TCSAC 002-2024 軟件標(biāo)識(shí)標(biāo)簽技術(shù)要求

ICS35.240.01CCSL78ICS

T/CSAC中華人民共和國 團(tuán)體標(biāo)準(zhǔn)T/CSAC 軟件標(biāo)識(shí)標(biāo)簽技術(shù)要求Technicalrequirementsforsoftwareidentificationtag2024-7-31發(fā)布 2024-7-31實(shí)施中國網(wǎng)絡(luò)空間安全協(xié)會(huì)??發(fā)布T/CSAC 002T/CSAC 002—2024PAGE\*ROMANPAGE\*ROMANIII目 次ICS 1前 言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 2軟件標(biāo)識(shí)標(biāo)簽 2概述 2總體結(jié)構(gòu) 2基本數(shù)據(jù)元素 3補(bǔ)充描述性數(shù)據(jù)元素 3軟件標(biāo)識(shí)標(biāo)簽基本數(shù)據(jù)元素 3唯一標(biāo)識(shí)符 3軟件名稱 4軟件版本 4軟件部件號(hào) 4軟件供方 4軟件供方標(biāo)識(shí) 4標(biāo)簽類型 4時(shí)間戳 4軟件標(biāo)識(shí)標(biāo)簽處理 4標(biāo)簽創(chuàng)建 4標(biāo)簽聚合 4標(biāo)簽共享 5標(biāo)簽完整性 5標(biāo)簽解析 5標(biāo)簽存儲(chǔ) 5標(biāo)簽類型 5概述 5語料庫標(biāo)簽 5主標(biāo)識(shí)標(biāo)簽 6補(bǔ)丁標(biāo)簽 6補(bǔ)充標(biāo)簽 7標(biāo)簽相關(guān)性 7相關(guān)性描述 7依賴關(guān)系 7組成關(guān)系 7補(bǔ)丁關(guān)系 7標(biāo)簽安全 8數(shù)字簽名 8加密 8參考文獻(xiàn) 9前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會(huì)提出。本文件由中國網(wǎng)絡(luò)空間安全協(xié)會(huì)歸口。（杭州T/CSAC 002T/CSAC 002—2024PAGEPAGE1軟件標(biāo)識(shí)標(biāo)簽技術(shù)要求范圍本文件規(guī)定了軟件標(biāo)識(shí)標(biāo)簽的功能、通用結(jié)構(gòu)、必要的數(shù)據(jù)元素字段以及處理規(guī)則。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T11457—2006 信息技術(shù)軟件工程術(shù)GB/T25069—2022 信息安全技術(shù)術(shù)語GB/T36475—2018 軟件產(chǎn)品分類GB/T36637—2018 信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南GB/T43698—2024 網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求術(shù)語和定義GB/T43698-2024中定義的以及下列術(shù)語和定義適用于本文件。軟件產(chǎn)品 softwareproduct計(jì)算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件或在提供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時(shí)提供的計(jì)算機(jī)軟件。注１：軟件產(chǎn)品包含計(jì)算機(jī)程序代碼、規(guī)程、相關(guān)數(shù)據(jù)、文檔和相關(guān)服務(wù)。注2：本文件中軟件產(chǎn)品簡稱為軟件。[來源：GB/T43698-2024，3.1]軟件標(biāo)識(shí)標(biāo)簽Softwareidentificationtag用于標(biāo)識(shí)和描述單個(gè)軟件產(chǎn)品的數(shù)據(jù)元素集合，包含軟件名稱、版本、供方等方面的信息。