信息安全技術(shù) 軟件供應(yīng)鏈安全要求

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

信息安全技術(shù)軟件供應(yīng)鏈安全要求

Informationsecuritytechnology—Securityrequirementsforsoftwaresupplychain

（征求意見稿）

2022-09-28

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：中國信息安全測評中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)

處理協(xié)調(diào)中心、華為技術(shù)有限公司、中國軟件評測中心、諾基亞通信系統(tǒng)技術(shù)（北京）有限公司、網(wǎng)神

信息技術(shù)（北京）股份有限公司、深信服科技股份有限公司、聯(lián)想（北京）有限公司、北京天融信網(wǎng)絡(luò)

安全技術(shù)有限公司、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、國家信息技術(shù)安全研究中心、長揚科技（北

京）有限公司、深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國家計算機網(wǎng)

絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心、杭州安恒信息技術(shù)股份有限公司、北京鴻騰智能科技有限公司、

北京奇虎科技有限公司、北京快手科技有限公司、國網(wǎng)區(qū)塊鏈科技（北京）有限公司、麒麟軟件有限公

司、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限公司、北京大學(xué)、

云從科技集團股份有限公司、啟明星辰信息技術(shù)集團股份有限公司、瀚高基礎(chǔ)軟件股份有限公司、北京

威努特技術(shù)有限公司、昆侖數(shù)智科技有限責(zé)任公司、杭州默安科技有限公司、中國信息通信研究院、中

電長城網(wǎng)際安全技術(shù)研究院（北京）有限公司、北京安普諾信息技術(shù)有限公司、北京神州綠盟科技有限

公司、OPPO廣東移動通信有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、阿里云計算有限公司、北京中測

安華科技有限公司、中國科學(xué)院信息工程研究所、上海文鰩信息科技有限公司、蘇州棱鏡七彩信息科技

有限公司、騰訊云計算（北京）有限責(zé)任公司、新華三技術(shù)有限公司、螞蟻科技集團福根有限公司、工

業(yè)和信息化部電子第五研究所、北京人大金倉信息技術(shù)股份有限公司、上海大學(xué)、西安郵電大學(xué)等。

本文件主要起草人：李守鵬、王欣、王曉萌、王惠蒞、林星辰、吳潤浦、陳冬青、薛勇波、曾晉、

沈蕾、董國偉、葉潤國、李汝鑫、高金萍、鄧輝、常遠(yuǎn)、楊慧婷、楊韜、馮明冉、楊劍、萬振華、王振

遠(yuǎn)、王晶、張亞京、梁偉、邱林海、王頡、張大江、羅峋、張屹、李杺恬、落紅衛(wèi)、應(yīng)凌云、沈錫鏞、

孟瑾、溫婷婷、王紅亮、王春霞、王巖、李娜、王聰、李汪蔚、查文靜、李騰、宋桂香、李紅、張剛、

柴思躍、趙曉暉、申永波、白曉媛、董軍平、陳亮、徐永太、高慶、查海平、萬曉蘭、林飛、吳菊華、

寧戈、彭晨、張勇等。

II

GB/TXXXXX—XXXX

信息安全技術(shù)軟件供應(yīng)鏈安全要求

1范圍

本文件給出了軟件供應(yīng)鏈安全保護目標(biāo)，規(guī)定了軟件供應(yīng)鏈組織管理和供應(yīng)活動管理的安全要求。

本文件適用于指導(dǎo)軟件供應(yīng)鏈中的需方、供方開展組織管理和供應(yīng)活動管理，可為第三方機構(gòu)開展

軟件供應(yīng)鏈安全測試和評估提供依據(jù)，也可為主管監(jiān)管部門提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T36637—2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南

3術(shù)語和定義

GB/T25069—2022和GB/T36637—2018中界定的以及下列術(shù)語和定義適用于本文件。

3.1

軟件產(chǎn)品softwareproduct

計算機軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件，或在提供計算機信息系統(tǒng)集成、應(yīng)用等技術(shù)服務(wù)時提

供的計算機軟件，表現(xiàn)形式為一組計算機代碼、規(guī)程以及可能的相關(guān)文檔和數(shù)據(jù)。

[來源：GB/T36475—2018，3.1，有修改]

3.2

軟件服務(wù)softwareservice

實施與軟件產(chǎn)品有關(guān)的活動、工作或義務(wù)，如軟件開發(fā)、集成、維護和運營。

[來源：GB/T8566—2007，3.1]

3.3

需方acquirer

從其他組織獲取軟件產(chǎn)品或服務(wù)的組織或個人。

注：本文件中主要指軟件產(chǎn)品或服務(wù)的最終用戶。

[來源：GB/T36637—2018，3.1，有修改：術(shù)語名稱“ICT需方ICTacquirer”改為“需方acquirer”，

“ICT產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品或服務(wù)”]

1

GB/TXXXXX—XXXX

3.4

供方supplier

提供軟件產(chǎn)品或服務(wù)的組織或個人。

注：本文件中主要指需方的第一級（直接）供應(yīng)商。

[來源：GB/T36637—2018，3.2，有修改：術(shù)語名稱“ICT供方ICTsupplier”改為“供方supplier”，

“ICT產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品或服務(wù)”等]

