信息与通信技术产品供应链安全测试技术要求编制说明.docx

信息与通信技术产品供应链安全测试技术要求

编制说明

目的意义

数字经济时代，软件已成为保障社会正常运转的基本组件。政府机构、企业组织及个人用户，都离不开软件应用。由于软件设计工作复杂、软件开发过程安全缺失、软件漏洞数量和漏洞的严重程度不断增加，对软件系统的稳定运行和信息数据的安全性都造成严重影响。攻击者采用多种新型复杂的攻击手段如供应链污染、恶意代码混淆、零日漏洞利用等对软件系统进行攻击，影响极大。例如，针对PHP/JAVA部署工具OneinStack和Linux服务器部署工具LNMP的供应链投毒攻击事件，Darkhotel（APT-C-06）利用某邮件系统0day投递载荷，BadBox安卓僵尸网络等供应链产品攻击事件。建立明确的信息与通信技术产品供应链技术检测要求，包括软件成分分析、二进制软件基因分析、动态应用程序安全测试、静态应用程序安全测试、容器镜像安全测试等，以规避信息与通信技术产品中开源组件、后门、源代码安全、Web漏洞安全等风险，保障产品的质量和安全性，是实现供应链安全治理的首要任务。

研究并编制信息与通信技术产品供应链安全测试技术规范，其主要目的包括几点。一是规范信息与通信技术产品的供应链安全测试要素、测试流程、测试技术；二是加强对信息与通信技术产品的安全监管；三是推动信息与通信技术供应链产品安全认证体系发展。

本项目成功实施的意义重大，在国家网络安全、供应链及企业发展等方面发挥关键作用，具体如下。

一是强化网络安全与主权保障。明确信息与通信技术产品供应链安全测试技术规范，能够有效提高对信息与通信技术产品的安全性评估。这不仅有助于构建安全可靠的信息与通信技术产品供应链，还能够增强国家在信息技术领域的自主可控能力。通过确保关键技术和产品的安全性，国家将能够更好地应对外部网络攻击和潜在风险，维护国家利益与主权安全，促进社会的和谐稳定发展。

二是优化供应链产品质量管理体系。质量是供应链管理的核心要素，而有效的质量管理体系是保障产品安全与可靠性的基础。本项目旨在建立健全的供应链产品质量管理体系，通过制定标准化的流程和规范，提升供应链各环节的透明度与可追溯性。这样不仅能够提高产品的整体质量，还能减少因质量问题带来的安全隐患。同时，通过对供应链的持续监控与评估，能够及时发现潜在问题，确保产品在生产、运输和销售过程中的高标准管理，最终实现客户满意度的提升，增强市场竞争力。

三是促进信息与通信技术产品检测标准化进程。标准化是提高行业整体技术水平的重要手段，特别是在快速发展的信息与通信技术领域。本项目通过推动信息与通信技术产品检测标准的统一与规范，有助于提升行业内各企业的技术水平与市场竞争力。通过建立统一的检测标准，不仅能够为企业提供可靠的检测依据，还能提高消费者对产品质量的信任度。此外，标准化进程的推进还将促进行业内的技术交流与合作，加速技术创新的步伐，从而为整个信息与通信技术行业的可持续发展奠定坚实基础。

四是提升企业对信息与通信技术产品的创新力。创新是企业持续发展的动力，而技术规范的实施与标准化的推进将为企业的创新活动提供良好的环境和基础。本项目通过明确技术规范与标准，激励企业加大研发投入，推动技术创新。这不仅能够提升企业在信息与通信技术领域的核心竞争力，还将促进新技术、新产品的不断涌现，满足市场日益变化的需求。

任务来源

在为供应链的需求方和供应商开展信息与通信技术产品供应链安全检测的过程中，发现现有的标准无法满足需求方和供应商的安全需求，没有相关的标准化检测方法，在同众多需求方及供应商沟通交流后，形成了彼此认可的信息与通信技术产品供应链安全测试技术规范。

编制过程

1) 2024年6月，成立编制工作组，启动标准编制工作，公安部第三研究所开始筹备起草组成立会议，分别向行业内知名的企业、从事相关研究的单位发出邀请并开展起草工作。

2）2024年12月，形成标准草案。

3）2024年12月5日，提交标准项目建议书

4）2024年12月30日，经过多次内部征求意见，形成标准草案修改版。

5）2025年1月7日，形成标准草案第一版。

2025年1月17日，召开立项评审会，邀请专家对草案给出建议。

2025年2月8日至2025年2月25日，期间进行了多次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。

2025年3月1日，形成征求意见稿。

主要内容技术指标确立

本标准适用于信息与通信技术产品供应链安全测试，用于发现信息与通信技术产品中开源组件、后门、源代码安全、Web漏洞安全等风险。本标准规定了信息与通信技术产品供应链安全测试技术的应用方法，包括软件成分安全技术分析、二进制软件基因技术分析、动态应用程序安全测试、静态应用程序安全测试、容器镜像安全技术分析等。详情如下：

1、软件成分分析：软件成分