GB/T 43698-2024
基本信息
标准号: GB/T 43698-2024
中文名称:网络安全技术 软件供应链安全要求
标准类别:国家标准(GB)
英文名称:Cybersecurity technology—Security requirements for software supply chain
标准状态:现行
发布日期:2024-04-25
实施日期:2024-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:6360152
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:24页
标准价格:43.0
相关单位信息
起草人:李守鹏 王欣 王晓萌 王惠莅 薛勇波 吴润浦 林星辰 曾晋 上官晓丽 王嘉捷 万振华 陈冬青 沈蕾 辛伟 唐福宇 董国伟 常远 崔静 叶润国 高金萍 杨慧婷 吴倩 翟艳芬 董军平 王颉 张屹 滕征岑 邱林海 邓辉 郑明 李汝鑫 谢江 张大江 刘磊 梁利 陈靓 廖毅 柴思跃 宋桂香 申永波 等
起草单位:中国信息安全测评中心、中国电子技术标准化研究院、华为技术有限公司、国家计算机网络应急技术处理协调中心、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、诺基亚通信系统技术(北京)公司、奇安信网神信息技术(北京)股份有限公司、深信服科技股份有限公司等
归口单位:全国网络安全标准化技术委员会(SAC/TC 260)
提出单位:全国网络安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。
本文件适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,供主管监管部门参考使用。
标准图片预览
标准内容
ICS35.030
CCSL 80
中华國人民共和国国家标准國
43698—2024
网络安全技术
软件供应链安全要求,
Cybersecurity technology-Security requirements for software supply chain2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
GB/T43698—2024
2规范性引用文件
3术语和定义
软件供应链安全目标
软件供应链安全保护框架
6软件供应链安全风险管理要求
基本流程
软件供应链安全图谱
软件供应链安全风险评估
软件供应链安全风险处置
需方安全要求
组织管理
供应活动管理
供方安全要求
组织管理
供应活动管理
附录A(资料性)软件供应链安全概述附录B(资料性)关键软件资产
附录C(资料性)组织业务场景分类附录D(资料性)
软件供应链安全图谱
参考文献
GB/T43698—2024
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国信息安全测评中心、中国电子技术标准化研究院、华为技术有限公司、国家计算机网络应急技术处理协调中心、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、诺基亚通信系统技术(北京)公司、奇安信网神信息技术(北京)股份有限公司、深信服科技股份有限公司、国网新疆电力有限公司电力科学研究院、麒麟软件有限公司、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心黑龙江分中心、深圳开源互联网安全技术有限公司、昆仑数智科技有限责任公司、联想(北京)有限公司、浪潮电子信息产业股份有限公司、中国网络安全审查技术与认证中心、杭州默安科技有限公司、北京天融信网络安全技术有限公司、三六零数字安全科技集团有限公司、长扬科技(北京)有限公司、上海观安信息技术股份有限公司、北京奇虎科技有限公司、北京快手科技有限公司、云从科技集团股份有限公司、国网区块链科技(北京)有限公司、国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限公司、北京大学、启明星辰信息技术集团股份有限公司、瀚高基础软件股份有限公司、北京威努特技术有限公司、蚂蚁科技集团股份有限公司、中国信息通信研究院、中电长城网际安全技术研究院(北京)有限公司、北京安普诺信息技术有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、北京中科微澜科技有限公司、OPPO广东移动通信有限公司、公安部第一研究所、中国科学院软件研究所、阿里云计算有限公司、湖南泛联新安信息科技有限公司、北京中测安华科技有限公司、中国科学院信息工程研究所、苏州棱镜七彩信息科技有限公司、新华三技术有限公司、工业和信息化部电子第五研究所、北京源堡科技有限公司、北京人大金仓信息技术股份有限公司、上海大学、西安邮电大学、沈阳东软系统集成工程有限公司、中国电子科技集团公司第十五研究所、远江盛邦(北京)网络安全科技股份有限公司、上海文螺信息科技有限公司。本文件主要起草人:李守鹏、王欣、王晓萌、王惠莅、薛勇波、吴润浦、林星辰、曾晋、上官晓丽、王嘉捷、万振华、陈冬青、沈蕾、辛伟、唐福宇、董国伟、常远、崔静、叶润国、高金萍、杨慧婷、吴倩、翟艳芬、董军平、王、张屹、滕征岑、邱林海、邓辉、郑明、李汝鑫、谢江、张大江、刘磊、梁利、陈靓、廖毅、柴思跃、宋桂香、申永波、孟瑾、白晓媛、孔耀晖、沈锡铺、杨剑、孙世国、李娜、王聪、赵华、韩煜、落红卫、武延军、张亚京、李军、张立、王栋、温婷婷、陈亮、查海平、高庆、姚叶鹏、赵军凯、冯明再、王春霞、刘健、李汪蔚、林飞、宁戈、张涛、袁明坤、杨廷锋、王琦、王玮琪、杨牧天、李跃、李腾、万娟、吴敬征、王振远、刘井强、肖扬、梁大功、万晓兰、蔡一兵、梁露露、赵晓晖、彭晨、杨毅、张勇、冯全宝、程岩、聂万泉、付艳艳、霍珊珊、刘洋、王晶、权晓文、周浩威,