元素Element支配類型的值或支配信息客體類別的信息客體，能分別從相同類型或相同類別信息客體的所有他值中區(qū)別出來。[來源：GB/T16262.1-2006,3.6.19]語料庫標(biāo)簽Corpustag用于軟件安裝包的軟件標(biāo)識(shí)標(biāo)簽。主標(biāo)識(shí)標(biāo)簽Primarytag用于標(biāo)識(shí)軟件產(chǎn)品發(fā)行版的標(biāo)準(zhǔn)軟件標(biāo)識(shí)標(biāo)簽。補(bǔ)丁標(biāo)簽PatchTag用于標(biāo)識(shí)修補(bǔ)已發(fā)布軟件產(chǎn)品缺陷和漏洞的補(bǔ)丁或修復(fù)的軟件標(biāo)識(shí)標(biāo)簽。補(bǔ)充標(biāo)簽SupplementalTag用于為已存在的軟件標(biāo)識(shí)標(biāo)簽提供額外數(shù)據(jù)元素的軟件標(biāo)識(shí)標(biāo)簽。縮略語下列縮略語適用于本文件。SWID 軟件標(biāo)識(shí)（SoftwareIdentification）CD/DVD 光盤（CompactDisc/Digitalversatiledisc）軟件標(biāo)識(shí)標(biāo)簽概述軟件標(biāo)識(shí)標(biāo)簽應(yīng)僅包含標(biāo)識(shí)軟件所需的最小必要信息。額外的非識(shí)別信息應(yīng)通過引用的方式包含，而非直接集成到標(biāo)簽中，從而使軟件標(biāo)識(shí)標(biāo)簽盡可能簡潔。JSON軟件標(biāo)識(shí)標(biāo)簽可獨(dú)立使用，也可集成到軟件物料清單或者其他軟件關(guān)系描述文件中?？傮w結(jié)構(gòu)如圖1所示，軟件標(biāo)識(shí)標(biāo)簽應(yīng)包含標(biāo)識(shí)軟件所需的基本數(shù)據(jù)元素(見6.2)和數(shù)據(jù)元素完整性檢查機(jī)制(見8.4)。軟件標(biāo)識(shí)標(biāo)簽可包含補(bǔ)充描述性數(shù)據(jù)元素(見6.3)。圖1軟件標(biāo)識(shí)標(biāo)簽包含的信息類型基本數(shù)據(jù)元素軟件標(biāo)識(shí)標(biāo)簽應(yīng)包含以下基本數(shù)據(jù)元素：唯一標(biāo)識(shí)符軟件名稱軟件版本軟件供方標(biāo)簽類型(語料庫標(biāo)簽或主標(biāo)識(shí)標(biāo)簽等)這些數(shù)據(jù)元素代表了標(biāo)識(shí)軟件所需的最小必要信息。補(bǔ)充描述性數(shù)據(jù)元素除基本數(shù)據(jù)元素外，軟件標(biāo)識(shí)標(biāo)簽還可包含多種可選的補(bǔ)充描述性數(shù)據(jù)元素，比如：軟件部件號(hào)軟件供方標(biāo)識(shí)時(shí)間戳文檔信息許可證信息安裝說明相關(guān)性（依賴關(guān)系、組成關(guān)系和補(bǔ)丁關(guān)系）補(bǔ)丁/升級(jí)信息運(yùn)行環(huán)境信息補(bǔ)充數(shù)據(jù)元素宜以引用的形式包含在軟件標(biāo)識(shí)標(biāo)簽中，這避免標(biāo)簽本身變得過于復(fù)雜冗長。軟件標(biāo)識(shí)標(biāo)簽基本數(shù)據(jù)元素唯一標(biāo)識(shí)符此唯一標(biāo)識(shí)符用于標(biāo)識(shí)特定的軟件標(biāo)識(shí)標(biāo)簽實(shí)例。軟件名稱此數(shù)據(jù)元素標(biāo)識(shí)軟件產(chǎn)品的通常名稱。例如“云星光sbom-tool”。名稱應(yīng)具有足夠的特定性以準(zhǔn)確標(biāo)識(shí)軟件產(chǎn)品。過于通用的名稱如“文本編輯器”應(yīng)避免使用。軟件版本此數(shù)據(jù)元素標(biāo)識(shí)軟件產(chǎn)品的準(zhǔn)確版本。版本通常由以下元素組成：主版本號(hào)：產(chǎn)品版本系列中主要版本的編號(hào)。次版本號(hào)：主版本下的次要版本編號(hào)。修訂號(hào)：小的修改和缺陷修復(fù)版本編號(hào)。構(gòu)建號(hào)：完整識(shí)別構(gòu)建或編譯的唯一標(biāo)識(shí)符。