(高清版)GBT 43698-2024 網(wǎng)絡(luò)安全技術(shù) 軟件供應(yīng)鏈安全要求

網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求2024-04-25發(fā)布2024-11-01實施前言 I 2規(guī)范性引用文件 13術(shù)語和定義 4軟件供應(yīng)鏈安全目標(biāo) 25軟件供應(yīng)鏈安全保護(hù)框架 26軟件供應(yīng)鏈安全風(fēng)險管理要求 6.1基本流程 36.2軟件供應(yīng)鏈安全圖譜 36.3軟件供應(yīng)鏈安全風(fēng)險評估 46.4軟件供應(yīng)鏈安全風(fēng)險處置 7需方安全要求 7.1組織管理 47.2供應(yīng)活動管理 58供方安全要求 78.1組織管理 78.2供應(yīng)活動管理 8附錄A(資料性)軟件供應(yīng)鏈安全概述 附錄B(資料性)關(guān)鍵軟件資產(chǎn) 附錄C(資料性)組織業(yè)務(wù)場景分類 附錄D(資料性)軟件供應(yīng)鏈安全圖譜 參考文獻(xiàn) IGB/T43698—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本文件起草單位：中國信息安全測評中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、華為技術(shù)有限公司、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)、諾基亞通信系統(tǒng)技術(shù)(北京)公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、深信服科技股份有限公司、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、麒麟軟件有限公司、國家信息技術(shù)安全研究中心、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心、深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司、昆侖數(shù)智科技有限責(zé)任公司、聯(lián)想(北京)有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、杭州默安科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、三六零數(shù)字安全科技集團(tuán)有限公司、長揚(yáng)科技(北京)有限公司、上海觀安信息技術(shù)股份有限公司、北京奇虎科技有限公司、北京快手科技有限公司、云從科技集團(tuán)股份有限公司、國網(wǎng)區(qū)塊鏈科技(北京)有限公司、國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心北京分中心、上海三零衛(wèi)士信息安全有限公司、北京大學(xué)、啟明星辰信息技術(shù)集團(tuán)股份有限公司、瀚高基礎(chǔ)軟件股份有限公司、北京威努特技術(shù)有限公司、螞蟻科技集團(tuán)股份有限公司、中國信息通信研究院、中電長城網(wǎng)際安全技術(shù)研究院(北京)有限公司、北京安普諾信息技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、北京神州綠盟科技有限公司、北京中科微瀾科技有限公司、OPPO廣東移動通信有限公司、公安部第一研究所、中國科學(xué)院軟件研究所、阿里云計算有限公司、湖南泛聯(lián)新安信息科技有限公司、北京中測安華科技有限公司、中國科學(xué)院信息工程研究所、蘇州棱鏡七彩信息科技有限公司、新華三技術(shù)有限公司、工業(yè)和信息化部電子第五研究所、北京源堡科技有限公司、北京人大金倉信息技術(shù)股份有限公司、上海大學(xué)、西安郵電大學(xué)、沈陽東軟系統(tǒng)集成工程有限公司、中國電子科技集團(tuán)公司第十五研究所、遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、上海文籃信息科技有限公司。1網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求1范圍本文件確立了軟件供應(yīng)鏈安全目標(biāo)，規(guī)定了軟件供應(yīng)鏈安全風(fēng)險管理要求和供需雙方的組織管理和供應(yīng)活動管理安全要求。本文件適用于指導(dǎo)軟件供應(yīng)鏈中的供需雙方開展風(fēng)險管理、組織管理和供應(yīng)活動管理，為第三方機(jī)構(gòu)開展軟件供應(yīng)鏈安全檢測和評估提供依據(jù)，供主管監(jiān)管部門參考使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T36637—2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險管理指南3術(shù)語和定義GB/T25069—2022和GB/T36637—2018界定的以及下列術(shù)語和定義適用于本文件。計算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件或在提供計算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時提供的計算機(jī)軟件。注2:本文件中軟件產(chǎn)品簡稱為軟件。[來源：GB/T36475—2018,3.1.1,有修改]軟件產(chǎn)品信息softwareproductinformation從其他組織獲取軟件產(chǎn)品的組織。注：本文件中需方指軟件產(chǎn)品的購買者和使用者。[來源：GB/T36637—2018,3.1,有修改]開展軟件產(chǎn)品開發(fā)、交付、運(yùn)維、廢止等生命周期活動的組織。注1:本文件中供方指需方的第一級(直接)供應(yīng)商；此外，還包括軟件產(chǎn)品的開發(fā)商、各級銷售和代理商、系統(tǒng)集成商，也包括軟件或應(yīng)用商店、代碼托管平臺、第三方下載站點以及基于開源代碼提供軟件產(chǎn)品的組織等。注2:開放源代碼社區(qū)本身不是供方。2注3:供方與需方共同決定軟件產(chǎn)品的生命周期結(jié)束時間。需方(3.3)和供方(3.4)之間為開展業(yè)務(wù)、提供軟件產(chǎn)品而建立的協(xié)議、合同等契約關(guān)系。注：在供應(yīng)鏈中，上游的需方同時也是下游的供方。[來源：GB/T36637—2018,3.3,有修改]需方(3.3)和供方(3.4)為維持日常生產(chǎn)基于供應(yīng)關(guān)系(3.5)進(jìn)行的軟件采購、開發(fā)、獲取、交付、運(yùn)維、廢止等活動的總稱。