信息与通信技术产品供应链安全测试技术要求.docx

Q/LB.□XXXXX-XXXX

PAGE2

ICS

FORMTEXT35.240.01

CCS

FORMTEXTL78

团体标准

FORMTEXTT/CSACXXX—XXXX

FORMTEXT?????

T/CSAC

信息与通信技术产品供应链安全测试技术要求

TechnicalRequirementsforSupplyChainSafetyTestingofInformationandCommunicationTechnologyProducts

FORMDROPDOWN

(征求意见稿）

FORMDROPDOWN

XXXX-X-XX发布

XXXX-X-XX实施

中国网络空间安全协会??发布

STYLEREF标准文件_文件编号T/CSACXXX—XXXX

PAGE14

信息与通信技术产品供应链安全测试技术要求

范围

本文件规定了信息与通信技术产品供应链安全测试的技术规范，包括开展软件成分分析、二进制软件基因安全测试、动态应用安全测试、静态应用安全测试、容器镜像安全测试等。

本文件适用于信息与通信技术产品供应链安全测试时参考使用，用于规避信息与通信技术产品中开源组件、后门、源代码安全、Web漏洞等安全隐患带来的风险。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2022信息安全技术术语

GB/T36637-2018信息安全技术ICT供应链安全风险管理指南

GB/T43698-2024信息安全技术软件供应链安全要求

术语和定义

软件成分softwarecomposition

软件中包含的组件和代码。

信息与通信技术informationandcommunicationstechnology

信息与通信技术是一个涵盖性术语，覆盖了所有通信设备或应用软件，比如说，收音机、电视、移动电话、计算机、网络硬件和软件、卫星系统等，以及与之相关的各种服务和应用软件。

投毒poisoning

软件中被加入非预期逻辑，如执行恶意代码、输出额外数据、创建与预期功能无关文件等。

容器container

容器（Container）是镜像运行的实例，容器可以被创建、启动、停止、删除、暂停等。

镜像image

镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

漏洞严重性评级culnerabilityseverityrating

指对计算机系统、软件、网络应用等存在的安全漏洞进行严重程度评估的过程，通常基于漏洞的潜在影响程度、利用的难易程度以及可能对系统造成的损害程度。

供应连续性风险

供应链安全威胁利用供应链管理中存在的脆弱性导致供应中断事件的可能性,及其由此对组织造成的影响。

概述

总体框架

本标准从软件成分分析、二进制软件基因、动态应用安全、静态应用安全、容器镜像安全五类安全测试技术项对信息与通信技术产品开展安全测试，信息与通信技术产品供应链安全测试技术框架如图1所示。

图1信息与通信技术产品供应链安全测试技术框架图

信息与通信技术产品供应链安全测试技术的架构由以下三个维度组成。

安全测试要素

ICT产品供应链安全测试要素包含分析对象和技术分析项，分析对象是指通过供应链安全测试技术测试ICT产品时，针对的具体测试对象类型。技术分析项是指根据供应链安全测试技术的不同技术点，分析目标对象，形成不同安全风险。

安全测试技术

ICT产品供应链安全测试技术包括软件成分分析、二进制软件基因、动态应用安全、静态应用安全、容器镜像安全五类，通过这五类技术分析ICT产品的安全性。

安全测试流程

ICT产品供应链安全测试流程包括技术分析准备、技术分析实施、技术分析报告编制、技术分析报告审核四个环节，通过这四个环节完成ICT产品供应链安全测试工作。

总体流程

技术分析过程包括技术分析准备、技术分析实施、技术分析报告编制以及技术分析报告审核四个阶段，如图2所示。

图2ICT产品供应链安全测试流程图

技术分析准备阶段，包括保密协议签署、技术分析调研、技术分析条款制定、技术分析环境准备；

技术分析实施阶段，包括工具技术分析、人工分析审核技术分析结果，若需对技术分析出的问题进行修复，还包括修复后的复测；

技术分析报告编制阶段，针对技术分析结果进行汇总，编写技术分析报告；

技术分析报告审核阶段，针对编制的报告内容进行审计，确保