3.5

供應(yīng)關(guān)系supplierrelation

需方（3.3）和供方（3.4）之間的協(xié)議，可用于開展業(yè)務(wù)、提供軟件產(chǎn)品或服務(wù)。

注：在供應(yīng)鏈中，上游的需方同時也是下游的供方。終端客戶可以理解為一種特殊的需方。

[來源：GB/T36637—2018，3.3，有修改：“產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品或服務(wù)”]

3.6

軟件供應(yīng)鏈softwaresupplychain

基于供應(yīng)關(guān)系，通過資源和過程將軟件產(chǎn)品或服務(wù)從供方傳遞給需方的網(wǎng)鏈系統(tǒng)。

注：軟件供應(yīng)鏈中的供應(yīng)活動主要包括軟件采購、交付、運維和廢止。

[來源：GB/T36637—2018，3.4，有修改：術(shù)語名稱“ICT供應(yīng)鏈ICTsupplychain”改為“軟件

供應(yīng)鏈softwaresupplychain”，“ICT的產(chǎn)品和服務(wù)”改為“軟件產(chǎn)品和服務(wù)”等]

3.7

軟件物料清單softwarebillofmaterials

軟件采用的所有組件、許可協(xié)議、組件依賴關(guān)系和層次關(guān)系的清單。

3.8

軟件構(gòu)成圖譜softwarecompositiongraph

軟件物料清單、軟件供應(yīng)關(guān)系、知識產(chǎn)權(quán)、安全風(fēng)險、軟件供應(yīng)鏈基礎(chǔ)設(shè)施等信息的表示形式，支

撐實現(xiàn)軟件供應(yīng)鏈的安全保護目標(biāo)。

注：一般以文本形式存儲，支持通過知識圖譜方式展示。

3.9

開放源代碼社區(qū)opensourcecommunity

開源代碼開發(fā)、維護的一種組織和運作方式。

3.10

第三方組件thirdpartycomponent

由供方和需方以外的其他軟件開發(fā)組織或人員開發(fā)的獨立可用或可調(diào)用的軟件組件，通常是由二進

制程序文件或者源代碼程序文件構(gòu)成。

4軟件供應(yīng)鏈安全保護目標(biāo)

2

GB/TXXXXX—XXXX

軟件供應(yīng)鏈安全目標(biāo)是識別和防范供應(yīng)關(guān)系和供應(yīng)活動中面臨的安全風(fēng)險（見附錄A），提升軟件

供應(yīng)鏈安全保障能力，主要包括：

a)提升軟件產(chǎn)品或服務(wù)中斷供應(yīng)等風(fēng)險管理能力：識別和防范供應(yīng)關(guān)系建立及供應(yīng)活動中軟件產(chǎn)

品和服務(wù)供應(yīng)中斷的管理安全風(fēng)險，提升軟件供應(yīng)鏈的韌性，當(dāng)軟件供應(yīng)鏈中斷或部分失效時，

能夠保障業(yè)務(wù)持續(xù)穩(wěn)定運行。

b)提升供應(yīng)活動引入的技術(shù)安全風(fēng)險管理能力：識別和防范由于供應(yīng)關(guān)系或供應(yīng)活動變化導(dǎo)致的

軟件漏洞、后門、篡改、偽造等技術(shù)安全風(fēng)險，提升軟件供應(yīng)鏈的可追溯性、安全性，一旦發(fā)

現(xiàn)上述風(fēng)險，可以快速有效追溯和修復(fù)。

c)提升軟件供應(yīng)鏈數(shù)據(jù)安全風(fēng)險管理能力：識別和防范供應(yīng)關(guān)系和供應(yīng)活動中存在的數(shù)據(jù)泄露、

數(shù)據(jù)篡改、非法訪問等安全風(fēng)險，提升軟件供應(yīng)鏈數(shù)據(jù)安全保護能力，防止軟件供應(yīng)鏈的數(shù)據(jù)

泄露給未授權(quán)者。

5安全要求

5.1組織管理

5.1.1機構(gòu)管理

本項要求包括：

a)需方應(yīng)明確軟件供應(yīng)鏈安全管理機構(gòu)，明確其職責(zé)及人員，并提供用于軟件供應(yīng)鏈安全管理的

資金、資產(chǎn)和權(quán)限等可用資源，保障軟件供應(yīng)鏈安全管理工作順利執(zhí)行；

b)需方應(yīng)組織開展常態(tài)化軟件供應(yīng)鏈實體要素識別，以及供應(yīng)關(guān)系、供應(yīng)活動的安全風(fēng)險識別、

處置和防范等工作，組織構(gòu)建并管理軟件構(gòu)成圖譜（見附錄B），充分掌握組織的軟件供應(yīng)鏈

安全風(fēng)險；

c)需方應(yīng)持續(xù)加強軟件供應(yīng)鏈安全能力建設(shè)，包括但不限于供應(yīng)關(guān)系管理，軟件供應(yīng)鏈實體要素