軟件供應(yīng)鏈softwaresupplychain需方和供方基于供應(yīng)關(guān)系(3.5),開展并完成軟件采購、開發(fā)、交付、獲取、運(yùn)維和廢止等供應(yīng)活動而形成的網(wǎng)鏈結(jié)構(gòu)。軟件產(chǎn)品中所包含的所有組件、相關(guān)許可協(xié)議的清單，以及所有組件之間依賴關(guān)系的描述。軟件供應(yīng)鏈安全圖譜softwaresupplychainsecuritygraph軟件產(chǎn)品信息(3.2)、軟件物料清單(3.8)、安全信息等內(nèi)容及其關(guān)聯(lián)關(guān)系的描述和表示。注：一般以文本形式存儲，支持通過知識圖譜方式展示。開放源代碼社區(qū)opensourcecommunity用于開源代碼和數(shù)據(jù)開發(fā)、維護(hù)的一種工程組織和運(yùn)作方式。注：開放源代碼社區(qū)也稱開源社區(qū)或開源代碼社區(qū)。外部組件externalcomponent由供方以外的組織或人員開發(fā)的程序代碼、文檔或數(shù)據(jù)，通常是由二進(jìn)制程序文件或者源代碼程序文件構(gòu)成。注：外部組件包括軟件中使用的開源組件和第三方組件。4軟件供應(yīng)鏈安全目標(biāo)軟件供應(yīng)鏈安全目標(biāo)是建立軟件供應(yīng)鏈安全風(fēng)險管理能力體系并持續(xù)改進(jìn)，增強(qiáng)軟件供應(yīng)鏈安全風(fēng)險管理、組織管理和供應(yīng)活動管理能力，防范軟件供應(yīng)鏈中的供應(yīng)關(guān)系風(fēng)險(例如：軟件供應(yīng)中斷、軟件功能受限、軟件服務(wù)降級等),防范供應(yīng)活動引入的技術(shù)安全風(fēng)險和知識產(chǎn)權(quán)風(fēng)險(例如：軟件漏洞、后門、篡改、偽造、許可協(xié)議不合規(guī)等),保障業(yè)務(wù)持續(xù)穩(wěn)定安全運(yùn)行。5軟件供應(yīng)鏈安全保護(hù)框架基于軟件供應(yīng)鏈模型、軟件供應(yīng)鏈實體角色分析和軟件供應(yīng)鏈安全構(gòu)成(見附錄A),確立了軟件供應(yīng)鏈安全保護(hù)框架。該框架規(guī)定了供需雙方(即“組織”)的軟件供應(yīng)鏈安全風(fēng)險管理要求，并從組織管3理和供應(yīng)活動兩個方面規(guī)定了需方安全要求和供方安全要求，如圖1所示。圖1軟件供應(yīng)鏈安全保護(hù)框架6軟件供應(yīng)鏈安全風(fēng)險管理要求6.1基本流程基本流程對組織要求如下。a)應(yīng)確定軟件供應(yīng)鏈風(fēng)險管理的目標(biāo)及策略，按照第7章、第8章安全要求建設(shè)軟件供應(yīng)鏈組織管理和供應(yīng)活動管理能力。b)應(yīng)識別軟件資產(chǎn)，梳理一般軟件資產(chǎn)和關(guān)鍵軟件資產(chǎn)(見附錄B),按照6.2的要求構(gòu)建軟件供應(yīng)鏈安全圖譜。c)應(yīng)確定軟件供應(yīng)鏈風(fēng)險管理的對象、范圍和邊界，包括但不限于軟件、環(huán)境及工具、外部組件等。d)應(yīng)依據(jù)軟件供應(yīng)鏈安全圖譜等建立組織管理、供應(yīng)活動管理等方面的供應(yīng)鏈安全信息采集和跟蹤機(jī)制。e)應(yīng)定期或基于安全需求開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估，依據(jù)上述結(jié)論采取相應(yīng)的供應(yīng)鏈風(fēng)險防范、風(fēng)險緩解或風(fēng)險消除措施。f)應(yīng)定期或根據(jù)實際業(yè)務(wù)需要開展軟件供應(yīng)鏈安全要求執(zhí)行情況的監(jiān)督檢查，研判a)～e)的有效性，并根據(jù)研判結(jié)果進(jìn)行調(diào)整。6.2軟件供應(yīng)鏈安全圖譜軟件供應(yīng)鏈安全圖譜對組織要求如下。a)應(yīng)根據(jù)不同類別的業(yè)務(wù)場景(見附錄C)確定軟件供應(yīng)鏈安全圖譜的等級，并清晰準(zhǔn)確地構(gòu)建軟件供應(yīng)鏈安全圖譜(見附錄D):1)一般業(yè)務(wù)場景中構(gòu)建的軟件供應(yīng)鏈安全圖譜，應(yīng)至少包含軟件產(chǎn)品信息；2)重要業(yè)務(wù)場景中構(gòu)建的軟件供應(yīng)鏈安全圖譜，應(yīng)包含1)中信息以及軟件來源信息、軟件3)核心業(yè)務(wù)場景中構(gòu)建的軟件供應(yīng)鏈安全圖譜，應(yīng)至少包含2)中信息，宜包含軟件部署和運(yùn)行所依賴的其他軟件產(chǎn)品信息。b)應(yīng)定期(至少每年一次)或軟件發(fā)生重要更新時，及時更新維護(hù)軟件供應(yīng)鏈安全圖譜。c)應(yīng)將軟件供應(yīng)鏈安全圖譜作為重要資產(chǎn)管理，采取相應(yīng)安全保護(hù)措施，防止軟件供應(yīng)鏈安全圖46.3軟件供應(yīng)鏈安全風(fēng)險評估軟件供應(yīng)鏈安全風(fēng)險評估對組織要求如下。a)應(yīng)按照GB/T36637—2018中6.3風(fēng)險評估流程，定期開展軟件供應(yīng)鏈安全風(fēng)險評估，識別現(xiàn)有或預(yù)計產(chǎn)生的組織管理和供應(yīng)活動管理相關(guān)的安全風(fēng)險，重點關(guān)注以下安全風(fēng)險：1)發(fā)行版本或升級補(bǔ)丁停止交付或部署；2)供方提供的服務(wù)部分或完全中斷；3)激活等軟件授權(quán)措施受影響導(dǎo)致軟件功能降級或服務(wù)能力受限；4)供應(yīng)活動在軟件中引入的安全風(fēng)險破壞發(fā)行版本或升級補(bǔ)丁的完整性、安全性和合規(guī)性。b)應(yīng)對a)的影響進(jìn)行研判，至少對如下問題做出明確結(jié)論：1)是否會影響到現(xiàn)有系統(tǒng)的正常安全運(yùn)行，以及影響范圍的大??；2)是否會影響到現(xiàn)有系統(tǒng)的日常維護(hù)工作，如：故障排查、故障部件更換、安全事件處置等；6.4軟件供應(yīng)鏈安全風(fēng)險處置需方應(yīng)滿足第7章安全要求，供方應(yīng)滿足第8章要求，以防范6.3a)中的安全風(fēng)險或緩解6.3b)中的7需方安全要求7.1組織管理機(jī)構(gòu)管理對需方要求如下。a)應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的資源(如有關(guān)資金、場地、人力等),并在預(yù)算管理過程中予以重點考慮。