例如：“2.1.3.76543”，應(yīng)盡可能全面清晰以準(zhǔn)確區(qū)分不同軟件產(chǎn)品版本。軟件部件號(hào)對(duì)于由多個(gè)部件或文件組成的軟件產(chǎn)品，可標(biāo)識(shí)特定部分或組件的編號(hào)。部分號(hào)與產(chǎn)品版本號(hào)組合，能夠準(zhǔn)確定位軟件組成部分。軟件供方此數(shù)據(jù)元素標(biāo)識(shí)負(fù)責(zé)提供軟件產(chǎn)品的組織，應(yīng)使用組織的正式名稱。例如：“京東科技信息技術(shù)有限公司”。軟件供方標(biāo)識(shí)此可選數(shù)據(jù)元素包含標(biāo)識(shí)軟件供方的唯一標(biāo)識(shí)字符串。標(biāo)簽類型此數(shù)據(jù)元素標(biāo)識(shí)標(biāo)簽的類型，如該標(biāo)簽為語料庫標(biāo)簽、主標(biāo)識(shí)標(biāo)簽等，詳見第8章。時(shí)間戳此數(shù)據(jù)元素標(biāo)識(shí)標(biāo)簽創(chuàng)建的時(shí)間。軟件標(biāo)識(shí)標(biāo)簽處理標(biāo)簽創(chuàng)建標(biāo)簽聚合標(biāo)簽共享軟件供方應(yīng)通過軟件包或軟件目錄等方式共享軟件標(biāo)識(shí)標(biāo)簽，以便標(biāo)簽與軟件產(chǎn)品一起傳遞給需方。標(biāo)簽完整性標(biāo)簽解析標(biāo)簽存儲(chǔ)解析后的軟件標(biāo)識(shí)標(biāo)簽可存儲(chǔ)于資產(chǎn)管理系統(tǒng)、清單數(shù)據(jù)庫等倉庫中，以供后續(xù)管理和報(bào)告使用。標(biāo)簽類型語料庫標(biāo)簽功能語料庫標(biāo)簽提供有關(guān)軟件分發(fā)的信息，可用于在軟件部署期間驗(yàn)證軟件安裝包的真實(shí)性和完整性。數(shù)據(jù)元素CD/DVD）的信息。處理主標(biāo)識(shí)標(biāo)簽功能（（包括自動(dòng)化工具數(shù)據(jù)元素處理主標(biāo)識(shí)標(biāo)簽與軟件產(chǎn)品一起安裝（或隨后創(chuàng)建），以唯一地標(biāo)識(shí)和描述軟件產(chǎn)品。當(dāng)產(chǎn)品升級(jí)時(shí)，補(bǔ)丁標(biāo)簽功能數(shù)據(jù)元素處理補(bǔ)充標(biāo)簽功能數(shù)據(jù)元素（由軟件供方提供處理標(biāo)簽相關(guān)性相關(guān)性描述依賴關(guān)系標(biāo)識(shí)標(biāo)簽所描述軟件依賴的其它軟件，應(yīng)包含對(duì)依賴軟件標(biāo)簽的引用。組成關(guān)系標(biāo)識(shí)標(biāo)簽描述的軟件是由哪些組件軟件組成的，應(yīng)包含對(duì)組件軟件標(biāo)簽的引用。補(bǔ)丁關(guān)系標(biāo)識(shí)標(biāo)簽描述的補(bǔ)丁或修復(fù)應(yīng)用于哪個(gè)軟件，應(yīng)包含對(duì)所應(yīng)用軟件標(biāo)簽的引用。通過相關(guān)性描述，可以構(gòu)建出軟件系統(tǒng)的完整層次關(guān)系模型。標(biāo)簽安全軟件供方應(yīng)采取加密和數(shù)據(jù)簽名等安全機(jī)制來保護(hù)軟件標(biāo)識(shí)標(biāo)簽的完整性和可驗(yàn)證性。數(shù)字簽名加密參考文獻(xiàn)GB/T32921—2016 信息安全技術(shù) 信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則ISO/IEC19770-1:2015Informationtechnology—Softwareassetmanagement—Part1：ProcessesandtieredassessmentofconformanceISO/IEC19770-2:2015Informationtechnology-Softwareassetmanagement-Part2:SoftwareidentificationtagNIST.IR.806