1范围
网络安全技术软件供应链安全要求GB/T43698—2024
本文件确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求
本文件适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,供主管监管部门参考使用。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
25069—2022信息安全技术术语
36637一2018信息安全技术ICT供应链安全风险管理指南3术语和定义
25069—2022和GB/T36637—2018界定的以及下列术语和定义适用于本文件。GB/T
软件产品softwareproduct
计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。
注1:软件产品包含计算机程序代码、规程、相关数据、文档和相关服务注2:本文件中软件产品简称为软件。[来源:GB/T36475—2018,3.1.1,有修改】3.2
softwareproductinformation
软件产品信息
软件产品版本、标识、来源、授权以及关联软件等信息的总称3.3
需方acquirer
从其他组织获取软件产品的组织。注:本文件中需方指软件产品的购买者和使用者。[来源:GB/T36637—2018,3.1,有修改]3.4
supplier
开展软件产品开发、交付、运维、废止等生命周期活动的组织。注1:本文件中供方指需方的第一级(直接)供应商;此外,还包括软件产品的开发商、各级销售和代理商、系统集成商,也包括软件或应用商店、代码托管平台、第三方下载站点以及基于开源代码提供软件产品的组织等。注2:开放源代码社区本身不是供方。GB/T43698—2024
注3:供方与需方共同决定软件产品的生命周期结束时间。3.5bzxZ.net
供应关系
supplier relation
需方(3.3)和供方(3.4)之间为开展业务、提供软件产品而建立的协议、合同等契约关系。注:在供应链中,上游的需方同时也是下游的供方。[来源:GB/T36637—2018,3.3,有修改
供应活动
supplyactivity
需方(3.3)和供方(3.4)为维持日常生产基于供应关系(3.5)进行的软件采购、开发、获取、交付、运维、废止等活动的总称。
software supplychain
软件供应链
需方和供方基于供应关系(3.5),开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。
[来源:GB/T36637—2018,3.4,有修改】3.8
软件物料清单softwarebillofmaterials软件产品中所包含的所有组件、相关许可协议的清单,以及所有组件之间依赖关系的描述。3.9
软件供应链安全图谱softwaresupplychainsecuritygraph软件产品信息(3.2)、软件物料清单(3.8)、安全信息等内容及其关联关系的描述和表示。注:一般以文本形式存储,支持通过知识图谱方式展示。3.10
开放源代码社区
open sourcecommunity
用于开源代码和数据开发、维护的一种工程组织和运作方式。注:开放源代码社区也称开源社区或开源代码社区,3.11
外部组件
externalcomponent
由供方以外的组织或人员开发的程序代码、文档或数据,通常是由二进制程序文件或者源代码程序文件构成
注:外部组件包括软件中使用的开源组件和第三方组件。4软件供应链安全目标
软件供应链安全目标是建立软件供应链安全风险管理能力体系并持续改进,增强软件供应链安全风险管理、组织管理和供应活动管理能力,防范软件供应链中的供应关系风险(例如:软件供应中断、软件功能受限、软件服务降级等),防范供应活动引入的技术安全风险和知识产权风险(例如:软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行5软件供应链安全保护框架
基于软件供应链模型、软件供应链实体角色分析和软件供应链安全构成(见附录A),确立了软件供应链安全保护框架。该框架规定了供需双方(即“组织”)的软件供应链安全风险管理要求,并从组织管2
理和供应活动两个方面规定了需方安全要求和供方安全要求,如图1所示。软件供应链安全风险售理要求
基本流程
软件供应链安全图谐
软件供应链安全风险评估
软件供应链安全风险处置
图1软件供应链安全保护框架
6软件供应链安全风险管理要求
6.1基本流程
基本流程对组织要求如下。
GB/T43698—2024
a)应确定软件供应链风险管理的目标及策略,按照第7章、第8章安全要求建设软件供应链组织管理和供应活动管理能力。
b)应识别软件资产,梳理一般软件资产和关键软件资产(见附录B),按照6.2的要求构建软件供应链安全图谱。
应确定软件供应链风险管理的对象、范围和边界,包括但不限于软件、环境及工具、外部组c)
件等。
d)应依据软件供应链安全图谱等建立组织管理、供应活动管理等方面的供应链安全信息采集和跟踪机制。
