唯一標識唯一標識

軟件基本信息軟件版本官方發(fā)布的版本信息

(軟件1、軟件2、……)軟件來源軟件供方

軟件物料清單軟件供應鏈基礎設施參考術語定義3.6

引入組件數(shù)量開源、第三方、自主研制

組件名稱組件名稱

組件唯一標識唯一標識

組件版本官方發(fā)布的版本信息

組件基本信息

組件來源組件的獲取地址

(組件1、組件2、……)

組件依賴關系直接引用或間接引用

組件調(diào)用位置組件的使用位置

知識產(chǎn)權開源許可協(xié)議、專利等

11

GB/TXXXXX—XXXX

表B.1（續(xù)）

一級分類二級分類元素名稱說明

組件分析證明

軟件物料清單技術報告組件測評報告

(組件1、組件2、……)

軟件漏洞附錄A.2

軟件后門附錄A.3

惡意篡改附錄A.4

假冒偽劣附錄A.5

知識產(chǎn)權附錄A.6

安全風險信息

安全風險供應中斷附錄A.7

信息泄露附錄A.8

開源許可附錄A.9

供應鏈劫持附錄A.10

其他附錄A.11

安全測評測評報告正文提到的各類測評報告

B.3軟件構成圖譜元素關系

在軟件供應鏈中，組織的軟件構成圖譜可以準確表達軟件、組件及安全風險之間的關系。軟件的安

全風險主要是源于自身安全風險和直接/間接引用存在安全風險的組件。組件的安全風險源于自身安全

風險或者其依賴組件的安全風險。組織中軟件與軟件之間利用引用的相同組件能夠?qū)崿F(xiàn)軟件構成圖譜的

連接，不斷擴大圖譜規(guī)模。因此，組織一旦發(fā)現(xiàn)軟件供應鏈安全風險，可通過軟件構成圖譜快速實現(xiàn)軟

件供應鏈安全風險定位。軟件構成圖譜元素關系如圖B.1.所示。

名稱安全漏洞

軟件

唯一標識1存在軟件后門

直接引用間接引用存在安

組全

件來源供應鏈中斷

存在威

基存在

引用方式組件組件脅

本存在惡意篡改信

信存在

是否開源直接引用直接引用息

息軟件信息泄露

2

軟直接引用

件

物

料間接引用組件

名稱

清

單

唯一標識間接引用引用引用引用

軟引

件軟件來源用

基組件組件方

本版本式

信軟件

物料清單基n

息間接引用引用引用引用

本信息

組件組件

圖B.1軟件構成圖譜元素關系圖

12

GB/TXXXXX—XXXX

參考文獻

[1]GB/T32921—2016信息安全技術信息技術產(chǎn)品供應方行為安全準則

[2]GB/T36475—2018軟件產(chǎn)品分類

[3]GB/T37970—2019軟件過程及制品可信度評估

[4]ISO28001Securitymanagementsystemsforthesupplychain–Bestpracticesfor

implementingsupplychainsecurity,assessmentsandplans–Requirementsandguidance

[5]ISO/IEC27036—2Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part2:Requirements

[6]ISO/IEC27036—3Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part3:Guidelinesforinformationand

communicationtechnologysupplychainsecurity

[7]NIST800—161SupplyChainRiskManagementPracticesforFederalInformationSystems

andOrganizations

13

GB/TXXXXX—XXXX

目次

前言..................................................................................II

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術語和定義...........................................................................1

4軟件供應鏈風險管理目標...............................................................2

5安全要求.............................................................................3

5.1組織管理.........................................................................3

5.1.1機構管理.....................................................................3

5.1.2制度管理.....................................................................3

5.1.3人員管理.....................................................................4

5.1.4供應商管理...................................................................4

5.1.5知識產(chǎn)權管理.................................................................4

5.2供應活動管理.....................................................................4

5.2.1軟件采購.....................................................................4

5.2.2外部組件管理.................................................................5

5.2.3軟件交付.......................................