b)應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期(至少每年一次)開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作，包括但不限于軟件成分分析、源代碼和二進(jìn)制代碼安全漏洞分析和6.3等。c)應(yīng)及時制定、修訂、宣貫、執(zhí)行各項軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。d)對于重要或核心業(yè)務(wù)場景，宜設(shè)立專職軟件供應(yīng)鏈管理機(jī)構(gòu)開展軟件供應(yīng)鏈安全管理工作。制度管理對需方要求如下。a)應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略(可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分),至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別處置、監(jiān)督檢查等內(nèi)容。b)應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度，明確不同等級安全事件的報告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等要求。c)應(yīng)制定軟件采購、獲取、運(yùn)維、廢止等供應(yīng)活動安全管理制度，例如安全開發(fā)、交付部署和驗收、故障處理和維護(hù)升級等管理制度、規(guī)程或機(jī)制。d)應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等；對于重要崗位人員(如采購人員、安全測試人員、配置管理人員、漏洞管理人員等)應(yīng)明確5并開展背景審查工作的要求。e)應(yīng)制定供應(yīng)商管理制度，包括但不限于供應(yīng)商資質(zhì)審核、供應(yīng)商分類分級、供應(yīng)商不良行為處理等。f)應(yīng)制定知識產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。人員管理對需方要求如下。a)應(yīng)明確人員需具備的軟件供應(yīng)鏈實體要素的識別和安全分析能力，如軟件資產(chǎn)識別分析、軟件b)應(yīng)劃分人員的職責(zé)定位、權(quán)限級別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作日志。c)應(yīng)定期(至少每年一次)開展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于a)和b)中涉及的內(nèi)容。d)應(yīng)建立并執(zhí)行離職離崗人員賬號、權(quán)限、材料的交接和清理機(jī)制和規(guī)程。e)對于核心業(yè)務(wù)場景，宜配置軟件供應(yīng)鏈安全保障團(tuán)隊，并根據(jù)需要開展相關(guān)人員的背景調(diào)查。f)對于核心業(yè)務(wù)場景，宜具備防范各類軟件供應(yīng)鏈安全風(fēng)險能力，例如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。供應(yīng)商管理對需方要求如下。a)應(yīng)分類分級建立合格的供應(yīng)目錄，對供應(yīng)目錄及相關(guān)信息進(jìn)行集中管理，并定期或按照實際需求進(jìn)行更新維護(hù)。b)應(yīng)優(yōu)先選擇供應(yīng)目錄中滿足條件的供應(yīng)商。c)根據(jù)軟件供應(yīng)鏈中供應(yīng)關(guān)系、供應(yīng)活動的不同，供應(yīng)商應(yīng)符合8.2的安全要求。d)應(yīng)制定供應(yīng)商選擇策略和制度，對供應(yīng)商進(jìn)行風(fēng)險分析，包括但不限于背景、資質(zhì)、能力以及能否持續(xù)安全提供產(chǎn)品或服務(wù)等方面的風(fēng)險。e)應(yīng)要求供方開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作，明確相關(guān)內(nèi)容和范圍；確需第三方機(jī)構(gòu)的，應(yīng)明確對第三方機(jī)構(gòu)的能力、資質(zhì)等要求。f)應(yīng)要求供方配合相關(guān)部門開展軟件供應(yīng)鏈安全審查、監(jiān)督和檢查。g)應(yīng)在供應(yīng)關(guān)系、供應(yīng)商股權(quán)等信息發(fā)生變更時，對變更帶來的安全風(fēng)險進(jìn)行評估，并采取相應(yīng)的風(fēng)險控制措施。h)應(yīng)建立供應(yīng)商替代方案或具備相應(yīng)軟件的自主維護(hù)能力，防范軟件供應(yīng)鏈中斷風(fēng)險。7.1.5知識產(chǎn)權(quán)管理知識產(chǎn)權(quán)管理對需方要求如下。a)應(yīng)防止因知識產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險，或具備防范相應(yīng)法律風(fēng)險的能力和機(jī)制。b)應(yīng)充分熟悉所使用或在研軟件產(chǎn)品和服務(wù)的知識產(chǎn)權(quán)，對知識產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。c)在核心業(yè)務(wù)場景中，宜對所使用的軟件產(chǎn)品或服務(wù)相關(guān)的國內(nèi)外知識產(chǎn)權(quán)情況進(jìn)行詳細(xì)識別分析，建立相關(guān)知識產(chǎn)權(quán)風(fēng)險的應(yīng)對方案。7.2供應(yīng)活動管理基本流程對需方要求如下。6a)應(yīng)在開展供應(yīng)活動前，以協(xié)議、合同等方式與供方建立供應(yīng)關(guān)系。b)應(yīng)在協(xié)議、合同等文件中明確對供應(yīng)活動的安全要求，并簽署相應(yīng)的保密協(xié)議。c)應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動管理。軟件采購對需方要求如下。a)應(yīng)邀請軟件供應(yīng)鏈安全、網(wǎng)絡(luò)空間安全等領(lǐng)域?qū)＜?或具備相應(yīng)網(wǎng)絡(luò)空間安全能力的評標(biāo)人員)參與招標(biāo)采購過程。b)應(yīng)結(jié)合軟件應(yīng)用的實際業(yè)務(wù)場景，明確對軟件供應(yīng)鏈安全圖譜的要求；需要供方提供軟件供應(yīng)鏈安全圖譜的應(yīng)明確圖譜的內(nèi)容，如安全圖譜的等級、可追溯層級等。