应定期或基于安全需求开展软件供应链安全检测和风险评估,依据上述结论采取相应的供应e)
链风险防范、风险缓解或风险消除措施。f)应定期或根据实际业务需要开展软件供应链安全要求执行情况的监督检查,研判a)~e)的有效性,并根据研判结果进行调整6.2软件供应链安全图谱
软件供应链安全图谱对组织要求如下。a)应根据不同类别的业务场景(见附录C)确定软件供应链安全图谱的等级,并清晰准确地构建软件供应链安全图谱(见附录D):1)一般业务场景中构建的软件供应链安全图谱,应至少包含软件产品信息;2)
重要业务场景中构建的软件供应链安全图谱,应包含1)中信息以及软件来源信息、软件组件成分信息、组件漏洞信息、合规信息等;核心业务场景中构建的软件供应链安全图谱,应至少包含2)中信息,宜包含软件部署和3)
运行所依赖的其他软件产品信息。b)应定期(至少每年一次)或软件发生重要更新时,及时更新维护软件供应链安全图谱。c)应将软件供应链安全图谱作为重要资产管理,采取相应安全保护措施,防止软件供应链安全图GB/T43698—2024
谱泄露。
6.3软件供应链安全风险评估
软件供应链安全风险评估对组织要求如下。a)应按照GB/T36637一2018中6.3风险评估流程,定期开展软件供应链安全风险评估,识别现有或预计产生的组织管理和供应活动管理相关的安全风险,重点关注以下安全风险:1)发行版本或升级补丁停止交付或部署;2
供方提供的服务部分或完全中断:3)激活等软件授权措施受影响导致软件功能降级或服务能力受限:供应活动在软件中引入的安全风险破坏发行版本或升级补丁的完整性、安全性和合规性4
b)应对a)的影响进行研判,至少对如下问题做出明确结论:1)是否会影响到现有系统的正常安全运行,以及影响范围的大小:是否会影响到现有系统的日常维护工作,如:故障排查、故障部件更换、安全事件处置等;2)
3)是否会影响到系统的重新部署、备份、迁移、升级、扩容等工作。6.4软件供应链安全风险处置
需方应满足第7章安全要求,供方应满足第8章要求,以防范6.3a)中的安全风险或缓解6.3b)中的影响。
7需方安全要求
7.1组织管理
7.1.1机构管理
机构管理对需方要求如下。
应明确软件供应链安全管理组织机构或人员及其职责范围,提供保障软件供应链安全所需的a)
资源(如有关资金、场地、人力等),并在预算管理过程中予以重点考虑。b)应组织构建并管理软件供应链安全图谱,定期(至少每年一次)开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作,包括但不限于软件成分分析、源代码和二进制代码安全漏洞分析和6.3等。
c)应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。d)对于重要或核心业务场景,宜设立专职软件供应链管理机构开展软件供应链安全管理工作。7.1.2制度管理
制度管理对需方要求如下。
a)应确定软件供应链安全的总体方针、安全制度和策略(可作为单独的文件,也可作为相关文件中的一部分),至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b)
应制定软件供应链安全风险持续监测、风险评估和事件响应制度,明确不同等级安全事件的报告、处置、响应的流程和机制,规定安全事件的现场处理、事件报告和后期恢复等要求。应制定软件采购、获取、运维、废止等供应活动安全管理制度,例如安全开发、交付部署和验收、c)厂
故障处理和维护升级等管理制度、规程或机制。d)应将软件供应链安全相关内容应纳入人员管理制度,例如人员权限、能力、资质、背景、技能培训等;对于重要岗位人员(如采购人员、安全测试人员、配置管理人员、漏洞管理人员等)应明确4
并开展背景审查工作的要求。
GB/T43698—2024
应制定供应商管理制度,包括但不限于供应商资质审核、供应商分类分级、供应商不良行为处e)
理等。
f)应制定知识产权管理制度,包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。7.1.3人员管理
人员管理对需方要求如下。
应明确人员需具备的软件供应链实体要素的识别和安全分析能力,如软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。b)应划分人员的职责定位、权限级别,采用最小授权机制并建立操作规范,创建操作日志。c)应定期(至少每年一次)开展软件供应链安全和保密培训,培训内容包括但不限于a)和b)中涉及的内容。
d)应建立并执行离职离岗人员账号、权限、材料的交接和清理机制和规程。e)对于核心业务场景,宜配置软件供应链安全保障团队,并根据需要开展相关人员的背景调查。对于核心业务场景,宜具备防范各类软件供应链安全风险能力,例如软件供应链恢复、未知安f
全漏洞分析、软件持续供应能力分析等。7.1.4供应商管理
供应商管理对需方要求如下。
a)应分类分级建立合格的供应目录,对供应目录及相关信息进行集中管理,并定期或按照实际需求进行更新维护。
b)应优先选择供应目录中满足条件的供应商。根据软件供应链中供应关系、供应活动的不同,供应商应符合8.2的安全要求。c)
d)应制定供应商选择策略和制度,对供应商进行风险分析,包括但不限于背景、资质、能力以及能否持续安全提供产品或服务等方面的风险应要求供方开展软件供应链安全检测和风险评估工作,明确相关内容和范围;确需第三方机构e)
的,应明确对第三方机构的能力、资质等要求。f)
应要求供方配合相关部门开展软件供应链安全审查、监督和检查。应在供应关系、供应商股权等信息发生变更时,对变更带来的安全风险进行评估,并采取相应g)厂