識別，軟件供應(yīng)鏈風(fēng)險識別、響應(yīng)及防范等能力，持續(xù)提升自身軟件供應(yīng)鏈安全保障能力；

d)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜設(shè)立專職的軟件供應(yīng)鏈管理機

構(gòu)，根據(jù)a)至c)條款開展全流程軟件供應(yīng)鏈安全管理工作。

5.1.2制度管理

本項要求包括：

a)需方應(yīng)圍繞軟件供應(yīng)鏈風(fēng)險識別和防范明確軟件供應(yīng)鏈安全的總體方針、安全制度和策略，包

括但不限于開展軟件供應(yīng)鏈安全監(jiān)督、管理和檢查等內(nèi)容，并及時修訂更新；

b)需方應(yīng)制定軟件供應(yīng)關(guān)系的安全管理制度，包括但不限于自主研發(fā)軟件、現(xiàn)貨類軟件、定制開

發(fā)軟件等相關(guān)供應(yīng)關(guān)系的風(fēng)險管理制度、流程或機制；

c)需方應(yīng)制定軟件供應(yīng)活動的安全管理制度，包括但不限于軟件采購、交付、運維等軟件供應(yīng)活

動的風(fēng)險管理制度、流程或機制；

d)需方應(yīng)制定軟件供應(yīng)鏈參與人員的管理制度或機制，包括但不限于人員權(quán)限、能力、資質(zhì)、背

景、技能培訓(xùn)等內(nèi)容；

e)需方應(yīng)制定知識產(chǎn)權(quán)管理制度，包括但不限于專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容；

f)需方應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險的持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度，包括但不限于應(yīng)急處

理流程、系統(tǒng)恢復(fù)流程等內(nèi)容；

g)需方應(yīng)明確不同等級安全事件的報告、處置和響應(yīng)流程和機制，規(guī)定安全事件的現(xiàn)場處理、事

件報告和后期恢復(fù)等要求；

3

GB/TXXXXX—XXXX

h)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜制定全流程軟件供應(yīng)鏈軟件安

全監(jiān)管制度，覆蓋軟件供應(yīng)鏈的全部供應(yīng)活動。

5.1.3人員管理

本項要求包括：

a)需方應(yīng)明確軟件供應(yīng)鏈安全保障人員及其需具備的軟件供應(yīng)鏈實體要素的識別和安全風(fēng)險管

理能力，包括但不限于軟件資產(chǎn)識別分析、完整性保護以及軟件漏洞和后門分析等；

b)需方應(yīng)劃分軟件供應(yīng)鏈各供應(yīng)活動參與人員的職責(zé)定位、權(quán)限級別，并建立操作規(guī)范，創(chuàng)建操

作日志；

c)需方應(yīng)定期開展軟件供應(yīng)鏈安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于a)、b)中涉及的內(nèi)容；

d)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜配置軟件供應(yīng)鏈安全保障團隊，

根據(jù)需要開展相關(guān)人員的背景調(diào)查工作；

e)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜要求安全保障人員具備防范全

流程軟件供應(yīng)鏈安全威脅的能力，如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力

分析等。

5.1.4供應(yīng)商管理

本項要求包括：

a)需方應(yīng)制定供應(yīng)商選擇策略和制度，對自主研發(fā)軟件、定制研發(fā)軟件、現(xiàn)貨軟件等的供應(yīng)商進

行評估，包括但不限于背景、能力、資質(zhì)審查以及持續(xù)安全提供產(chǎn)品或服務(wù)等內(nèi)容，建立合格

的供應(yīng)目錄，并定期對該目錄進行更新維護；

b)需方應(yīng)優(yōu)先從供應(yīng)目錄中選取滿足條件的供應(yīng)商；

c)需方應(yīng)在供應(yīng)關(guān)系發(fā)生變更時，對變更帶來的安全風(fēng)險進行評估，并采取相應(yīng)的風(fēng)險控制措施；

d)需方應(yīng)要求供方保證軟件供應(yīng)鏈上傳遞的供應(yīng)信息的真實性、準(zhǔn)確性、完整性，并采取措施保

護信息不被篡改和泄露；

e)需方應(yīng)要求供方配合開展軟件供應(yīng)鏈安全監(jiān)督和檢查；

f)對于測試評估等內(nèi)容，涉及第三方機構(gòu)的，需方應(yīng)明確第三方機構(gòu)的能力、資質(zhì)等要求；

g)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜建立供應(yīng)商替代方案，防范軟

件供應(yīng)鏈中斷風(fēng)險。

5.1.5知識產(chǎn)權(quán)管理

本項要求包括：

a)供需雙方應(yīng)避免因知識產(chǎn)權(quán)問題導(dǎo)致的法律安全風(fēng)險；

b)需方應(yīng)充分熟悉所使用軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)，對自主研制軟件產(chǎn)品的知識產(chǎn)權(quán)進行規(guī)范

管理，防止侵權(quán)；

c)需方應(yīng)要求供方提供滿足業(yè)務(wù)持續(xù)穩(wěn)定運行時限需求的軟件產(chǎn)品或服務(wù)使用授權(quán)，包括但不限

于許可證、產(chǎn)品序列號、開源許可協(xié)議等；

d)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜對所使用的軟件產(chǎn)品或服務(wù)相

關(guān)的國內(nèi)外知識產(chǎn)權(quán)情況進行詳細(xì)識別分析，建立相關(guān)預(yù)案應(yīng)對相關(guān)知識產(chǎn)權(quán)風(fēng)險。

