《信息与通信技术产品供应链安全测试技术要求（征求意见稿）》编制说明.pdf

信息与通信技术产品供应链安全测

试技术要求

编制说明

一、目的意义

数字经济时代，软件已成为保障社会正常运转的基本组

件。政府机构、企业组织及个人用户，都离不开软件应用。

由于软件设计工作复杂、软件开发过程安全缺失、软件漏洞

数量和漏洞的严重程度不断增加，对软件系统的稳定运行和

信息数据的安全性都造成严重影响。攻击者采用多种新型复

杂的攻击手段如供应链污染、恶意代码混淆、零日漏洞利用

等对软件系统进行攻击，影响极大。例如，针对PHP/JAVA部

署工具OneinStack和Linux服务器部署工具LNMP的供

应链投毒攻击事件，Darkhotel（APT-C-06）利用某邮件系

统0day投递载荷，BadBox安卓僵尸网络等供应链产品攻击

事件。建立明确的信息与通信技术产品供应链技术检测要求，

包括软件成分分析、二进制软件基因分析、动态应用程序安

全测试、静态应用程序安全测试、容器镜像安全测试等，以

规避信息与通信技术产品中开源组件、后门、源代码安全、

Web漏洞安全等风险，保障产品的质量和安全性，是实现供

应链安全治理的首要任务。

研究并编制信息与通信技术产品供应链安全测试技术

规范，其主要目的包括几点。一是规范信息与通信技术产品

的供应链安全测试要素、测试流程、测试技术；二是加强对

信息与通信技术产品的安全监管；三是推动信息与通信技术

供应链产品安全认证体系发展。

本项目成功实施的意义重大，在国家网络安全、供应链

及企业发展等方面发挥关键作用，具体如下。

一是强化网络安全与主权保障。明确信息与通信技术产

品供应链安全测试技术规范，能够有效提高对信息与通信技

术产品的安全性评估。这不仅有助于构建安全可靠的信息与

通信技术产品供应链，还能够增强国家在信息技术领域的自

主可控能力。通过确保关键技术和产品的安全性，国家将能

够更好地应对外部网络攻击和潜在风险，维护国家利益与主

权安全，促进社会的和谐稳定发展。

二是优化供应链产品质量管理体系。质量是供应链管理

的核心要素，而有效的质量管理体系是保障产品安全与可靠

性的基础。本项目旨在建立健全的供应链产品质量管理体系，

通过制定标准化的流程和规范，提升供应链各环节的透明度

与可追溯性。这样不仅能够提高产品的整体质量，还能减少

因质量问题带来的安全隐患。同时，通过对供应链的持续监

控与评估，能够及时发现潜在问题，确保产品在生产、运输

和销售过程中的高标准管理，最终实现客户满意度的提升，

增强市场竞争力。

三是促进信息与通信技术产品检测标准化进程。标准化

是提高行业整体技术水平的重要手段，特别是在快速发展的

信息与通信技术领域。本项目通过推动信息与通信技术产品

检测标准的统一与规范，有助于提升行业内各企业的技术水

平与市场竞争力。通过建立统一的检测标准，不仅能够为企

业提供可靠的检测依据，还能提高消费者对产品质量的信任

度。此外，标准化进程的推进还将促进行业内的技术交流与

合作，加速技术创新的步伐，从而为整个信息与通信技术行

业的可持续发展奠定坚实基础。

四是提升企业对信息与通信技术产品的创新力。创新是

企业持续发展的动力，而技术规范的实施与标准化的推进将

为企业的创新活动提供良好的环境和基础。本项目通过明确

技术规范与标准，激励企业加大研发投入，推动技术创新。

这不仅能够提升企业在信息与通信技术领域的核心竞争力，

还将促进新技术、新产品的不断涌现，满足市场日益变化的

需求。

二、任务来源

在为供应链的需求方和供应商开展信息与通信技术产

品供应链安全检测的过程中，发现现有的标准无法满足需求

方和供应商的安全需求，没有相关的标准化检测方法，在同

众多需求方及供应商沟通交流后，形成了彼此认可的信息与

通信技术产品供应链安全测试技术规范。

三、编制过程

1)2024年6月，成立编制工作组，启动标准编制工

作，公安部第三研究所开始筹备起草组成立会议，分别向行

业内知名的企业、从事相关研究的单位发出邀请并开展起草

工作。

2）2024年12月，形成标准草案。

3）2024年12月5日，提交标准项目建议书

4）2024年12月30日，经过多次内部征求意见，形成

标准草案修改版。

5）2025年1月7日，形成标准草案第一版。

6)2025