的风险控制措施。
h)应建立供应商替代方案或具备相应软件的自主维护能力,防范软件供应链中断风险,7.1.5知识产权管理
知识产权管理对需方要求如下。a)应防止因知识产权问题导致的法律风险,或具备防范相应法律风险的能力和机制。应充分熟悉所使用或在研软件产品和服务的知识产权,对知识产权进行规范管理,防止侵权b)
在核心业务场景中,宜对所使用的软件产品或服务相关的国内外知识产权情况进行详细识别c)
分析,建立相关知识产权风险的应对方案,7.2供应活动管理
7.2.1基本流程
基本流程对需方要求如下。
GB/T43698—2024
应在开展供应活动前,以协议、合同等方式与供方建立供应关系。a)
b)应在协议、合同等文件中明确对供应活动的安全要求,并签署相应的保密协议。应按照约定的内容和范围开展软件供应活动管理。c)
软件采购
软件采购对需方要求如下。
应邀请软件供应链安全、网络空间安全等领域专家(或具备相应网络空间安全能力的评标人a)
员)参与招标采购过程。
应结合软件应用的实际业务场景,明确对软件供应链安全图谱的要求;需要供方提供软件供应链安全图谱的应明确图谱的内容,如安全图谱的等级、可追溯层级等。c)
应根据国家和行业已发布标准以及自身业务要求制定软件的安全需求基线和防护架构,如软件应具备的安全防护能力、保护个人信息和重要数据等不被泄露的能力。d)应确定所采购软件的授权使用期限及相应的技术协助要求,在授权方式可选的条件下,明确软件的激活、授权需求,优先选择离线永久激活模式,其次是完全在国内线上永久激活,再次是完全在国内实现的周期性线上激活、国外线上激活(永久或周期性)。应制定从多个源厂商获得兼容的产品和服务的方案,确保软件来源的多样性。对于单一来源e)
的软件,应制定风险消减措施。f)
对于定制研发软件,应要求供方具备安全开发相关资质或建立安全开发规范,建立和维护安全的开发环境、建立工具和设备的安全管理和准入控制等。应要求供方提供验证产品是否来自原厂商且获得许可的途径或方法。g)
应明确对运维技术团队及相应技术能力的要求,包括但不限于风险监测识别、漏洞修复、完整h)
性保护、安全测试等。
应要求软件开发、交付、部署、测试等工具和设备具备可操作的替代方案。应考虑政治、外交、贸易、自然灾害、公共安全事件等不可抗力导致供应中断时的可替代策略。应明确软件供应链安全检测和风险评估的范围,例如软件资产识别、源代码和二进制代码安全k)
漏洞分析、软件成分分析等:涉及第三方机构的应明确第三方机构的资质能力。7.2.3软件获取
软件获取对需方要求如下。
应对软件进行端到端的完整性验证。a)
应对所获取软件进行全面安全检测和风险评估,例如源代码安全漏洞分析、二进制代码安全漏b)
洞分析、容器镜像安全分析、软件成分分析和6.3等,确保所获取软件符合约定的安全要求,c)
应确保获取的软件不存在已公开漏洞未修复的情况;对于存在已公开漏洞未修复的,应要求供方及时修复或采取相应缓解措施,并提供漏洞处置报告d)对于定制研发软件,宜掌握关键软件、组件的代码结构和技术原理;对于需要二次开发、独立维护的应获取软件源代码和相关知识产权的授权,并要善保管。e)对于定制研发软件,应要求厂商提供软件相关技术资料,包括但不限于中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制,软件使用说明书、技术分析报告等技术资料。注1:技术分析报告包括但不限于源代码、二进制代码、组件等供应链安全分析报告。注2:软件技术资料中设置声明条款,说明采购第三方软件、开源限制性、知识产权等情况。7.2.4软件运维
软件运维对需方要求如下。
a)应确定运维方案,包括运维团队、运维内容和范围、运维流程等内容。GB/T43698—2024
应确保软件及运行环境持续稳定可用,保障软件完整性和访问控制策略正常。b)
应建立可追潮台账,对软件产品或服务整个使用过程进行记录、检测和维护,及时更新维护软件供应链安全图谱。
d)应将软件作为组织资产进行管理,保障软件安装、升级维护时从安全可控的渠道获取软件安装包、升级包、补丁包,并开展相应的可用性、安全性及完整性检测分析,在确保符合要求后进行软件安装、更新升级,并同步更新相关配置。e)
应在约定的环境中使用软件,对软件及其运行环境进行安全配置,并记录相关信息。应明确运维人员的访问权限级别,对其访问范围和授权期限进行严格区分,确定不同权限人员f
尤其是厂商、外包等非自有维护人员,开展软件运维的内容和边界。应对授权期限进行管理,禁止使用超过授权使用期限或维保期限的软件;确需使用的应定期评g
估并处置其安全风险。
h)应对软件运维工具、运维环境等进行安全检测和风险评估,及时发现并处置软件中断供应、停止授权、停止提供产品升级等供应关系风险,漏洞、后门等技术安全风险以及知识产权风险。应收集软件供应链的安全风险信息,发现安全缺陷、漏洞等风险时,应当立即采取补救措施,并按照规定及时向有关主管监管部门报告。应依据实际业务场景的业务连续性和灾难恢复计划,制定可接受的恢复时间和恢复目标,并确j
定防范供应中断和服务中断等风险的安全策略。应开展软件供应链相关范围内的数据安全检测分析和风险评估等工作,防止因软件漏洞引起k)
的信息泄露、数据泄露、篡改和损毁等安全事件发生。应对软件外联网络地址、域名数据等进行检测和分析,及时发现产品后门植入、擅自提高权限1)
等违规操作。
7.2.5软件废止
软件废止对需方要求如下。
应制定软件废止处理规程,例如软件停用和卸载、软件供应链安全图谱归档、信任关系清除以a)