5.2供應(yīng)活動管理

5.2.1軟件采購

本項要求包括：

4

GB/TXXXXX—XXXX

a)需方應(yīng)與供方簽訂軟件產(chǎn)品和服務(wù)采購協(xié)議，包括但不限于5.1要求的內(nèi)容；

b)需方應(yīng)強化采購渠道安全管理，制定從多個國家或地區(qū)獲得軟件產(chǎn)品或軟件服務(wù)的方案，確保

來源具有多樣性；

c)需方應(yīng)明確開展軟件產(chǎn)品或服務(wù)的功能、性能及安全風(fēng)險檢測評估等要求，明確檢測評估的范

圍，包括但不限于軟件資產(chǎn)識別、漏洞、后門、滲透測試等，涉及第三方機構(gòu)的應(yīng)明確第三方

機構(gòu)的資質(zhì)能力；

d)需方應(yīng)根據(jù)國家標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線，確保軟件產(chǎn)品安全并保護個

人敏感信息、重要數(shù)據(jù)等不被泄露；

e)需方應(yīng)明確所采購軟件的授權(quán)使用期限等要求；

f)需方應(yīng)要求供方構(gòu)建軟件構(gòu)成圖譜，軟件構(gòu)成圖譜至少能追溯至其第一級供應(yīng)商，對于重要組

織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方可根據(jù)需求要求軟件構(gòu)成圖譜追溯的供應(yīng)商

層級；

g)需方宜要求供方建立研發(fā)、測試工具和設(shè)備白名單，采用安全檢測、正版授權(quán)驗證、官方完整

性校驗等措施進行白名單準(zhǔn)入控制，并記錄相關(guān)風(fēng)險信息；

h)需方宜要求供方對其研發(fā)、測試工具提供可操作性的安全替代方案，在斷供、停服等情況下不

影響開發(fā)、測試工作；

i)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜考慮所采購現(xiàn)貨類商業(yè)軟件和

定制開發(fā)軟件的核心模塊的替代策略。

5.2.2外部組件使用

本項要求包括：

a)需方應(yīng)要求供方承諾所使用的開源軟件和第三方組件不存在已公開漏洞未修復(fù)的情況，或者對

于存在已公開漏洞未修復(fù)的情況，但經(jīng)過評估后存在補救措施的，提供相應(yīng)的安全分析報告；

b)供需雙方應(yīng)開展軟件供應(yīng)關(guān)系、組件成分及依賴關(guān)系和訪問控制策略等的安全測試；

c)供需雙方應(yīng)建立開源及第三方組件的入庫和使用審批機制，對來源于開放源代碼社區(qū)和第三方

的代碼、組件和軟件，進行完整性驗證、安全性測試和依賴關(guān)系分析，保障開源或第三方組件

來源可靠、安全風(fēng)險可消除或控制，構(gòu)建形成軟件物料清單和軟件構(gòu)成圖譜；

d)供需雙方應(yīng)制定和實施防盜版的策略和規(guī)程，檢測并防止仿冒組件進入軟件；

e)供需雙方應(yīng)建立和維護可追溯性的策略和程序，記錄和保留開源軟件、第三方組件的原始供應(yīng)

方、開源社區(qū)或開發(fā)貢獻(xiàn)者等相關(guān)信息，保障可追溯至上游供應(yīng)商，對于應(yīng)用于重要場景的，

例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，其核心組件需追溯至源頭供應(yīng)商；

f)供需雙方應(yīng)持續(xù)跟蹤所使用開源和第三方組件的使用狀態(tài)、安全狀態(tài)，對于存在安全風(fēng)險的，

應(yīng)及時通報，并及時采取更新、修復(fù)等措施，完善軟件物料清單信息，對于缺乏維護或即將廢

止的組件建立處置措施和計劃，對于應(yīng)用于重要場景的，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，其

核心組件應(yīng)有可替代方案；

g)對于難以驗證來源的開源及第三方組件，供需雙方原則上應(yīng)禁止使用，確需使用的，需醒目標(biāo)

注，說明原因；

h)涉及第三方測試評估的，需方應(yīng)明確對第三方機構(gòu)的要求。

5.2.3軟件交付

本項要求包括：

a)需方應(yīng)要求供方按照協(xié)議采用安全可控的方式、渠道交付軟件產(chǎn)品或開展軟件服務(wù)；

5

GB/TXXXXX—XXXX

b)需方應(yīng)根據(jù)協(xié)議要求對交付的軟件產(chǎn)品或服務(wù)進行驗收，開展供應(yīng)關(guān)系、供應(yīng)活動的安全分析

和測評，包括但不限于可持續(xù)供應(yīng)能力、復(fù)雜安全漏洞等安全風(fēng)險測評，確保軟件供應(yīng)鏈符合

安全要求；

c)需方應(yīng)掌握軟件相關(guān)技術(shù)資料，包括中文版運行維護、二次開發(fā)、軟件使用的場景和條件、權(quán)