c)應(yīng)根據(jù)國家和行業(yè)已發(fā)布標(biāo)準(zhǔn)以及自身業(yè)務(wù)要求制定軟件的安全需求基線和防護(hù)架構(gòu)，如軟件應(yīng)具備的安全防護(hù)能力、保護(hù)個人信息和重要數(shù)據(jù)等不被泄露的能力。d)應(yīng)確定所采購軟件的授權(quán)使用期限及相應(yīng)的技術(shù)協(xié)助要求，在授權(quán)方式可選的條件下，明確軟件的激活、授權(quán)需求，優(yōu)先選擇離線永久激活模式，其次是完全在國內(nèi)線上永久激活，再次是完全在國內(nèi)實現(xiàn)的周期性線上激活、國外線上激活(永久或周期性)。e)應(yīng)制定從多個源廠商獲得兼容的產(chǎn)品和服務(wù)的方案，確保軟件來源的多樣性。對于單一來源的軟件，應(yīng)制定風(fēng)險消減措施。f)對于定制研發(fā)軟件，應(yīng)要求供方具備安全開發(fā)相關(guān)資質(zhì)或建立安全開發(fā)規(guī)范，建立和維護(hù)安全的開發(fā)環(huán)境、建立工具和設(shè)備的安全管理和準(zhǔn)入控制等。g)應(yīng)要求供方提供驗證產(chǎn)品是否來自原廠商且獲得許可的途徑或方法。h)應(yīng)明確對運(yùn)維技術(shù)團(tuán)隊及相應(yīng)技術(shù)能力的要求，包括但不限于風(fēng)險監(jiān)測識別、漏洞修復(fù)、完整i)應(yīng)要求軟件開發(fā)、交付、部署、測試等工具和設(shè)備具備可操作的替代方案。j)應(yīng)考慮政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時的可替代策略。k)應(yīng)明確軟件供應(yīng)鏈安全檢測和風(fēng)險評估的范圍，例如軟件資產(chǎn)識別、源代碼和二進(jìn)制代碼安全漏洞分析、軟件成分分析等；涉及第三方機(jī)構(gòu)的應(yīng)明確第三方機(jī)構(gòu)的資質(zhì)能力。軟件獲取對需方要求如下。a)應(yīng)對軟件進(jìn)行端到端的完整性驗證。b)應(yīng)對所獲取軟件進(jìn)行全面安全檢測和風(fēng)險評估，例如源代碼安全漏洞分析、二進(jìn)制代碼安全漏洞分析、容器鏡像安全分析、軟件成分分析和6.3等，確保所獲取軟件符合約定的安全要求。c)應(yīng)確保獲取的軟件不存在已公開漏洞未修復(fù)的情況；對于存在已公開漏洞未修復(fù)的，應(yīng)要求供方及時修復(fù)或采取相應(yīng)緩解措施，并提供漏洞處置報告。d)對于定制研發(fā)軟件，宜掌握關(guān)鍵軟件、組件的代碼結(jié)構(gòu)和技術(shù)原理；對于需要二次開發(fā)、獨(dú)立維護(hù)的應(yīng)獲取軟件源代碼和相關(guān)知識產(chǎn)權(quán)的授權(quán)，并妥善保管。e)對于定制研發(fā)軟件，應(yīng)要求廠商提供軟件相關(guān)技術(shù)資料，包括但不限于中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機(jī)制，軟件使用說明書、技術(shù)分析報告等技術(shù)資料。注1:技術(shù)分析報告包括但不限于源代碼、二進(jìn)制代碼、組件等供應(yīng)鏈安全分析報告。注2:軟件技術(shù)資料中設(shè)置聲明條款，說明采購第三方軟件、開源限制性、知識產(chǎn)權(quán)等情況。軟件運(yùn)維對需方要求如下。7a)應(yīng)確定運(yùn)維方案，包括運(yùn)維團(tuán)隊、運(yùn)維內(nèi)容和范圍、運(yùn)維流程等內(nèi)容。b)應(yīng)確保軟件及運(yùn)行環(huán)境持續(xù)穩(wěn)定可用，保障軟件完整性和訪問控制策略正常。c)應(yīng)建立可追溯臺賬，對軟件產(chǎn)品或服務(wù)整個使用過程進(jìn)行記錄、檢測和維護(hù)，及時更新維護(hù)軟件供應(yīng)鏈安全圖譜。d)應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，保障軟件安裝、升級維護(hù)時從安全可控的渠道獲取軟件安裝包、升級包、補(bǔ)丁包，并開展相應(yīng)的可用性、安全性及完整性檢測分析，在確保符合要求后進(jìn)行軟件安裝、更新升級，并同步更新相關(guān)配置。e)應(yīng)在約定的環(huán)境中使用軟件，對軟件及其運(yùn)行環(huán)境進(jìn)行安全配置，并記錄相關(guān)信息。f)應(yīng)明確運(yùn)維人員的訪問權(quán)限級別，對其訪問范圍和授權(quán)期限進(jìn)行嚴(yán)格區(qū)分，確定不同權(quán)限人員尤其是廠商、外包等非自有維護(hù)人員，開展軟件運(yùn)維的內(nèi)容和邊界。g)應(yīng)對授權(quán)期限進(jìn)行管理，禁止使用超過授權(quán)使用期限或維保期限的軟件；確需使用的應(yīng)定期評估并處置其安全風(fēng)險。h)應(yīng)對軟件運(yùn)維工具、運(yùn)維環(huán)境等進(jìn)行安全檢測和風(fēng)險評估，及時發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停止提供產(chǎn)品升級等供應(yīng)關(guān)系風(fēng)險，漏洞、后門等技術(shù)安全風(fēng)險以及知識產(chǎn)權(quán)風(fēng)險。i)應(yīng)收集軟件供應(yīng)鏈的安全風(fēng)險信息，發(fā)現(xiàn)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施，并按照規(guī)定及時向有關(guān)主管監(jiān)管部門報告。j)應(yīng)依據(jù)實際業(yè)務(wù)場景的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃，制定可接受的恢復(fù)時間和恢復(fù)目標(biāo)，并確定防范供應(yīng)中斷和服務(wù)中斷等風(fēng)險的安全策略。k)應(yīng)開展軟件供應(yīng)鏈相關(guān)范圍內(nèi)的數(shù)據(jù)安全檢測分析和風(fēng)險評估等工作，防止因軟件漏洞引起的信息泄露、數(shù)據(jù)泄露、篡改和損毀等安全事件發(fā)生。1)應(yīng)對軟件外聯(lián)網(wǎng)絡(luò)地址、域名數(shù)據(jù)等進(jìn)行檢測和分析，及時發(fā)現(xiàn)產(chǎn)品后門植入、擅自提高權(quán)限等違規(guī)操作。軟件廢止對需方要求如下。a)應(yīng)制定軟件廢止處理規(guī)程，例如軟件停用和卸載、軟件供應(yīng)鏈安全圖譜歸檔、信任關(guān)系清除以及數(shù)據(jù)備份、遷移和銷毀等，并按照規(guī)程開展相應(yīng)工作。