及数据备份、迁移和销毁等,并按照规程开展相应工作。b)应移除准入控制措施和策略中与所废止软件相关的信息,例如软件、人员、设备等要求和规则;对于不适合清除的应制定相应的控制措施和策略。c)应具备软件废止后防止软件泄露、数据泄露的安全保障能力。d)对于软件产品废止并替换为新产品的,应要求新产品的供方支持数据迁移到新的软件产品。e
涉及数据销毁的,宜参照GB/T37988一2019中第11章的要求进行数据销毁、防止对存储的数据进行修复而导致的数据泄露风险。废止工作完成后应进行安全检测,确保除例外的要求和规则外,软件及其相关信息被完全f)
废止,
8供方安全要求
组织管理
8.1.1机构管理
机构管理对供方要求如下。
a)应明确软件供应链安全管理组织机构或人员及其职责范围,提供保障软件供应链安全所需的
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSL 80
中华國人民共和国国家标准國
43698—2024
网络安全技术
软件供应链安全要求,
Cybersecurity technology-Security requirements for software supply chain2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
GB/T43698—2024
2规范性引用文件
3术语和定义
软件供应链安全目标
软件供应链安全保护框架
6软件供应链安全风险管理要求
基本流程
软件供应链安全图谱
软件供应链安全风险评估
软件供应链安全风险处置
需方安全要求
组织管理
供应活动管理
供方安全要求
组织管理
供应活动管理
附录A(资料性)软件供应链安全概述附录B(资料性)关键软件资产
附录C(资料性)组织业务场景分类附录D(资料性)
软件供应链安全图谱
参考文献
GB/T43698—2024
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国信息安全测评中心、中国电子技术标准化研究院、华为技术有限公司、国家计算机网络应急技术处理协调中心、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、诺基亚通信系统技术(北京)公司、奇安信网神信息技术(北京)股份有限公司、深信服科技股份有限公司、国网新疆电力有限公司电力科学研究院、麒麟软件有限公司、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心黑龙江分中心、深圳开源互联网安全技术有限公司、昆仑数智科技有限责任公司、联想(北京)有限公司、浪潮电子信息产业股份有限公司、中国网络安全审查技术与认证中心、杭州默安科技有限公司、北京天融信网络安全技术有限公司、三六零数字安全科技集团有限公司、长扬科技(北京)有限公司、上海观安信息技术股份有限公司、北京奇虎科技有限公司、北京快手科技有限公司、云从科技集团股份有限公司、国网区块链科技(北京)有限公司、国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限公司、北京大学、启明星辰信息技术集团股份有限公司、瀚高基础软件股份有限公司、北京威努特技术有限公司、蚂蚁科技集团股份有限公司、中国信息通信研究院、中电长城网际安全技术研究院(北京)有限公司、北京安普诺信息技术有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、北京中科微澜科技有限公司、OPPO广东移动通信有限公司、公安部第一研究所、中国科学院软件研究所、阿里云计算有限公司、湖南泛联新安信息科技有限公司、北京中测安华科技有限公司、中国科学院信息工程研究所、苏州棱镜七彩信息科技有限公司、新华三技术有限公司、工业和信息化部电子第五研究所、北京源堡科技有限公司、北京人大金仓信息技术股份有限公司、上海大学、西安邮电大学、沈阳东软系统集成工程有限公司、中国电子科技集团公司第十五研究所、远江盛邦(北京)网络安全科技股份有限公司、上海文螺信息科技有限公司。本文件主要起草人:李守鹏、王欣、王晓萌、王惠莅、薛勇波、吴润浦、林星辰、曾晋、上官晓丽、王嘉捷、万振华、陈冬青、沈蕾、辛伟、唐福宇、董国伟、常远、崔静、叶润国、高金萍、杨慧婷、吴倩、翟艳芬、董军平、王、张屹、滕征岑、邱林海、邓辉、郑明、李汝鑫、谢江、张大江、刘磊、梁利、陈靓、廖毅、柴思跃、宋桂香、申永波、孟瑾、白晓媛、孔耀晖、沈锡铺、杨剑、孙世国、李娜、王聪、赵华、韩煜、落红卫、武延军、张亚京、李军、张立、王栋、温婷婷、陈亮、查海平、高庆、姚叶鹏、赵军凯、冯明再、王春霞、刘健、李汪蔚、林飞、宁戈、张涛、袁明坤、杨廷锋、王琦、王玮琪、杨牧天、李跃、李腾、万娟、吴敬征、王振远、刘井强、肖扬、梁大功、万晓兰、蔡一兵、梁露露、赵晓晖、彭晨、杨毅、张勇、冯全宝、程岩、聂万泉、付艳艳、霍珊珊、刘洋、王晶、权晓文、周浩威,
1范围
网络安全技术软件供应链安全要求GB/T43698—2024
本文件确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求
本文件适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,供主管监管部门参考使用。2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
25069—2022信息安全技术术语