限和授權(quán)機制、軟件使用說明書及測試報告等技術(shù)資料；

注：測試報告包括但不限于源代碼、二進制代碼、組件等供應(yīng)鏈安全分析報告。

d)需方應(yīng)要求供方避免交付約定范圍外的內(nèi)容，如開啟無關(guān)功能、捆綁無關(guān)軟件等；

e)需方應(yīng)要求供方不在軟件產(chǎn)品中設(shè)置后門，或利用軟件產(chǎn)品的便利條件非法獲取用戶數(shù)據(jù)、控

制和操縱用戶系統(tǒng)和設(shè)備，不會利用軟件產(chǎn)品的依賴性謀取不正當(dāng)利益，不得在未授權(quán)情況下

對軟件產(chǎn)品進行升級或更新?lián)Q代；

f)需方應(yīng)根據(jù)協(xié)議約定要求供方對交付的軟件實行安全部署和配置，并提供軟件構(gòu)成圖譜及安全

配置基線；

g)需方應(yīng)要求供方采取軟件防篡改措施，對交付軟件進行完整性驗證、功能、性能及安全性測試，

并出具相應(yīng)的測試報告，對于需要第三方機構(gòu)測試的要明確對第三方機構(gòu)的要求；

h)需方應(yīng)要求供方在軟件技術(shù)文檔中設(shè)置聲明條款，說明采購第三方軟件產(chǎn)品、開源限制性、知

識產(chǎn)權(quán)等情況；

i)供需雙方應(yīng)不將軟件產(chǎn)品的全部或部分泄露到授權(quán)以外的范圍。

5.2.4軟件運維

本項要求包括：

a)需方應(yīng)要求供方根據(jù)協(xié)議確保授權(quán)期內(nèi)軟件持續(xù)穩(wěn)定可用；

b)需方應(yīng)明確運維技術(shù)團隊及相應(yīng)的技術(shù)能力要求,包括但不限于風(fēng)險監(jiān)測識別、漏洞修復(fù)、完

整性保護、安全測試等；

c)需方應(yīng)定期排查超過授權(quán)使用期限、超過維保期限但仍在使用的軟件，并對其安全性進行評估

分析；

d)需方應(yīng)要求供方在未經(jīng)書面授權(quán)的情況下，不應(yīng)將所運維軟件的相關(guān)數(shù)據(jù)用于除運行維護以外

的目的；

e)需方應(yīng)要求供方在生產(chǎn)地、注冊地所在國家或地區(qū)出現(xiàn)因政治、外交、貿(mào)易、自然災(zāi)害、公共

安全事件等不可抗力導(dǎo)致或可能導(dǎo)致供應(yīng)中斷時，及時采取應(yīng)對措施，對于應(yīng)用于重要場景的，

例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，其軟件應(yīng)提供替代方案；

f)需方應(yīng)要求供方不得向未授權(quán)者提供運維相關(guān)數(shù)據(jù)，或?qū)⑾嚓P(guān)數(shù)據(jù)用于運維以外的目的；

g)供需雙方應(yīng)在軟件進行升級維護時，采用安全可控的渠道交付軟件升級包、補丁包，并開展相

應(yīng)的安全性測試、完整性校驗等工作，在確保安全后進行軟件更新升級，并同步更新相關(guān)配置；

h)供需雙方應(yīng)根據(jù)需求、協(xié)議等定期檢查軟件是否受到篡改；

i)供需雙方應(yīng)收集軟件供應(yīng)鏈的風(fēng)險信息，在發(fā)現(xiàn)存在脆弱性、漏洞等風(fēng)險后，按照相關(guān)規(guī)定及

時通報用戶及相關(guān)政府部門，并快速采取補救措施；

j)供需雙方應(yīng)根據(jù)協(xié)議形成常態(tài)化風(fēng)險監(jiān)測機制，及時發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停

止提供產(chǎn)品升級等持續(xù)供應(yīng)風(fēng)險，漏洞、后門等技術(shù)安全風(fēng)險和信息泄露、數(shù)據(jù)篡改等數(shù)據(jù)安

全風(fēng)險；

k)供需雙方應(yīng)明確軟件供應(yīng)鏈參與人員對軟件供應(yīng)鏈訪問權(quán)限級別，對訪問范圍進行嚴(yán)格區(qū)分；

l)供需雙方應(yīng)建立可追溯臺賬，對整個使用過程進行記錄、檢測和維護，及時更新維護軟件構(gòu)成

圖譜；

m)供需雙方應(yīng)共同保障運維過程中的數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生；

6

GB/TXXXXX—XXXX

n)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方應(yīng)掌握重要軟件、組件的代碼結(jié)

構(gòu)和技術(shù)原理，具備修改和二次開發(fā)、獨立維護等能力；

o)對于重要組織或場景，例如關(guān)鍵信息基礎(chǔ)設(shè)施運營者等，需方宜配備專門的運維技術(shù)團隊，制

定應(yīng)急響應(yīng)計劃，包括但不限于軟件供應(yīng)鏈中斷、有組織的網(wǎng)絡(luò)攻擊等。

5.2.5軟件廢止

本項要求包括：

a)需方應(yīng)建立軟件產(chǎn)品廢止處理規(guī)范流程，包括但不限于軟件停用、卸載和數(shù)據(jù)清除或遷移等內(nèi)

容；

b)需方應(yīng)依據(jù)廢止處理規(guī)范流程對停止使用的軟件進行廢止處理；

c)需方應(yīng)對軟件代碼、授權(quán)信息以及軟件使用過程中產(chǎn)生的數(shù)據(jù)等進行安全處理和保護；

d)需方應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力；

e)需方應(yīng)將廢止軟件的安全處理應(yīng)交給具備相關(guān)資質(zhì)的機構(gòu)負(fù)責(zé)；

f)對于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，需方應(yīng)要求供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。

