软件供应链安全要求.docxVIP

1

信息安全技术软件供应链安全要求

1范围

本文件给出了软件供应链安全保护目标，

本文件给出了软件供应链安全保护目标，规定了软件供应链组织管理和供应活动管理的安全要求。

本文件适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理，可为第三方机构开展软件供应链安全测试和评估提供依据，也可为主管监管部门提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T36637—2018信息安全技术ICT供应链安全风险管理指南

3术语和定义

GB/T25069—2022和GB/T36637—2018中界定的以及下列术语和定义适用于本文件。

3.1

软件产品softwareproduct

计算机软件、信息系统或设备中嵌入的软件，或在提供计算机信息系统集成、应用等技术服务时提供的计算机软件，表现形式为一组计算机代码、规程以及可能的相关文档和数据。

[来源：GB/T36475—2018，3.1，有修改]

3.2

软件服务softwareservice

实施与软件产品有关的活动、工作或义务，如软件开发、集成、维护和运营。[来源：GB/T8566—2007，3.1]

3.3

需方acquirer

从其他组织获取软件产品或服务的组织或个人。

注：本文件中主要指软件产品或服务的最终用户。

[来源：GB/T36637—2018，3.1，有修改：术语名称“ICT需方ICTacquirer”改为“需方acquirer”，“ICT产品和服务”改为“软件产品或服务”]

2

3.4

供方supplier

提供软件产品或服务的组织或个人。

注：本文件中主要指需方的第一级（直接）供应商。

[来源：GB/T36637—2018，3.2，有修改：术语名称“ICT供方ICTsupplier”改为“供方supplier”，“ICT产品和服务”改为“软件产品或服务”等]

3.5

3.5

供应关系supplierrelation

需方（3.3）和供方（3.4）之间的协议，可用于开展业务、提供软件产品或服务。注：在供应链中，上游的需方同时也是下游的供方。终端客户可以理解为一种特殊的需方。

[来源：GB/T36637—2018，3.3，有修改：“产品和服务”改为“软件产品或服务”]

3.6

软件供应链softwaresupplychain

基于供应关系，通过资源和过程将软件产品或服务从供方传递给需方的网链系统。注：软件供应链中的供应活动主要包括软件采购、交付、运维和废止。

[来源：GB/T36637—2018，3.4，有修改：术语名称“ICT供应链ICTsupplychain”改为“软件供应链softwaresupplychain”，“ICT的产品和服务”改为“软件产品和服务”等]

3.7

软件物料清单softwarebillofmaterials

软件采用的所有组件、许可协议、组件依赖关系和层次关系的清单。

3.8

软件构成图谱softwarecompositiongraph

软件物料清单、软件供应关系、知识产权、安全风险、软件供应链基础设施等信息的表示形式，支撑实现软件供应链的安全保护目标。

注：一般以文本形式存储，支持通过知识图谱方式展示。

3.9

开放源代码社区opensourcecommunity

开源代码开发、维护的一种组织和运作方式。

3.10

第三方组件thirdpartycomponent

由供方和需方以外的其他软件开发组织或人员开发的独立可用或可调用的软件组件，通常是由二进制程序文件或者源代码程序文件构成。

4软件供应链安全保护目标

3

:软件供应链安全目标是识别和防范供应关系和供应活动中面临的安全风险（见附录A），提升软件供应链安全保障能力，主要包括

:

a)提升软件产品或服务中断供应等风险管理能力：识别和防范供应关系建立及供应活动中软件产品和服务供应中断的管理安全风险，提升软件供应链的韧性，当软件供应链中断或部分失效时，能够保障业务持续稳定运行。

b)提升供应活动引入的技术安全风险管理能力：识别和防范由于供应关系或供应活动变化导致的软件漏洞、后门、篡改、伪造等技术安全风险，提升软件供应链的可追溯性、安全性，一旦发

现上述风险，可以快速有效追溯和修复。

c)提升软件供应链数据安全风险管理能力：识别和防范供应关系和供应活动中存在的数