36637一2018信息安全技术ICT供应链安全风险管理指南3术语和定义
25069—2022和GB/T36637—2018界定的以及下列术语和定义适用于本文件。GB/T
软件产品softwareproduct
计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。
注1:软件产品包含计算机程序代码、规程、相关数据、文档和相关服务注2:本文件中软件产品简称为软件。[来源:GB/T36475—2018,3.1.1,有修改】3.2
softwareproductinformation
软件产品信息
软件产品版本、标识、来源、授权以及关联软件等信息的总称3.3
需方acquirer
从其他组织获取软件产品的组织。注:本文件中需方指软件产品的购买者和使用者。[来源:GB/T36637—2018,3.1,有修改]3.4
supplier
开展软件产品开发、交付、运维、废止等生命周期活动的组织。注1:本文件中供方指需方的第一级(直接)供应商;此外,还包括软件产品的开发商、各级销售和代理商、系统集成商,也包括软件或应用商店、代码托管平台、第三方下载站点以及基于开源代码提供软件产品的组织等。注2:开放源代码社区本身不是供方。GB/T43698—2024
注3:供方与需方共同决定软件产品的生命周期结束时间。3.5bzxZ.net
供应关系
supplier relation
需方(3.3)和供方(3.4)之间为开展业务、提供软件产品而建立的协议、合同等契约关系。注:在供应链中,上游的需方同时也是下游的供方。[来源:GB/T36637—2018,3.3,有修改
供应活动
supplyactivity
需方(3.3)和供方(3.4)为维持日常生产基于供应关系(3.5)进行的软件采购、开发、获取、交付、运维、废止等活动的总称。
software supplychain
软件供应链
需方和供方基于供应关系(3.5),开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。
[来源:GB/T36637—2018,3.4,有修改】3.8
软件物料清单softwarebillofmaterials软件产品中所包含的所有组件、相关许可协议的清单,以及所有组件之间依赖关系的描述。3.9
软件供应链安全图谱softwaresupplychainsecuritygraph软件产品信息(3.2)、软件物料清单(3.8)、安全信息等内容及其关联关系的描述和表示。注:一般以文本形式存储,支持通过知识图谱方式展示。3.10
开放源代码社区
open sourcecommunity
用于开源代码和数据开发、维护的一种工程组织和运作方式。注:开放源代码社区也称开源社区或开源代码社区,3.11
外部组件
externalcomponent
由供方以外的组织或人员开发的程序代码、文档或数据,通常是由二进制程序文件或者源代码程序文件构成
注:外部组件包括软件中使用的开源组件和第三方组件。4软件供应链安全目标
软件供应链安全目标是建立软件供应链安全风险管理能力体系并持续改进,增强软件供应链安全风险管理、组织管理和供应活动管理能力,防范软件供应链中的供应关系风险(例如:软件供应中断、软件功能受限、软件服务降级等),防范供应活动引入的技术安全风险和知识产权风险(例如:软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行5软件供应链安全保护框架
基于软件供应链模型、软件供应链实体角色分析和软件供应链安全构成(见附录A),确立了软件供应链安全保护框架。该框架规定了供需双方(即“组织”)的软件供应链安全风险管理要求,并从组织管2
理和供应活动两个方面规定了需方安全要求和供方安全要求,如图1所示。软件供应链安全风险售理要求
基本流程
软件供应链安全图谐
软件供应链安全风险评估
软件供应链安全风险处置
图1软件供应链安全保护框架
6软件供应链安全风险管理要求
6.1基本流程
基本流程对组织要求如下。
GB/T43698—2024
a)应确定软件供应链风险管理的目标及策略,按照第7章、第8章安全要求建设软件供应链组织管理和供应活动管理能力。
b)应识别软件资产,梳理一般软件资产和关键软件资产(见附录B),按照6.2的要求构建软件供应链安全图谱。
应确定软件供应链风险管理的对象、范围和边界,包括但不限于软件、环境及工具、外部组c)
件等。
d)应依据软件供应链安全图谱等建立组织管理、供应活动管理等方面的供应链安全信息采集和跟踪机制。
应定期或基于安全需求开展软件供应链安全检测和风险评估,依据上述结论采取相应的供应e)
链风险防范、风险缓解或风险消除措施。f)应定期或根据实际业务需要开展软件供应链安全要求执行情况的监督检查,研判a)~e)的有效性,并根据研判结果进行调整6.2软件供应链安全图谱
软件供应链安全图谱对组织要求如下。a)应根据不同类别的业务场景(见附录C)确定软件供应链安全图谱的等级,并清晰准确地构建软件供应链安全图谱(见附录D):1)一般业务场景中构建的软件供应链安全图谱,应至少包含软件产品信息;2)
重要业务场景中构建的软件供应链安全图谱,应包含1)中信息以及软件来源信息、软件组件成分信息、组件漏洞信息、合规信息等;核心业务场景中构建的软件供应链安全图谱,应至少包含2)中信息,宜包含软件部署和3)
运行所依赖的其他软件产品信息。b)应定期(至少每年一次)或软件发生重要更新时,及时更新维护软件供应链安全图谱。c)应将软件供应链安全图谱作为重要资产管理,采取相应安全保护措施,防止软件供应链安全图GB/T43698—2024
