TISC 0044-2024 軟件供應(yīng)鏈安全要求

T/ISC0044—2024Requirementforsoftwar中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布1 2 3 3 3 3 3 3 34軟件供應(yīng)鏈安全體系模型 3 4 4 4 45.4過(guò)程管理（軟件全生命周期） 5 5 5 5 5 6 6 6 6 7 7 72本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本標(biāo)準(zhǔn)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)歸口。本文件起草單位：中國(guó)信息通信研究院、深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司、揚(yáng)州數(shù)安技術(shù)有限公司、北京風(fēng)行網(wǎng)安科技有限公司、中國(guó)石油昆侖數(shù)智科技有限責(zé)任公司、中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司、中國(guó)電力科學(xué)研究院有限公司、中國(guó)民航信息網(wǎng)絡(luò)股份有限公司、中國(guó)經(jīng)濟(jì)信息社、中建數(shù)字科技有限公司、OpenSDV汽車軟件開(kāi)源聯(lián)盟、北京智精靈科技有限公司、四川賽闖檢測(cè)股份有限公司、成都信息工程大學(xué)、網(wǎng)宿科技股份有限公司、仁壽智仁智慧科技有限公司、四川仁恒智合科技有限公司、江蘇大道云隱科技有限公司。本文件主要起草人：蔣阿芳、馬英軒、樊可欣、王頡、菅志剛、王曉龍、郭治文、張志強(qiáng)、滕征岑、張嵩、孫忠偉、肖秀琴、易興輝、劉玲、繆思薇、周亮、左海峰、楊京煜、王宇、翟冬梅、吳新麗、王勇、王一村、段柯欣、賈大偉、滕召智、梁堯、張坤、方建康、周瓊、馮麗、袁麗、黃莎琳、呂士表、楊志偉、廖敏飛、黨杜均、鄧恒、黃圣超。3軟件供應(yīng)鏈安全要求本文件規(guī)定了的軟件供應(yīng)鏈安全要求。適用于信息技術(shù)產(chǎn)品研發(fā)的組織機(jī)構(gòu)對(duì)自身的軟件供應(yīng)鏈安全的建設(shè)、評(píng)估和改進(jìn)，適用于第三方開(kāi)展軟件供應(yīng)鏈安全下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)GB/T36637—2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。括開(kāi)發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)，劃分為協(xié)商、生產(chǎn)、交付4軟件供應(yīng)鏈安全體系模型4漏洞管理漏洞管理使用環(huán)境安全配置軟件制品安全管理開(kāi)發(fā)測(cè)試環(huán)境安全配置配套文檔記錄及管理開(kāi)源組件合規(guī)管控安全發(fā)布運(yùn)維安全測(cè)試驗(yàn)證安全編碼開(kāi)發(fā)安全需求設(shè)計(jì)過(guò)程管理人員管理管理制度組織機(jī)構(gòu)5c)定期（至少每半年一次）開(kāi)展軟件供應(yīng)鏈安d)應(yīng)建立并執(zhí)行離職離崗人員賬號(hào)、權(quán)限、材料的交接和清5.4過(guò)程管理（軟件全生命周期）a)應(yīng)對(duì)軟件的需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、部署、維護(hù)、廢止等各階段進(jìn)行安全過(guò)程h)應(yīng)建立安全廢止流程，對(duì)軟件的廢止要測(cè)試環(huán)境以及運(yùn)行環(huán)境中的軟件程序包、配置6.1安全需求設(shè)計(jì)c)應(yīng)組