T-ISC 0044-2024 軟件供應(yīng)鏈安全要求

T/ISC0044—2024Requirementforsoftwar中國互聯(lián)網(wǎng)協(xié)會發(fā)布1 2 3 3 3 3 3 3 34軟件供應(yīng)鏈安全體系模型 3 4 4 4 45.4過程管理（軟件全生命周期） 5 5 5 5 5 6 6 6 6 7 7 72本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本標(biāo)準(zhǔn)由中國互聯(lián)網(wǎng)協(xié)會歸口。本文件起草單位：中國信息通信研究院、深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司、揚(yáng)州數(shù)安技術(shù)有限公司、北京風(fēng)行網(wǎng)安科技有限公司、中國石油昆侖數(shù)智科技有限責(zé)任公司、中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司、中國電力科學(xué)研究院有限公司、中國民航信息網(wǎng)絡(luò)股份有限公司、中國經(jīng)濟(jì)信息社、中建數(shù)字科技有限公司、OpenSDV汽車軟件開源聯(lián)盟、北京智精靈科技有限公司、四川賽闖檢測股份有限公司、成都信息工程大學(xué)、網(wǎng)宿科技股份有限公司、仁壽智仁智慧科技有限公司、四川仁恒智合科技有限公司、江蘇大道云隱科技有限公司。本文件主要起草人：蔣阿芳、馬英軒、樊可欣、王頡、菅志剛、王曉龍、郭治文、張志強(qiáng)、滕征岑、張嵩、孫忠偉、肖秀琴、易興輝、劉玲、繆思薇、周亮、左海峰、楊京煜、王宇、翟冬梅、吳新麗、王勇、王一村、段柯欣、賈大偉、滕召智、梁堯、張坤、方建康、周瓊、馮麗、袁麗、黃莎琳、呂士表、楊志偉、廖敏飛、黨杜均、鄧恒、黃圣超。3軟件供應(yīng)鏈安全要求本文件規(guī)定了的軟件供應(yīng)鏈安全要求。適用于信息技術(shù)產(chǎn)品研發(fā)的組織機(jī)構(gòu)對自身的軟件供應(yīng)鏈安全的建設(shè)、評估和改進(jìn)，適用于第三方開展軟件供應(yīng)鏈安全下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)GB/T36637—2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T25069界定的以及下列術(shù)語和定義適用于本文件。括開發(fā)環(huán)節(jié)、交付環(huán)節(jié)和使用環(huán)節(jié)，劃分為協(xié)商、生產(chǎn)、交付4軟件供應(yīng)鏈安全體系模型4軟件供應(yīng)鏈安全體系主要包括安全管理和安全技術(shù)兩部分。管理包括組織機(jī)構(gòu)、管理制度、人員管理、過程管理四個(gè)部分。技術(shù)包括安全需求設(shè)計(jì)、安全編碼開發(fā)、安全測試驗(yàn)證、安全部署運(yùn)維、開源組件管控、軟件制品安全檢查和配套文檔記錄及管理、開發(fā)環(huán)境安全配置、使用環(huán)境及安全配置、軟件資產(chǎn)及知識產(chǎn)權(quán)管理、漏洞管理十一個(gè)部分。建立完整的軟件供應(yīng)鏈安全體系應(yīng)包括以上內(nèi)容，結(jié)合實(shí)際情況持續(xù)優(yōu)化。在體系建設(shè)、運(yùn)行、總結(jié)、評審等情況下，應(yīng)逐條對照進(jìn)行實(shí)施，在體系運(yùn)行范圍內(nèi)貫徹落實(shí)。