谱泄露。
6.3软件供应链安全风险评估
软件供应链安全风险评估对组织要求如下。a)应按照GB/T36637一2018中6.3风险评估流程,定期开展软件供应链安全风险评估,识别现有或预计产生的组织管理和供应活动管理相关的安全风险,重点关注以下安全风险:1)发行版本或升级补丁停止交付或部署;2
供方提供的服务部分或完全中断:3)激活等软件授权措施受影响导致软件功能降级或服务能力受限:供应活动在软件中引入的安全风险破坏发行版本或升级补丁的完整性、安全性和合规性4
b)应对a)的影响进行研判,至少对如下问题做出明确结论:1)是否会影响到现有系统的正常安全运行,以及影响范围的大小:是否会影响到现有系统的日常维护工作,如:故障排查、故障部件更换、安全事件处置等;2)
3)是否会影响到系统的重新部署、备份、迁移、升级、扩容等工作。6.4软件供应链安全风险处置
需方应满足第7章安全要求,供方应满足第8章要求,以防范6.3a)中的安全风险或缓解6.3b)中的影响。
7需方安全要求
7.1组织管理
7.1.1机构管理
机构管理对需方要求如下。
应明确软件供应链安全管理组织机构或人员及其职责范围,提供保障软件供应链安全所需的a)
资源(如有关资金、场地、人力等),并在预算管理过程中予以重点考虑。b)应组织构建并管理软件供应链安全图谱,定期(至少每年一次)开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作,包括但不限于软件成分分析、源代码和二进制代码安全漏洞分析和6.3等。
c)应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。d)对于重要或核心业务场景,宜设立专职软件供应链管理机构开展软件供应链安全管理工作。7.1.2制度管理
制度管理对需方要求如下。
a)应确定软件供应链安全的总体方针、安全制度和策略(可作为单独的文件,也可作为相关文件中的一部分),至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b)
应制定软件供应链安全风险持续监测、风险评估和事件响应制度,明确不同等级安全事件的报告、处置、响应的流程和机制,规定安全事件的现场处理、事件报告和后期恢复等要求。应制定软件采购、获取、运维、废止等供应活动安全管理制度,例如安全开发、交付部署和验收、c)厂
故障处理和维护升级等管理制度、规程或机制。d)应将软件供应链安全相关内容应纳入人员管理制度,例如人员权限、能力、资质、背景、技能培训等;对于重要岗位人员(如采购人员、安全测试人员、配置管理人员、漏洞管理人员等)应明确4
并开展背景审查工作的要求。
GB/T43698—2024
应制定供应商管理制度,包括但不限于供应商资质审核、供应商分类分级、供应商不良行为处e)
理等。
f)应制定知识产权管理制度,包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。7.1.3人员管理
人员管理对需方要求如下。
应明确人员需具备的软件供应链实体要素的识别和安全分析能力,如软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。b)应划分人员的职责定位、权限级别,采用最小授权机制并建立操作规范,创建操作日志。c)应定期(至少每年一次)开展软件供应链安全和保密培训,培训内容包括但不限于a)和b)中涉及的内容。
d)应建立并执行离职离岗人员账号、权限、材料的交接和清理机制和规程。e)对于核心业务场景,宜配置软件供应链安全保障团队,并根据需要开展相关人员的背景调查。对于核心业务场景,宜具备防范各类软件供应链安全风险能力,例如软件供应链恢复、未知安f
全漏洞分析、软件持续供应能力分析等。7.1.4供应商管理
供应商管理对需方要求如下。
a)应分类分级建立合格的供应目录,对供应目录及相关信息进行集中管理,并定期或按照实际需求进行更新维护。
b)应优先选择供应目录中满足条件的供应商。根据软件供应链中供应关系、供应活动的不同,供应商应符合8.2的安全要求。c)
d)应制定供应商选择策略和制度,对供应商进行风险分析,包括但不限于背景、资质、能力以及能否持续安全提供产品或服务等方面的风险应要求供方开展软件供应链安全检测和风险评估工作,明确相关内容和范围;确需第三方机构e)
的,应明确对第三方机构的能力、资质等要求。f)
应要求供方配合相关部门开展软件供应链安全审查、监督和检查。应在供应关系、供应商股权等信息发生变更时,对变更带来的安全风险进行评估,并采取相应g)厂
的风险控制措施。
h)应建立供应商替代方案或具备相应软件的自主维护能力,防范软件供应链中断风险,7.1.5知识产权管理
知识产权管理对需方要求如下。a)应防止因知识产权问题导致的法律风险,或具备防范相应法律风险的能力和机制。应充分熟悉所使用或在研软件产品和服务的知识产权,对知识产权进行规范管理,防止侵权b)
在核心业务场景中,宜对所使用的软件产品或服务相关的国内外知识产权情况进行详细识别c)
分析,建立相关知识产权风险的应对方案,7.2供应活动管理
7.2.1基本流程
基本流程对需方要求如下。
GB/T43698—2024
应在开展供应活动前,以协议、合同等方式与供方建立供应关系。a)
b)应在协议、合同等文件中明确对供应活动的安全要求,并签署相应的保密协议。应按照约定的内容和范围开展软件供应活动管理。c)
软件采购
软件采购对需方要求如下。