b)應(yīng)移除準(zhǔn)入控制措施和策略中與所廢止軟件相關(guān)的信息，例如軟件、人員、設(shè)備等要求和規(guī)則；對于不適合清除的應(yīng)制定相應(yīng)的控制措施和策略。c)應(yīng)具備軟件廢止后防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。d)對于軟件產(chǎn)品廢止并替換為新產(chǎn)品的，應(yīng)要求新產(chǎn)品的供方支持?jǐn)?shù)據(jù)遷移到新的軟件產(chǎn)品。e)涉及數(shù)據(jù)銷毀的，宜參照GB/T37988—2019中第11章的要求進(jìn)行數(shù)據(jù)銷毀、防止對存儲的數(shù)據(jù)進(jìn)行修復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。f)廢止工作完成后應(yīng)進(jìn)行安全檢測，確保除例外的要求和規(guī)則外，軟件及其相關(guān)信息被完全廢止。8供方安全要求8.1組織管理機(jī)構(gòu)管理對供方要求如下。a)應(yīng)明確軟件供應(yīng)鏈安全管理組織機(jī)構(gòu)或人員及其職責(zé)范圍，提供保障軟件供應(yīng)鏈安全所需的8資源(如有關(guān)資金、場地、人力等),并在預(yù)算管理過程中予以重點考慮。b)應(yīng)組織構(gòu)建并管理軟件供應(yīng)鏈安全圖譜，定期(至少每年一次)開展軟件供應(yīng)鏈安全檢測、風(fēng)險評估等軟件供應(yīng)鏈安全風(fēng)險管理工作，包括但不限于軟件成分分析、源代碼和二進(jìn)制代碼安全檢測和6.3等。c)應(yīng)及時制定、修訂、宣貫、執(zhí)行各項軟件供應(yīng)鏈安全管理制度、流程以及機(jī)制。制度管理對供方要求如下。a)應(yīng)確定軟件供應(yīng)鏈安全的總體方針、安全制度和策略(可作為單獨(dú)的文件，也可作為相關(guān)文件中的一部分),至少包括軟件資產(chǎn)管理、軟件供應(yīng)鏈安全風(fēng)險識別、處置、監(jiān)督檢查等內(nèi)容。b)應(yīng)制定軟件供應(yīng)鏈安全風(fēng)險的持續(xù)監(jiān)測、風(fēng)險評估和事件響應(yīng)制度，并明確不同等級安全事件的報告、處置、響應(yīng)的流程和機(jī)制，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)等要求。c)應(yīng)制定軟件開發(fā)、交付、運(yùn)維、廢止等供應(yīng)活動的安全管理制度，例如安全開發(fā)、交付部署和驗收、故障處理和維護(hù)升級等管理制度、規(guī)程或機(jī)制。d)應(yīng)將軟件供應(yīng)鏈安全相關(guān)內(nèi)容應(yīng)納入人員管理制度，例如人員權(quán)限、能力、資質(zhì)、背景、技能培訓(xùn)等內(nèi)容；對于重要崗位人員(如安全測試人員、配置管理人員、漏洞管理人員等)應(yīng)明確并開展背景審查工作的要求。e)應(yīng)制定知識產(chǎn)權(quán)管理制度，包括但不限于軟件授權(quán)證書、專利、軟件著作權(quán)、許可協(xié)議等內(nèi)容。人員管理對供方要求如下。a)應(yīng)明確人員需具備的軟件供應(yīng)鏈實體要素的識別和安全分析能力，例如軟件資產(chǎn)識別分析、軟b)應(yīng)劃分人員的職責(zé)定位、權(quán)限級別，采用最小授權(quán)機(jī)制并建立操作規(guī)范，創(chuàng)建操作日志。c)應(yīng)具備防范各類軟件供應(yīng)鏈安全風(fēng)險能力，如軟件供應(yīng)鏈恢復(fù)、未知安全漏洞分析、軟件持續(xù)供應(yīng)能力分析等。d)應(yīng)定期(至少每年一次)開展軟件供應(yīng)鏈安全和保密培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于a)～c)中涉及的內(nèi)容。e)應(yīng)建立并執(zhí)行離職離崗人員的賬號、權(quán)限、材料等交接、清理的機(jī)制和規(guī)程。8.1.4知識產(chǎn)權(quán)管理知識產(chǎn)權(quán)管理對供方要求如下。a)應(yīng)防止因知識產(chǎn)權(quán)問題導(dǎo)致的法律風(fēng)險，或具備防范相應(yīng)法律風(fēng)險的能力和機(jī)制。b)應(yīng)充分熟悉所提供軟件的知識產(chǎn)權(quán)，對知識產(chǎn)權(quán)進(jìn)行規(guī)范管理，防止侵權(quán)。8.2供應(yīng)活動管理基本流程對供方要求如下。a)應(yīng)在開展供應(yīng)活動前以協(xié)議、合同等方式與需方建立供應(yīng)關(guān)系。b)應(yīng)在協(xié)議、合同等文件中明確對供應(yīng)活動的安全要求，并簽署相應(yīng)的保密協(xié)議。c)應(yīng)按照約定的內(nèi)容和范圍開展軟件供應(yīng)活動管理。9軟件開發(fā)對供方要求如下。a)參照GB/T30998—2014的第6章開展軟件開發(fā)的安全保障分析，或具備安全開發(fā)資質(zhì)，例如信息安全服務(wù)資質(zhì)(安全開發(fā)類)、軟件安全開發(fā)服務(wù)資質(zhì)等。b)應(yīng)將軟件作為組織資產(chǎn)進(jìn)行管理，制定和實施防盜版的策略和規(guī)程，開發(fā)過程中對文件、組件、開發(fā)工具等采取訪問控制、完整性保護(hù)等安全機(jī)制。c)應(yīng)構(gòu)建軟件供應(yīng)鏈安全圖譜，記錄軟件產(chǎn)品信息、軟件物料清單、安全漏洞等信息，并保障其完備性和準(zhǔn)確性。d)應(yīng)基于軟件供應(yīng)鏈安全圖譜，建立和維護(hù)可追溯性的策略和程序，記錄和保留外部組件的原始供應(yīng)方、開源社區(qū)或開發(fā)貢獻(xiàn)者等相關(guān)信息，可追溯至上游供應(yīng)商。e)應(yīng)確定軟件的安全需求基線和防護(hù)架構(gòu)，保障軟件具備安全防護(hù)、保護(hù)個人信息和重要數(shù)據(jù)不被泄露等能力。f)應(yīng)承諾所使用的外部組件不存在已公開漏洞未修復(fù)的情況；對于存在已公開漏洞未修復(fù)的，應(yīng)及時修復(fù)漏洞，或采取緩解防御措施，或提供漏洞分析和處置報告。g)應(yīng)建立外部組件的使用審批機(jī)制，對來源于開放源代碼社區(qū)和第三方的代碼、組件和軟件進(jìn)行完整性驗證、安全檢測和依賴關(guān)系分析，并對開源代碼進(jìn)行安全評價；建立自有的開源和第三方組件庫，并標(biāo)明使用等級(如優(yōu)選、可選、限選、禁選等),保障外部組件來源可靠、安全風(fēng)險可消除或控制。