織安全需求評(píng)審，并持續(xù)維護(hù)安全需求，在需求變更等情況時(shí)重新g)應(yīng)持續(xù)維護(hù)安全設(shè)計(jì)，在重構(gòu)、更改業(yè)務(wù)邏輯6.2安全編碼開(kāi)發(fā)安全、代碼生成安全、內(nèi)存管理、數(shù)據(jù)庫(kù)管理、文件管理、網(wǎng)絡(luò)傳輸、安全的編d)應(yīng)在編譯最終制品時(shí)關(guān)閉不必要的選項(xiàng)6.3安全測(cè)試驗(yàn)證b)應(yīng)針對(duì)安全需求編寫測(cè)試用例并執(zhí)行安全測(cè)試；6d)應(yīng)對(duì)軟件的代碼、開(kāi)源組件、APIe)應(yīng)開(kāi)展代碼評(píng)審、代碼檢測(cè)、代碼走查，識(shí)別并修f)應(yīng)開(kāi)展開(kāi)源組件安全合規(guī)檢查，識(shí)別并修復(fù)開(kāi)源組件的安全漏洞和開(kāi)源許可證g)應(yīng)將發(fā)現(xiàn)的安全漏洞收錄到內(nèi)部漏洞庫(kù)中，并執(zhí)行后續(xù)的漏洞管h)應(yīng)具備主要安全基線的自動(dòng)測(cè)試能6.4安全發(fā)布運(yùn)維b)應(yīng)定期檢查軟件運(yùn)行環(huán)境配置安全，不符合安全要求的配置應(yīng)及時(shí)修改；6.5開(kāi)源組件合規(guī)管控a)應(yīng)選用不含安全漏洞（中危以上級(jí)別）的開(kāi)源組件和開(kāi)b)應(yīng)選用不存在許可證授權(quán)沖突的開(kāi)源組件和開(kāi)源代碼，避免因此導(dǎo)致的法律風(fēng)險(xiǎn)；c)應(yīng)選用有替代品的開(kāi)源組件和開(kāi)源代碼，防止停e)應(yīng)對(duì)所有需要使用的開(kāi)源組件和開(kāi)源代碼進(jìn)行安全漏洞檢測(cè)，然后收錄到軟件資產(chǎn)庫(kù)集中管6.6配套文檔記錄及管理b)應(yīng)在文檔中記錄時(shí)間、相關(guān)單位及負(fù)責(zé)人、主要內(nèi)容，并加蓋公章；c)應(yīng)對(duì)關(guān)鍵文檔進(jìn)行管理，控制文檔的流轉(zhuǎn)、存儲(chǔ)d)應(yīng)對(duì)涉密文檔設(shè)置權(quán)限，未授權(quán)人員不應(yīng)獲得、閱讀、修6.7開(kāi)發(fā)測(cè)試環(huán)境安全配置b)應(yīng)對(duì)開(kāi)發(fā)環(huán)境網(wǎng)絡(luò)和測(cè)試環(huán)境網(wǎng)絡(luò)執(zhí)行權(quán)限訪問(wèn)控制，未授權(quán)人員不得訪問(wèn)開(kāi)發(fā)環(huán)境；c)應(yīng)關(guān)閉開(kāi)發(fā)環(huán)境和測(cè)試環(huán)境各軟硬件系統(tǒng)中的常見(jiàn)高危端口或服務(wù)，并配置數(shù)據(jù)讀寫安全模7e)應(yīng)建立軟件資產(chǎn)庫(kù)，軟件資產(chǎn)庫(kù)至少包括源代碼庫(kù)、開(kāi)源組6.8軟件制品安全管理b)應(yīng)對(duì)軟件制品進(jìn)行惡意代碼、腳本、病毒蠕蟲(chóng)木馬等掃描；e)應(yīng)對(duì)所有軟件制品定期進(jìn)行檢查，將檢出的漏洞收錄至安全漏洞庫(kù)，f)應(yīng)對(duì)軟件制品中引用的開(kāi)源許可證進(jìn)行檢查，避免因此導(dǎo)致j)應(yīng)對(duì)軟件的發(fā)布環(huán)境進(jìn)行安全管控和安全加固，防止軟件發(fā)布環(huán)境被攻擊而導(dǎo)致發(fā)布的軟件6.9使用環(huán)境安全配置b)應(yīng)關(guān)閉使用環(huán)境各軟硬件系統(tǒng)中的常見(jiàn)高危端口或服務(wù)，例如22端口、23端口、80端口等；c)應(yīng)在重要或核心業(yè)