应邀请软件供应链安全、网络空间安全等领域专家(或具备相应网络空间安全能力的评标人a)
员)参与招标采购过程。
应结合软件应用的实际业务场景,明确对软件供应链安全图谱的要求;需要供方提供软件供应链安全图谱的应明确图谱的内容,如安全图谱的等级、可追溯层级等。c)
应根据国家和行业已发布标准以及自身业务要求制定软件的安全需求基线和防护架构,如软件应具备的安全防护能力、保护个人信息和重要数据等不被泄露的能力。d)应确定所采购软件的授权使用期限及相应的技术协助要求,在授权方式可选的条件下,明确软件的激活、授权需求,优先选择离线永久激活模式,其次是完全在国内线上永久激活,再次是完全在国内实现的周期性线上激活、国外线上激活(永久或周期性)。应制定从多个源厂商获得兼容的产品和服务的方案,确保软件来源的多样性。对于单一来源e)
的软件,应制定风险消减措施。f)
对于定制研发软件,应要求供方具备安全开发相关资质或建立安全开发规范,建立和维护安全的开发环境、建立工具和设备的安全管理和准入控制等。应要求供方提供验证产品是否来自原厂商且获得许可的途径或方法。g)
应明确对运维技术团队及相应技术能力的要求,包括但不限于风险监测识别、漏洞修复、完整h)
性保护、安全测试等。
应要求软件开发、交付、部署、测试等工具和设备具备可操作的替代方案。应考虑政治、外交、贸易、自然灾害、公共安全事件等不可抗力导致供应中断时的可替代策略。应明确软件供应链安全检测和风险评估的范围,例如软件资产识别、源代码和二进制代码安全k)
漏洞分析、软件成分分析等:涉及第三方机构的应明确第三方机构的资质能力。7.2.3软件获取
软件获取对需方要求如下。
应对软件进行端到端的完整性验证。a)
应对所获取软件进行全面安全检测和风险评估,例如源代码安全漏洞分析、二进制代码安全漏b)
洞分析、容器镜像安全分析、软件成分分析和6.3等,确保所获取软件符合约定的安全要求,c)
应确保获取的软件不存在已公开漏洞未修复的情况;对于存在已公开漏洞未修复的,应要求供方及时修复或采取相应缓解措施,并提供漏洞处置报告d)对于定制研发软件,宜掌握关键软件、组件的代码结构和技术原理;对于需要二次开发、独立维护的应获取软件源代码和相关知识产权的授权,并要善保管。e)对于定制研发软件,应要求厂商提供软件相关技术资料,包括但不限于中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制,软件使用说明书、技术分析报告等技术资料。注1:技术分析报告包括但不限于源代码、二进制代码、组件等供应链安全分析报告。注2:软件技术资料中设置声明条款,说明采购第三方软件、开源限制性、知识产权等情况。7.2.4软件运维
软件运维对需方要求如下。
a)应确定运维方案,包括运维团队、运维内容和范围、运维流程等内容。GB/T43698—2024
应确保软件及运行环境持续稳定可用,保障软件完整性和访问控制策略正常。b)
应建立可追潮台账,对软件产品或服务整个使用过程进行记录、检测和维护,及时更新维护软件供应链安全图谱。
d)应将软件作为组织资产进行管理,保障软件安装、升级维护时从安全可控的渠道获取软件安装包、升级包、补丁包,并开展相应的可用性、安全性及完整性检测分析,在确保符合要求后进行软件安装、更新升级,并同步更新相关配置。e)
应在约定的环境中使用软件,对软件及其运行环境进行安全配置,并记录相关信息。应明确运维人员的访问权限级别,对其访问范围和授权期限进行严格区分,确定不同权限人员f
尤其是厂商、外包等非自有维护人员,开展软件运维的内容和边界。应对授权期限进行管理,禁止使用超过授权使用期限或维保期限的软件;确需使用的应定期评g
估并处置其安全风险。
h)应对软件运维工具、运维环境等进行安全检测和风险评估,及时发现并处置软件中断供应、停止授权、停止提供产品升级等供应关系风险,漏洞、后门等技术安全风险以及知识产权风险。应收集软件供应链的安全风险信息,发现安全缺陷、漏洞等风险时,应当立即采取补救措施,并按照规定及时向有关主管监管部门报告。应依据实际业务场景的业务连续性和灾难恢复计划,制定可接受的恢复时间和恢复目标,并确j
定防范供应中断和服务中断等风险的安全策略。应开展软件供应链相关范围内的数据安全检测分析和风险评估等工作,防止因软件漏洞引起k)
的信息泄露、数据泄露、篡改和损毁等安全事件发生。应对软件外联网络地址、域名数据等进行检测和分析,及时发现产品后门植入、擅自提高权限1)
等违规操作。
7.2.5软件废止
软件废止对需方要求如下。
应制定软件废止处理规程,例如软件停用和卸载、软件供应链安全图谱归档、信任关系清除以a)
及数据备份、迁移和销毁等,并按照规程开展相应工作。b)应移除准入控制措施和策略中与所废止软件相关的信息,例如软件、人员、设备等要求和规则;对于不适合清除的应制定相应的控制措施和策略。c)应具备软件废止后防止软件泄露、数据泄露的安全保障能力。d)对于软件产品废止并替换为新产品的,应要求新产品的供方支持数据迁移到新的软件产品。e
涉及数据销毁的,宜参照GB/T37988一2019中第11章的要求进行数据销毁、防止对存储的数据进行修复而导致的数据泄露风险。废止工作完成后应进行安全检测,确保除例外的要求和规则外,软件及其相关信息被完全f)
废止,
8供方安全要求
组织管理
8.1.1机构管理
机构管理对供方要求如下。
a)应明确软件供应链安全管理组织机构或人员及其职责范围,提供保障软件供应链安全所需的
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。