h)應(yīng)持續(xù)跟蹤所使用的工具、外部組件的使用狀態(tài)、安全狀態(tài)；對于存在安全風(fēng)險的，應(yīng)及時通報，并及時采取更新、修復(fù)等措施，完善軟件供應(yīng)鏈安全圖譜信息；對于缺乏維護(hù)或即將廢止的組件應(yīng)采取停用、廢止等處置措施。i)對于難以驗證來源的工具、外部組件，應(yīng)禁止使用；確需使用的應(yīng)醒目標(biāo)注，說明原因，通過安全檢測和風(fēng)險評估后方可使用。j)應(yīng)建立安全可控的軟件開發(fā)工作場所，搭建并使用專用的開發(fā)環(huán)境；涉及多個開發(fā)環(huán)境的應(yīng)進(jìn)行必要的邏輯隔離。k)應(yīng)建立開發(fā)/測試工具和設(shè)備白名單，采用安全檢測、正版授權(quán)驗證、官方完整性校驗等措施進(jìn)行白名單準(zhǔn)入控制，保障核心開發(fā)工具、核心組件有可替代方案或自主可控。1)應(yīng)選擇供需雙方約定的方式開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估工作，例如源代碼安全檢測、二進(jìn)制代碼安全檢測、軟件成分分析、知識產(chǎn)權(quán)分析、數(shù)據(jù)安全能力成熟度分析等。軟件交付對供方要求如下。a)應(yīng)確保交付軟件的真實性、準(zhǔn)確性、完整性，采取措施保護(hù)信息不被篡改和泄露，并提供所交付軟件的完整性驗證措施或方法。b)應(yīng)按約定方式對交付軟件實行安全部署和配置，提供部署方法、安全配置基線和軟件供應(yīng)鏈安全圖譜等信息。c)應(yīng)承諾所交付軟件不存在已公開漏洞未修復(fù)的情況；對于存在已公開漏洞未修復(fù)的，應(yīng)及時采取緩解措施，并提供漏洞處置報告。d)應(yīng)配合開展所交付軟件的功能、性能、完整性及安全性等驗收測試并對軟件進(jìn)行數(shù)字簽名，開展包括但不限于供應(yīng)關(guān)系、供應(yīng)活動的安全檢測和風(fēng)險評估，以及可持續(xù)供應(yīng)能力、安全漏洞等安全檢測和風(fēng)險評估，確保符合約定的安全要求。e)對于所交付軟件，應(yīng)禁止交付約定范圍外的內(nèi)容，如開啟無關(guān)功能、捆綁無關(guān)軟件等，并承諾不在軟件中設(shè)置后門，或利用軟件的便利條件非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備，不會利用軟件的依賴性謀取不正當(dāng)利益，不在未授權(quán)情況下對軟件進(jìn)行升級或更新?lián)Q代；對于約定的遠(yuǎn)程訪問控制措施，應(yīng)采取必要技術(shù)手段和管理措施確保遠(yuǎn)程控制過程的安全性。f)應(yīng)及時提供交付環(huán)節(jié)變化的通報，以及相關(guān)的交付途徑安全性分析報告，并對可能造成嚴(yán)重后果的變化，快速采取補(bǔ)救措施。g)應(yīng)交付需方購買軟件的使用授權(quán)，例如許可證、產(chǎn)品序列號、許可協(xié)議等h)應(yīng)保障所交付軟件使用的外部組件獲取途徑安全性、自身安全性、組件可持續(xù)服務(wù)等，提供與等相關(guān)材料。i)對于定制研發(fā)軟件，應(yīng)交付包括但不限于軟件源代碼，中文版運(yùn)行維護(hù)、二次開發(fā)、軟件使用的場景和條件、權(quán)限和授權(quán)機(jī)制，以及軟件使用說明書、技術(shù)分析報告等技術(shù)資料。注1:技術(shù)分析報告包括但不限于源代碼、二進(jìn)制代碼、組件等供應(yīng)鏈安全分析報告。注2:軟件技術(shù)資料中設(shè)置聲明條款，說明采購第三方軟件、開源限制性、知識產(chǎn)權(quán)等情況。j)對于定制研發(fā)或者自主研制軟件，應(yīng)妥善保管i)中的內(nèi)容，并依據(jù)相關(guān)規(guī)定或合同文件，不將軟件全部或部分泄露到授權(quán)以外的范圍，并簽署保密協(xié)議。k)應(yīng)對軟件分包、集成等工作的安全負(fù)責(zé)。1)應(yīng)開展全面的軟件供應(yīng)鏈安全檢測，例如源代碼安全檢測、二進(jìn)制代碼安全檢測和容器鏡像安全檢測等，緩解或消除軟件供應(yīng)鏈安全風(fēng)險。軟件運(yùn)維對供方要求如下。a)應(yīng)確保軟件在授權(quán)期內(nèi)持續(xù)穩(wěn)定可用，保障軟件完整性和訪問控制策略正常。b)應(yīng)協(xié)調(diào)軟件原廠、供應(yīng)商、集成商等共同開展軟件運(yùn)維工作。c)應(yīng)建立并維護(hù)可追溯臺賬，及時更新維護(hù)軟件供應(yīng)鏈安全圖譜信息。d)應(yīng)識別授權(quán)即將到期或超過授權(quán)、維保期限仍在使用的軟件，定期開展安全風(fēng)險檢測和風(fēng)險評估，及時向需方發(fā)送風(fēng)險提醒，并協(xié)助處置發(fā)現(xiàn)的安全風(fēng)險。e)應(yīng)定期(至少每年一次)開展軟件供應(yīng)鏈安全檢測和風(fēng)險評估，例如軟件本身、運(yùn)維工具、運(yùn)維環(huán)境、軟件外聯(lián)網(wǎng)絡(luò)地址、域名以及數(shù)據(jù)安全等安全檢測和風(fēng)險評估，及時發(fā)現(xiàn)并處置軟件中斷供應(yīng)、停止授權(quán)、停止提供產(chǎn)品升級等持續(xù)供應(yīng)風(fēng)險，漏洞、后門以及數(shù)據(jù)泄露、篡改和損毀、信息泄露、擅自提高權(quán)限等安全風(fēng)險，并按照有關(guān)規(guī)定向相關(guān)部門報告。f)應(yīng)在生產(chǎn)地、注冊地所在國家或地區(qū)出現(xiàn)因政治、外交、貿(mào)易、自然災(zāi)害、公共安全事件等不可抗力導(dǎo)致供應(yīng)中斷時，及時采取應(yīng)對措施，或在需方采用替代方案時積極給予協(xié)助。g)應(yīng)禁止向未授權(quán)者提供運(yùn)維相關(guān)數(shù)據(jù)，或?qū)⑾嚓P(guān)數(shù)據(jù)用于運(yùn)維以外的目的。h)應(yīng)明確軟件供應(yīng)鏈運(yùn)維人員對軟件供應(yīng)鏈的訪問權(quán)限，確定不同權(quán)限人員開展軟件運(yùn)維的內(nèi)容和邊界。軟件廢止對供方要求如下。a)應(yīng)協(xié)助需方開展軟件卸載、停用及數(shù)據(jù)備份、遷移、銷毀等工作。b)應(yīng)具備防止軟件泄露、數(shù)據(jù)泄露的安全保障能力。c)對于軟件廢止并替換為新軟件的，新軟件應(yīng)采取如下措施支持?jǐn)?shù)據(jù)遷移到新的軟件：1)制定軟件數(shù)據(jù)遷移計劃，并確保數(shù)據(jù)安全遷移；2)在數(shù)據(jù)遷移完成后，對廢止軟件進(jìn)行數(shù)據(jù)清除和卸載，對廢止軟件進(jìn)行安全處理。