1)制定軟件產(chǎn)品數(shù)據(jù)遷移計劃，并確保數(shù)據(jù)安全遷移；

2)在數(shù)據(jù)遷移完成后，對廢止軟件進行數(shù)據(jù)清除和卸載，對廢止軟件進行安全處理。

7

GB/TXXXXX—XXXX

附錄A

（資料性）

軟件供應(yīng)鏈安全風(fēng)險

A.1概述

軟件供應(yīng)鏈?zhǔn)且粋€全球分布的、具有供應(yīng)商多樣性、產(chǎn)品服務(wù)復(fù)雜性、全流程覆蓋等諸多特點的復(fù)

雜系統(tǒng)，在軟件供應(yīng)鏈各個供應(yīng)活動中均可能引入安全隱患，導(dǎo)致軟件漏洞、軟件后門、惡意篡改、假

冒偽劣、知識產(chǎn)權(quán)風(fēng)險、供應(yīng)中斷、信息泄露等安全風(fēng)險。

A.2軟件漏洞利用

隨著軟件的復(fù)雜度不斷提高，軟件產(chǎn)品內(nèi)部開發(fā)過程中產(chǎn)生的以及從上游繼承的軟件漏洞無法避

免，這些軟件漏洞可能被攻擊者利用，對軟件以及計算機系統(tǒng)造成嚴(yán)重的安全風(fēng)險。

A.3軟件后門植入

主要包括以下內(nèi)容：

a)供方預(yù)留

供方出于軟件維護的目的，在軟件產(chǎn)品中預(yù)置后門，如果預(yù)置后門被泄露，攻擊者會通過預(yù)置后門

獲得軟件或操作系統(tǒng)的訪問權(quán)限；

b)攻擊者惡意植入

攻擊者入侵軟件開發(fā)環(huán)境，污染軟件供應(yīng)鏈中的組件，劫持軟件交付升級鏈路，攻擊軟件運行環(huán)境

植入惡意后門，獲得軟件或操作系統(tǒng)的訪問權(quán)限。

A.4惡意篡改

主要包括以下內(nèi)容：

a)惡意代碼植入

在需方不知情的情況下，在軟件產(chǎn)品或供應(yīng)鏈中的組件中植入具有惡意邏輯的可執(zhí)行文件、代碼模

塊或代碼片斷。

b)開發(fā)工具植入

使用被惡意篡改的開發(fā)工具，導(dǎo)致開發(fā)的軟件或組件存在惡意代碼。

c)供應(yīng)信息篡改

在供方不知情的情況下，篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息，如銷售信息、商品信息、軟件構(gòu)成信

息等。

A.5假冒偽劣

供方提供未經(jīng)產(chǎn)品認(rèn)證、檢測的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。

A.6知識產(chǎn)權(quán)非法使用

未經(jīng)授權(quán)而生產(chǎn)、銷售、發(fā)布軟件或組件，導(dǎo)致軟件產(chǎn)品的全部或部分被泄漏到授權(quán)以外的范圍。

8

GB/TXXXXX—XXXX

如盜版軟件、違反開源許可使用的軟件、違反協(xié)議進行的二次開發(fā)等。

A.7供應(yīng)中斷

主要包括以下內(nèi)容：

a)突發(fā)事件中斷

因自然等不可抗力、政治、外交、國際經(jīng)貿(mào)等原因造成上游軟件、使用許可、知識產(chǎn)權(quán)授權(quán)的中斷。

b)不正當(dāng)競爭

軟件供方利用需方對產(chǎn)品和服務(wù)的依賴，實施不正當(dāng)競爭或損害用戶利益的行為。

A.8信息泄露

軟件供應(yīng)鏈信息被有意或無意地泄露，如軟件上游供應(yīng)商、下游需方的信息可能涉及商業(yè)秘密，供

應(yīng)鏈信息存在被泄露的風(fēng)險。

A.9開源許可違規(guī)使用

主要包括以下內(nèi)容：

a)無開源許可證

軟件產(chǎn)品發(fā)布時缺少開源許可證類型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等

許可證。

b)使用不規(guī)范

軟件產(chǎn)品發(fā)布時不符合相應(yīng)許可協(xié)議的規(guī)范和要求，包括但不限于沒有遵循開源許可證協(xié)議，開源

組件修改后許可信息丟失，存在無許可信息的開源片段代碼等。

A.10供應(yīng)鏈劫持

供應(yīng)鏈劫持是普遍存在的一種供應(yīng)鏈污染，安全風(fēng)險突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫

持、物流鏈劫持、升級劫持等。

A.11其他風(fēng)險

由于軟件供應(yīng)鏈內(nèi)外部人員、軟件供應(yīng)鏈全球性等特點帶來的風(fēng)險或挑戰(zhàn)。

A.12風(fēng)險要求對應(yīng)關(guān)系

A.2至A.11描述的風(fēng)險與安全要求條款和應(yīng)對措施間的對應(yīng)關(guān)系如表A.1所示。

9

GB/TXXXXX—XXXX

表A.1風(fēng)險要求對應(yīng)關(guān)系

序號安全風(fēng)險安全要求條款控制措施安全保護目標(biāo)

進行代碼、組件、軟件

5.1.3e)5.2.2a)

A.25.1.1a)b)c)d)漏洞檢測分析、漏洞修提升供應(yīng)活動引入

5.1.4f)g)5.2.3b)g)

1軟件漏洞5.1.2c)f)g)h)復(fù)，對于殘余漏洞風(fēng)險的技術(shù)安全風(fēng)險管

5.2.15.2.4

利用5.1.3a)d)e)提供虛擬補丁、熱補丁理能力

c)f)g)h)h)i)k)n)

