TISC 0044-2024 软件供应链安全要求.docxVIP

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

ICS35.080CCSL00/09

团体标准

T/ISC0044—2024

软件供应链安全要求

Requirementforsoftwaresupplychainsecurity发布稿

2024年1月29日发布2024年2月28日实施

中国互联网协会发布

T/ISC0044—2024

1

目次

前言 2

1范围 3

2规范性引用文件 3

3术语和定义 3

3.1软件供应链 3

3.2软件供应链安全 3

3.3软件供应链生命周期 3

3.4开源组件 3

4软件供应链安全体系模型 3

5安全管理要求 4

5.1组织机构 4

5.2管理制度 4

5.3人员管理 4

5.4过程管理(软件全生命周期) 5

6安全技术要求 5

6.1安全需求设计 5

6.2安全编码开发 5

6.3安全测试验证 5

6.4安全发布运维 6

6.5开源组件合规管控 6

6.6配套文档记录及管理 6

6.7开发测试环境安全配置 6

6.8软件制品安全管理 7

6.9使用环境安全配置 7

6.10漏洞管理 7

T/ISC0044—2024

2

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本标准由中国互联网协会归口。

本文件起草单位:中国信息通信研究院、深圳开源互联网安全技术有限公司、扬州数安技术有限公司、北京风行网安科技有限公司、中国石油昆仑数智科技有限责任公司、中国移动通信集团设计院有限公司、中国电力科学研究院有限公司、中国民航信息网络股份有限公司、中国经济信息社、中建数字科技有限公司、OpenSDV汽车软件开源联盟、北京智精灵科技有限公司、四川赛闯检测股份有限公司、成都信息工程大学、网宿科技股份有限公司、仁寿智仁智慧科技有限公司、四川仁恒智合科技有限公司、江苏大道云隐科技有限公司。

本文件主要起草人:蒋阿芳、马英轩、樊可欣、王颉、菅志刚、王晓龙、郭治文、张志强、滕征岑、张嵩、孙忠伟、肖秀琴、易兴辉、刘玲、缪思薇、周亮、左海峰、杨京煜、王宇、翟冬梅、吴新丽、王勇、王一村、段柯欣、贾大伟、滕召智、梁尧、张坤、方建康、周琼、冯丽、袁丽、黄莎琳、吕士表、杨志伟、廖敏飞、党杜均、邓恒、黄圣超。

T/ISC0044—2024

3

软件供应链安全要求

1范围

本文件规定了的软件供应链安全要求。适用于信息技术产品研发的组织机构对自身的软件供应链安全的建设、评估和改进,适用于第三方开展软件供应链安全检测评估认证。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有修改单)适用于本文件。

GB/T25069—2022

信息安全技术

术语

GB/T36637—2018

信息安全技术

ICT供应链安全风险管理指南

GB/T30279—2020

信息安全技术

网络安全漏洞分类分级指南

GB/T22239—2019

信息安全技术

网络安全等级保护基本要求

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

软件供应链softwaresupplychain

为满足软件供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将软件产品和服务提供给需方。

3.2

软件供应链安全softwaresupplychainsecurity

指软件供应链生命周期中各环节、过程涉及的软件产品和服务安全、供应关系安全、人员安全及软件供应链基础设施安全的总和。

3.3

软件供应链生命周期softwaresupplychainlifecycle

在软件供应链中,从软件的需求分析开始至软件的废止停用或者供需双方终止协议的整个时期,包括开发环节、交付环节和使用环节,划分为协商、生产、交付、获取、使用、运维、废止7个过程。

3.4

开源组件opensourcecomponent

开放源代码,遵循开源协议进行共享、开发、使用、编译和发布的软件模块,通常是由源代码程序文件构成。

4软件供应链安全体系模型

4

T/ISC0044—2024

漏洞管理

漏洞管理

使用环境安全配置

文档评论(0)

天使之恋 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档