GB/T43698—2024(資料性)軟件供應(yīng)鏈安全概述A.1軟件供應(yīng)鏈模型軟件供應(yīng)鏈?zhǔn)且环N由供應(yīng)關(guān)系、供應(yīng)活動構(gòu)成的網(wǎng)鏈結(jié)構(gòu)。軟件供應(yīng)鏈至少包含一層供應(yīng)關(guān)系，一種實體可以有多種角色。以軟件采購為例，當(dāng)需方直接從軟件開發(fā)廠商采購軟件時，供應(yīng)鏈中包含開發(fā)商(供方)和采購商(需方)兩種實體角色，此時軟件供應(yīng)鏈僅包含一層供應(yīng)關(guān)系；當(dāng)需方采購定制研發(fā)軟件產(chǎn)品時，定制過程中需外包或采購部分功能模塊，此時軟件供應(yīng)鏈可能存在多層供應(yīng)關(guān)系，外包方(供方)和定制開發(fā)方(需方)、定制開發(fā)方(供方)和軟件采購方(需方),定制開發(fā)方具備了供方和需方兩種角色；軟件供應(yīng)鏈中最細(xì)粒度的供應(yīng)關(guān)系僅包含一層供應(yīng)關(guān)系。軟件供應(yīng)鏈模型示意圖如圖A.1集成軟件運(yùn)維需方/供方(集成商)需方/供方需方/供方軟1交付軟件開發(fā)詳細(xì)過程供方第三方供方(外包方)供方(代理商)供方(開發(fā)商)上游需方/供方需方/供方需方/供方史王壞節(jié)交付壞節(jié)開發(fā)環(huán)節(jié)供方需方/供方圖A.1軟件供應(yīng)鏈模型示意圖A.2軟件供應(yīng)鏈實體角色分析軟件供應(yīng)鏈主要相關(guān)實體角色是供方和需方。在特定條件下，第三方機(jī)構(gòu)將參與供方和需方的相關(guān)活動。其中，第三方機(jī)構(gòu)在軟件供應(yīng)鏈中主要根據(jù)供需雙方的安全要求開展軟件供應(yīng)鏈安全檢測、評估、咨詢等服務(wù)，在此過程中第三方機(jī)構(gòu)作為服務(wù)提供方屬于供方角色范疇。軟件供應(yīng)鏈中供方、需方和第三方機(jī)構(gòu)間的關(guān)系如圖A.2所示。安全檢測、評估、咨詢第三方機(jī)構(gòu)開發(fā)、交付、運(yùn)維、廢止需方供方需方采購、獲取、運(yùn)維、廢止A.3軟件供應(yīng)鏈安全構(gòu)成A.3.1概述軟件供應(yīng)鏈安全包括實體角色與活動、環(huán)節(jié)與供應(yīng)活動、安全風(fēng)險等內(nèi)容，如圖A.3所示。軟件開發(fā)商/代理商軟件開發(fā)商/代理商第三方組件供應(yīng)商外包開發(fā)商監(jiān)管機(jī)構(gòu)、第三方測評機(jī)構(gòu)開發(fā)環(huán)節(jié)軟件運(yùn)維軟件廢止后門、漏洞、缺陷代碼托管風(fēng)險管理、知識產(chǎn)權(quán)等風(fēng)險+**采購需求分析編碼開發(fā)、測試第三方紐件使用代碼托管外包集成軟件開發(fā)商/代理商監(jiān)管機(jī)構(gòu)、第三方測評機(jī)構(gòu)物流餅劫持下載劫持擁綁下載軟件交付范圍擴(kuò)大+.4*運(yùn)行壞境污染升級更新劫持應(yīng)急響應(yīng)風(fēng)險軟件供應(yīng)中斷使用操作運(yùn)光維護(hù)應(yīng)急處置代理交付直接交付下載獲取安裝部署軟件采購軟件開發(fā)環(huán)節(jié)與供應(yīng)活動實體角色與活動交付環(huán)節(jié)安全風(fēng)險*4圖A.3軟件供應(yīng)鏈安全構(gòu)成示意圖A.3.2軟件供應(yīng)鏈環(huán)節(jié)與供應(yīng)活動軟件供應(yīng)鏈主要包括三個環(huán)節(jié)，分別是開發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)。軟件供應(yīng)鏈安全以軟件供應(yīng)鏈環(huán)節(jié)為主線，以風(fēng)險管理為總體依據(jù)，指導(dǎo)供需雙方開展組織管理和供應(yīng)活動管理工作。軟件供應(yīng)止。根據(jù)實體角色的不同，在各個環(huán)節(jié)中供需雙方涉及的供應(yīng)活動不同。需方和供方涉及的各個供應(yīng)活動的相關(guān)描述如表A.1所示。表A.1軟件供應(yīng)鏈環(huán)節(jié)和供應(yīng)活動環(huán)節(jié)名稱供應(yīng)活動實體角色活動描述開發(fā)環(huán)節(jié)軟件采購需方通過文件、協(xié)議或合同的方式確定軟件供需雙方的關(guān)系，軟件采購將對軟件供應(yīng)鏈中后續(xù)供需雙方的供應(yīng)活動的總體要求進(jìn)行闡釋、說明和約定軟件開發(fā)供方軟件供應(yīng)鏈的供方進(jìn)行軟件的設(shè)計、編碼、集成、測試等活動，形成滿足需方要求的軟件交付環(huán)節(jié)軟件交付供方供方通過特定的方式或渠道將軟件交付至需方軟件獲取需方需方從供方獲取軟件，并開展軟件驗收等工作使用環(huán)節(jié)軟件運(yùn)維供方需方為保障軟件的正常運(yùn)行，軟件供應(yīng)鏈的供方和需方開展運(yùn)營、維護(hù)、排障、更新、應(yīng)急處置等工作軟件廢止供方需方在軟件生命周期結(jié)束之前，供需雙方對上述活動中產(chǎn)生的程序、代碼、資料、文檔等進(jìn)行銷毀、封存、存檔等處理工作A.3.3軟件供應(yīng)鏈安全風(fēng)險A.3.3.1概述在軟件供應(yīng)鏈各個供應(yīng)活動中均可能引入安全風(fēng)險，主要分為供應(yīng)關(guān)系風(fēng)險、技術(shù)風(fēng)險和知識產(chǎn)權(quán)風(fēng)險3類。其中，供應(yīng)關(guān)系風(fēng)險主要是指供應(yīng)中斷，技術(shù)風(fēng)險主要指軟件漏洞、軟件后門、惡意篡改和信息泄露等，知識產(chǎn)權(quán)風(fēng)險主要指假冒偽劣、不合規(guī)等安全風(fēng)險。A.3.3.2供應(yīng)中斷和降級因自然等不可抗力、政治、外交、國際經(jīng)貿(mào)等原因造成上游軟件、使用許可、知識產(chǎn)權(quán)授權(quán)等交付途軟件漏洞通常被認(rèn)為是軟件生命周期中出現(xiàn)的設(shè)計錯誤、編碼缺陷以及運(yùn)行故障。A.3.3.4軟件后門主要包括以下內(nèi)容。a)供方預(yù)留在軟件產(chǎn)品中預(yù)置且未向需方聲明的用于管理、運(yùn)維、調(diào)試等接口，如果被泄露，攻擊者會通過預(yù)置接口獲得軟件或操作系統(tǒng)的訪問權(quán)限。b)攻擊者惡意植入攻擊者入侵供應(yīng)鏈環(huán)節(jié)，在供應(yīng)鏈環(huán)節(jié)中修改軟件組件以植入惡意后門，達(dá)到捆綁惡意代碼、A.3.3.5惡意篡改主要包括以下內(nèi)容。