更新

開展入侵檢測、操作審

A.35.1.1a)b)c)d)5.1.2c)5.2.3a)c)d)提升供應(yīng)活動引入

計等，并針對維護升級

2軟件后門5.1.2a)c)f)g)h)5.2.15.2.4的技術(shù)安全風(fēng)險管

通道進行認(rèn)證、防止控

植入5.1.3a)d)e)c)f)g)i)j)k)n)理能力

制和操作審計

5.1.1a)b)c)d)5.2.3a)e)g)提升供應(yīng)活動引入

A.45.2.1f)g)軟件完整性的校驗、防

35.1.2a)c)f)g)h)5.2.4的技術(shù)安全風(fēng)險管

惡意篡改5.2.2b)c)篡改預(yù)警等保護機制

5.1.3a)d)e)g)i)j)k)l）理能力

5.1.1a)b)c)d)5.2.1f)5.2.3g)明確相關(guān)測評要求，并提升供應(yīng)活動引入

A.5

45.1.2a)c)f)g)h)5.2.2b)c)d)5.2.4在軟件交付時進行相應(yīng)的技術(shù)安全風(fēng)險管

假冒偽劣

5.1.3a)d)e)g)f)i)j)l)n）的安全檢查和審核理能力

A.65.1.1a)b)c)d)5.1.55.2.3d)h)i)明確相關(guān)知識產(chǎn)權(quán)要提升軟件供應(yīng)鏈數(shù)

5知識產(chǎn)權(quán)5.1.2c)e)f)g)h)a)b)c)d)5.2.4求，并在交付時進行相據(jù)安全風(fēng)險管理能

非法使用5.1.3a)d)e)5.2.1e)c)d)i)j)k)應(yīng)的安全檢查和審核力

5.1.1a)b)c)d)5.1.4a)-h)

A.75.1.2b)f)g)h)5.2.15.2.3a)b)c)提升軟件產(chǎn)品或服

建立供應(yīng)商安全預(yù)警、

6供應(yīng)中斷5.1.3a)d)e)b)h)i)5.2.4務(wù)中斷供應(yīng)等風(fēng)險

冗余等機制

5.1.4a)b)c)d)5.2.2d)f)a)e)i)m)n)管理能力

5.2.1b)

5.2.3

在數(shù)據(jù)采集、傳輸、存

5.1.1a)b)c)d)5.1.4d)f)e)h)i)提升軟件供應(yīng)鏈數(shù)

A.8儲及運維中進行認(rèn)證、

75.1.2a)c)f)g)h)e)f）g)5.2.4據(jù)安全風(fēng)險管理能

信息泄露加密、水印、脫敏等數(shù)

5.1.3a)d)e)5.2.1d)d)j)k)l)n)力

據(jù)安全管控。

5.2.5c)d)f)

A.9對開源組件使用許可協(xié)提升供應(yīng)活動引入

5.1.1a)b)c)d)5.2.2

8開源許可5.2.3h)i)議情況進行檢測并提供的技術(shù)安全風(fēng)險管

5.1.3a)d)e)a)-h)

違規(guī)使用相應(yīng)的評估說明理能力

對供應(yīng)鏈上游環(huán)境安全

A.105.2.1g)h)進行相應(yīng)的評估和加提升軟件產(chǎn)品或服

5.1.1a)b)c)d)5.2.4

9供應(yīng)鏈劫5.2.3固；軟件運維升級通道務(wù)中斷供應(yīng)等風(fēng)險

5.1.3a)d)e)a)c)f)h)i)m)

持a)c)d)e)f)進行身份認(rèn)證、傳輸加管理能力

密及訪問控制

提升軟件產(chǎn)品或服

務(wù)中斷供應(yīng)等風(fēng)險

5.1.1a)5.2.15.2.3a)管理能力、供應(yīng)活

A.11加強機構(gòu)職責(zé)、制度建

105.1.2a)d)f)g)h)a)d)f)5.2.4k)m)n)動引入的技術(shù)安全

其他風(fēng)險設(shè)防范多種風(fēng)險

5.1.3b)c)5.2.2e)5.2.5a)b)e)風(fēng)險管理能力、數(shù)

據(jù)安全風(fēng)險管理能

力

10

GB/TXXXXX—XXXX

附錄B

（資料性）

軟件構(gòu)成圖譜

B.1內(nèi)容簡介

軟件構(gòu)成圖譜包含軟件物料清單和安全風(fēng)險兩方面內(nèi)容。其中，軟件物料清單是指軟件在開發(fā)過程

中所采用的所有組件、許可協(xié)議、知識產(chǎn)權(quán)、軟件供應(yīng)鏈基礎(chǔ)設(shè)施等元素相關(guān)信息及其供應(yīng)鏈上下游依