5.1組織機(jī)構(gòu)本項(xiàng)要求包括：b)應(yīng)制定年度軟件供應(yīng)鏈安全保障計(jì)劃，組織實(shí)施和監(jiān)督，并在年底總結(jié)；5.2管理制度本項(xiàng)要求包括：a)應(yīng)制定軟件供應(yīng)鏈安全的總體方針和制度，明確本單位軟件供應(yīng)鏈安全基d)應(yīng)制定軟件安全漏洞管理制度，明確安全漏洞風(fēng)險(xiǎn)的防范、響應(yīng)和處理5.3人員管理本項(xiàng)要求包括：b)應(yīng)開展人員崗前的審查，考核人員的軟件供應(yīng)鏈安全意識和相關(guān)能力；5c)定期（至少每半年一次）開展軟件供應(yīng)鏈安d)應(yīng)建立并執(zhí)行離職離崗人員賬號、權(quán)限、材料的交接和清5.4過程管理（軟件全生命周期）a)應(yīng)對軟件的需求、設(shè)計(jì)、開發(fā)、測試、部署、維護(hù)、廢止等各階段進(jìn)行安全過程h)應(yīng)建立安全廢止流程，對軟件的廢止要測試環(huán)境以及運(yùn)行環(huán)境中的軟件程序包、配置6.1安全需求設(shè)計(jì)c)應(yīng)組織安全需求評審，并持續(xù)維護(hù)安全需求，在需求變更等情況時(shí)重新g)應(yīng)持續(xù)維護(hù)安全設(shè)計(jì)，在重構(gòu)、更改業(yè)務(wù)邏輯6.2安全編碼開發(fā)安全、代碼生成安全、內(nèi)存管理、數(shù)據(jù)庫管理、文件管理、網(wǎng)絡(luò)傳輸、安全的編d)應(yīng)在編譯最終制品時(shí)關(guān)閉不必要的選項(xiàng)6.3安全測試驗(yàn)證b)應(yīng)針對安全需求編寫測試用例并執(zhí)行安全測試；6d)應(yīng)對軟件的代碼、開源組件、APIe)應(yīng)開展代碼評審、代碼檢測、代碼走查，識別并修f)應(yīng)開展開源組件安全合規(guī)檢查，識別并修復(fù)開源組件的安全漏洞和開源許可證g)應(yīng)將發(fā)現(xiàn)的安全漏洞收錄到內(nèi)部漏洞庫中，并執(zhí)行后續(xù)的漏洞管h)應(yīng)具備主要安全基線的自動(dòng)測試能6.4安全發(fā)布運(yùn)維b)應(yīng)定期檢查軟件運(yùn)行環(huán)境配置安全，不符合安全要求的配置應(yīng)及時(shí)修改；6.5開源組件合規(guī)管控a)應(yīng)選用不含安全漏洞（中危以上級別）的開源組件和開b)應(yīng)選用不存在許可證授權(quán)沖突的開源組件和開源代碼，避免因此導(dǎo)致的法律風(fēng)險(xiǎn)；c)應(yīng)選用有替代品的開源組件和開源代碼，防止停e)應(yīng)對所有需要使用的開源組件和開源代碼進(jìn)行安全漏洞檢測，然后收錄到軟件資產(chǎn)庫集中管6.6配套文檔記錄及管理b)應(yīng)在文檔中記錄時(shí)間、相關(guān)單位及負(fù)責(zé)人、主要內(nèi)容，并加蓋公章；c)應(yīng)對關(guān)鍵文檔進(jìn)行管理，控制文檔的流轉(zhuǎn)、存儲d)應(yīng)對涉密文檔設(shè)置權(quán)限，未授權(quán)人員不應(yīng)獲得、閱讀、修6.7開發(fā)測試環(huán)境安全配置b)應(yīng)對開發(fā)環(huán)境網(wǎng)絡(luò)和測試環(huán)境網(wǎng)絡(luò)執(zhí)行權(quán)限訪問控制，未授權(quán)人員不得訪問開發(fā)環(huán)境；c)應(yīng)關(guān)閉開發(fā)環(huán)境和測試環(huán)境各軟硬件系統(tǒng)中的常見高危端口或服務(wù)，并配置數(shù)據(jù)讀寫安全模7e)應(yīng)建立軟件資產(chǎn)庫，軟件資產(chǎn)庫至少包括源代碼庫、開源組6.8軟件制品安全管理b)應(yīng)對軟件制品進(jìn)行惡意代碼、腳本、病毒蠕蟲木馬等掃描；e)應(yīng)對所有軟件制品定期進(jìn)行檢查，將檢出的漏洞收錄至安全漏洞庫，f)應(yīng)對軟件制品中引用的開源許可證進(jìn)行檢查，避免因此導(dǎo)致j)應(yīng)對軟件的發(fā)布環(huán)境進(jìn)行安全管控和安全加固，防止軟件發(fā)布環(huán)境被攻擊而導(dǎo)致發(fā)布的軟件6.9使用環(huán)境安全配置b)應(yīng)關(guān)閉使用環(huán)境各軟硬件系統(tǒng)中的常見高危端口或服務(wù)，例如22端口、23端口、80端口