a)惡意代碼植入在需方不知情的情況下，在軟件產(chǎn)品或供應(yīng)鏈中的組件、外部工具(開發(fā)、測試、運(yùn)維等工具)中植入具有惡意邏輯的可執(zhí)行文件、代碼模塊或代碼片段。b)供應(yīng)信息篡改在供方不知情的情況下，篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息，如銷售信息、商品信息、軟件構(gòu)成信息等。供方提供未經(jīng)產(chǎn)品認(rèn)證、檢測的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。軟件供應(yīng)鏈信息被有意或無意地泄露，如軟件上游供應(yīng)商、下游需方的信息可能涉及商業(yè)秘密，供應(yīng)鏈信息存在被泄露的風(fēng)險。A.3.3.8供應(yīng)鏈劫持供應(yīng)鏈劫持是普遍存在的一種供應(yīng)鏈污染，安全風(fēng)險突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫A.3.3.9知識產(chǎn)權(quán)非法使用未經(jīng)授權(quán)而生產(chǎn)、銷售、發(fā)布軟件或組件，導(dǎo)致軟件產(chǎn)品的全部或部分被泄漏到授權(quán)以外的范圍，如盜版軟件、違反開源許可使用的軟件、違反協(xié)議進(jìn)行的二次開發(fā)等。A.3.3.10開源許可違規(guī)使用主要包括以下內(nèi)容。a)無開源許可證軟件產(chǎn)品發(fā)布時缺少開源許可證類型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等許可證。b)使用不規(guī)范軟件產(chǎn)品發(fā)布時不符合相應(yīng)許可協(xié)議的規(guī)范和要求，包括但不限于沒有遵循開源許可證協(xié)議，開源組件修改后許可信息丟失，存在無許可信息的開源片段代碼等。由于軟件供應(yīng)鏈內(nèi)外部人員、軟件供應(yīng)鏈全球性等特點帶來的風(fēng)險或挑戰(zhàn)。GB/T43698—2024(資料性)關(guān)鍵軟件資產(chǎn)B.1概述關(guān)鍵軟件資產(chǎn)主要指具有或直接依賴包含至少一項特定關(guān)鍵功能屬性的軟件，比如處理重要數(shù)據(jù)、涉及特權(quán)操作等。B.2關(guān)鍵軟件資產(chǎn)清單在重要業(yè)務(wù)場景和核心業(yè)務(wù)場景中梳理關(guān)鍵軟件資產(chǎn)，建立關(guān)鍵軟件資產(chǎn)清單，并將關(guān)鍵軟件資產(chǎn)所依賴的其他軟件納入關(guān)鍵軟件資產(chǎn)清單。B.3關(guān)鍵軟件資產(chǎn)供應(yīng)鏈?zhǔn)崂黻P(guān)鍵軟件資產(chǎn)供應(yīng)鏈?zhǔn)崂淼男畔?，主要包括以下?nèi)容。a)產(chǎn)品發(fā)布版本號。b)產(chǎn)品原廠。c)產(chǎn)品生命周期。d)產(chǎn)品補(bǔ)丁發(fā)布計劃。e)產(chǎn)品交付途徑。f)產(chǎn)品部署方式(在線或離線)。g)產(chǎn)品授權(quán)(或許可)方式、年限。h)產(chǎn)品中所包括的外部組件清單，及其源供應(yīng)商。i)產(chǎn)品發(fā)行版本是否有激活等技術(shù)性版權(quán)控制措施。如有，還需進(jìn)一步梳理如下信息：1)激活版本和未激活版本是否有功能差異；2)激活是線上完成還是離線完成；3)激活是否需要原廠提供的憑據(jù)、數(shù)據(jù)等，這些憑據(jù)、數(shù)據(jù)丟失或損壞后能否以及如何恢復(fù)；4)激活是永久激活還是定期激活；5)是否有去激活機(jī)制，去激活是否需要原廠參與；6)是否允許重新激活，重新激活過程是否可以離線完成。j)產(chǎn)品部署版本和補(bǔ)丁從原廠交付到需方、并部署到需方信息系統(tǒng)的所有經(jīng)過的交付節(jié)點(環(huán)1)原廠是否提供交付環(huán)節(jié)端對端數(shù)據(jù)完整性保護(hù)措施；2)交付環(huán)節(jié)之間是否提供點對點的完整性保護(hù)措施；3)每一個交付環(huán)節(jié)是否有防止交付物被修改的措施。對產(chǎn)品中包括的核心外部組件，需要軟件供應(yīng)商提供外部組件源供應(yīng)商與其之間的供應(yīng)鏈信息，至少包括上述a)～j)項信息。(資料性)組織業(yè)務(wù)場景分類組織根據(jù)軟件是否應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施、軟件資產(chǎn)分類、場景價值3個要素對業(yè)務(wù)場景分a)根據(jù)國家相關(guān)規(guī)定確定軟件是否應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施(關(guān)基);b)結(jié)合軟件在實際業(yè)務(wù)中的重要程度，將其確定為一般軟件資產(chǎn)、關(guān)鍵軟件資產(chǎn)(見附錄B);c)根據(jù)a)和b)的結(jié)果確定場景的價值為較低、較高和很高；d)場景價值較低的為一般業(yè)務(wù)場景，場景價值較高的為重要業(yè)務(wù)場景，場景價值很高的為核心業(yè)表C.1業(yè)務(wù)場景分類場景分類結(jié)果應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施軟件資產(chǎn)分類場景價值場景說明軟件供應(yīng)鏈安全圖譜一般業(yè)務(wù)場景否一般較低僅涉及個人或組織安全或利益數(shù)據(jù)的業(yè)務(wù)場景下的軟件供應(yīng)鏈：1)業(yè)務(wù)場景價值較低；2)受到損害后僅對法人或組織安全造成損害，影響范圍較小基礎(chǔ)級重要業(yè)務(wù)場景否關(guān)鍵較高行業(yè)或社會廣泛使用的，涉及行業(yè)或社會重要數(shù)據(jù)業(yè)務(wù)場景下的軟件供應(yīng)鏈：1)在行業(yè)或社會廣泛使用，業(yè)務(wù)場景價值較高；2)受到破壞后損害組織、公共利益或社會安全通用級是一般核心業(yè)務(wù)場景是關(guān)鍵很高全社會使用非常廣泛、國家重要領(lǐng)域、要害部門等關(guān)鍵信息基礎(chǔ)設(shè)施中涉及國家安全和國計民生的軟件供應(yīng)鏈：1)用戶為全社會、國家重要領(lǐng)域、要害部門，業(yè)務(wù)場景價值很高；2)涉及國家安全和國計民生，受到破壞后損害國家安全或嚴(yán)重?fù)p害社會安全增強(qiáng)級(資料性)軟件供應(yīng)鏈安全圖譜D.1圖譜構(gòu)成軟件供應(yīng)鏈安全圖譜包含軟件產(chǎn)品信息、軟件物料清單和安全信息3方面內(nèi)容。其中，安全信息是指軟件物料清單中的組件、代碼中存在的技術(shù)安