賴關(guān)系以及相關(guān)證明材料的集合；安全風(fēng)險是指軟件物料清單中的組件、代碼、軟件供應(yīng)鏈基礎(chǔ)設(shè)施中

存在的附錄A中的風(fēng)險等元素及相關(guān)的安全檢測評估報告的集合。軟件構(gòu)成圖譜通常由供方提供，或

者由第三方機構(gòu)生成，其作用是通過軟件物料清單中的信息與安全風(fēng)險的精確關(guān)聯(lián)，增強軟件供應(yīng)鏈的

可追溯性、可審計性。

B.2主要元素

根據(jù)軟件構(gòu)成圖譜中各元素所屬范圍不同，所有元素可以劃分為兩類，分別是軟件物料清單、安全

風(fēng)險。其中，軟件物料清單包括物料清單信息、軟件基本信息、組件基本信息和相關(guān)說明材料4個二級

分類；安全風(fēng)險包括安全風(fēng)險信息和安全測評2個二級分類。詳細(xì)分類信息參考表B.1。

表B.1軟件構(gòu)成圖譜主要元素列表

一級分類二級分類元素名稱說明

唯一標(biāo)識物料清單的唯一標(biāo)識

生成階段軟件供應(yīng)鏈活動、過程

物料清單信息

時間戳生成時間

生成方供方或第三方機構(gòu)

軟件名稱官方發(fā)布的軟件名稱

軟件唯一標(biāo)識唯一標(biāo)識

軟件基本信息軟件版本官方發(fā)布的版本信息

(軟件1、軟件2、……)軟件來源軟件供方

軟件物料清單軟件供應(yīng)鏈基礎(chǔ)設(shè)施參考術(shù)語定義3.6

引入組件數(shù)量開源、第三方、自主研制

組件名稱組件名稱

組件唯一標(biāo)識唯一標(biāo)識

組件版本官方發(fā)布的版本信息

組件基本信息

組件來源組件的獲取地址

(組件1、組件2、……)

組件依賴關(guān)系直接引用或間接引用

組件調(diào)用位置組件的使用位置

知識產(chǎn)權(quán)開源許可協(xié)議、專利等

11

GB/TXXXXX—XXXX

表B.1（續(xù)）

一級分類二級分類元素名稱說明

組件分析證明

軟件物料清單技術(shù)報告組件測評報告

(組件1、組件2、……)

軟件漏洞附錄A.2

軟件后門附錄A.3

惡意篡改附錄A.4

假冒偽劣附錄A.5

知識產(chǎn)權(quán)附錄A.6

安全風(fēng)險信息

安全風(fēng)險供應(yīng)中斷附錄A.7

信息泄露附錄A.8

開源許可附錄A.9

供應(yīng)鏈劫持附錄A.10

其他附錄A.11

安全測評測評報告正文提到的各類測評報告

B.3軟件構(gòu)成圖譜元素關(guān)系

在軟件供應(yīng)鏈中，組織的軟件構(gòu)成圖譜可以準(zhǔn)確表達(dá)軟件、組件及安全風(fēng)險之間的關(guān)系。軟件的安

全風(fēng)險主要是源于自身安全風(fēng)險和直接/間接引用存在安全風(fēng)險的組件。組件的安全風(fēng)險源于自身安全

風(fēng)險或者其依賴組件的安全風(fēng)險。組織中軟件與軟件之間利用引用的相同組件能夠?qū)崿F(xiàn)軟件構(gòu)成圖譜的

連接，不斷擴大圖譜規(guī)模。因此，組織一旦發(fā)現(xiàn)軟件供應(yīng)鏈安全風(fēng)險，可通過軟件構(gòu)成圖譜快速實現(xiàn)軟

件供應(yīng)鏈安全風(fēng)險定位。軟件構(gòu)成圖譜元素關(guān)系如圖B.1.所示。

名稱安全漏洞

軟件

唯一標(biāo)識1存在軟件后門

直接引用間接引用存在安

組全

件來源供應(yīng)鏈中斷

存在威

基存在

引用方式組件組件脅

本存在惡意篡改信

信存在

是否開源直接引用直接引用息

息軟件信息泄露

2

軟直接引用

件

物

料間接引用組件

名稱

清

單

唯一標(biāo)識間接引用引用引用引用

軟引

件軟件來源用

基組件組件方

本版本式

信軟件

物料清單基n

息間接引用引用引用引用

本信息

組件組件

圖B.1軟件構(gòu)成圖譜元素關(guān)系圖

12

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T32921—2016信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則

[2]GB/T36475—2018軟件產(chǎn)品分類

[3]GB/T37970—2019軟件過程及制品可信度評估

[4]ISO28001Securitymanagementsystemsforthesupplychain–Bestpracticesfor

implementingsupplychainsecurity,assessmentsandplans–Requirementsandguidance

[5]ISO/IEC27036—2Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part2:Requirements

[6]ISO/IEC27036—3Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part3:Guidelinesforinformationand

communicationtechnologysupplychainsecurity

[7]NIST800—161SupplyChainRiskManagementPracticesforFederalInformationSystems

andOrganizations

13

GB/TXXXXX—XXXX

目次

前言..................................................................................II

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語和定義...........................................................................1

4軟件供應(yīng)鏈風(fēng)險管理目標(biāo)...............................................................2

5安全要求.............................................................................3

5.1組織管理.........................................................................3

5.1.1機構(gòu)管理.....................................................................3

5.1.2制度管理.....................................................................3

5.1.3人員管理.....................................................................4

5.1.4供應(yīng)商管理...................................................................4

5.1.5知識產(chǎn)權(quán)管理.................................................................4

5.2供應(yīng)活動管理.....................................................................4

5.2.1軟件采購.....................................................................4

5.2.2外部組件管理.................................................................5

5.2.3軟件交付.......................................