信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)要求編制說(shuō)明

信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)要求編制說(shuō)明標(biāo)準(zhǔn)起草工作組2025年3月

目的意義數(shù)字經(jīng)濟(jì)時(shí)代，軟件已成為保障社會(huì)正常運(yùn)轉(zhuǎn)的基本組件。政府機(jī)構(gòu)、企業(yè)組織及個(gè)人用戶，都離不開(kāi)軟件應(yīng)用。由于軟件設(shè)計(jì)工作復(fù)雜、軟件開(kāi)發(fā)過(guò)程安全缺失、軟件漏洞數(shù)量和漏洞的嚴(yán)重程度不斷增加，對(duì)軟件系統(tǒng)的穩(wěn)定運(yùn)行和信息數(shù)據(jù)的安全性都造成嚴(yán)重影響。攻擊者采用多種新型復(fù)雜的攻擊手段如供應(yīng)鏈污染、惡意代碼混淆、零日漏洞利用等對(duì)軟件系統(tǒng)進(jìn)行攻擊，影響極大。例如，針對(duì)PHP/JAVA部署工具OneinStack和Linux服務(wù)器部署工具LNMP的供應(yīng)鏈投毒攻擊事件，Darkhotel（APT-C-06）利用某郵件系統(tǒng)0day投遞載荷，BadBox安卓僵尸網(wǎng)絡(luò)等供應(yīng)鏈產(chǎn)品攻擊事件。建立明確的信息與通信技術(shù)產(chǎn)品供應(yīng)鏈技術(shù)檢測(cè)要求，包括軟件成分分析、二進(jìn)制軟件基因分析、動(dòng)態(tài)應(yīng)用程序安全測(cè)試、靜態(tài)應(yīng)用程序安全測(cè)試、容器鏡像安全測(cè)試等，以規(guī)避信息與通信技術(shù)產(chǎn)品中開(kāi)源組件、后門、源代碼安全、Web漏洞安全等風(fēng)險(xiǎn)，保障產(chǎn)品的質(zhì)量和安全性，是實(shí)現(xiàn)供應(yīng)鏈安全治理的首要任務(wù)。研究并編制信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)規(guī)范，其主要目的包括幾點(diǎn)。一是規(guī)范信息與通信技術(shù)產(chǎn)品的供應(yīng)鏈安全測(cè)試要素、測(cè)試流程、測(cè)試技術(shù)；二是加強(qiáng)對(duì)信息與通信技術(shù)產(chǎn)品的安全監(jiān)管；三是推動(dòng)信息與通信技術(shù)供應(yīng)鏈產(chǎn)品安全認(rèn)證體系發(fā)展。本項(xiàng)目成功實(shí)施的意義重大，在國(guó)家網(wǎng)絡(luò)安全、供應(yīng)鏈及企業(yè)發(fā)展等方面發(fā)揮關(guān)鍵作用，具體如下。一是強(qiáng)化網(wǎng)絡(luò)安全與主權(quán)保障。明確信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)規(guī)范，能夠有效提高對(duì)信息與通信技術(shù)產(chǎn)品的安全性評(píng)估。這不僅有助于構(gòu)建安全可靠的信息與通信技術(shù)產(chǎn)品供應(yīng)鏈，還能夠增強(qiáng)國(guó)家在信息技術(shù)領(lǐng)域的自主可控能力。通過(guò)確保關(guān)鍵技術(shù)和產(chǎn)品的安全性，國(guó)家將能夠更好地應(yīng)對(duì)外部網(wǎng)絡(luò)攻擊和潛在風(fēng)險(xiǎn)，維護(hù)國(guó)家利益與主權(quán)安全，促進(jìn)社會(huì)的和諧穩(wěn)定發(fā)展。二是優(yōu)化供應(yīng)鏈產(chǎn)品質(zhì)量管理體系。質(zhì)量是供應(yīng)鏈管理的核心要素，而有效的質(zhì)量管理體系是保障產(chǎn)品安全與可靠性的基礎(chǔ)。本項(xiàng)目旨在建立健全的供應(yīng)鏈產(chǎn)品質(zhì)量管理體系，通過(guò)制定標(biāo)準(zhǔn)化的流程和規(guī)范，提升供應(yīng)鏈各環(huán)節(jié)的透明度與可追溯性。這樣不僅能夠提高產(chǎn)品的整體質(zhì)量，還能減少因質(zhì)量問(wèn)題帶來(lái)的安全隱患。同時(shí)，通過(guò)對(duì)供應(yīng)鏈的持續(xù)監(jiān)控與評(píng)估，能夠及時(shí)發(fā)現(xiàn)潛在問(wèn)題，確保產(chǎn)品在生產(chǎn)、運(yùn)輸和銷售過(guò)程中的高標(biāo)準(zhǔn)管理，最終實(shí)現(xiàn)客戶滿意度的提升，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。三是促進(jìn)信息與通信技術(shù)產(chǎn)品檢測(cè)標(biāo)準(zhǔn)化進(jìn)程。標(biāo)準(zhǔn)化是提高行業(yè)整體技術(shù)水平的重要手段，特別是在快速發(fā)展的信息與通信技術(shù)領(lǐng)域。本項(xiàng)目通過(guò)推動(dòng)信息與通信技術(shù)產(chǎn)品檢測(cè)標(biāo)準(zhǔn)的統(tǒng)一與規(guī)范，有助于提升行業(yè)內(nèi)各企業(yè)的技術(shù)水平與市場(chǎng)競(jìng)爭(zhēng)力。通過(guò)建立統(tǒng)一的檢測(cè)標(biāo)準(zhǔn)，不僅能夠?yàn)槠髽I(yè)提供可靠的檢測(cè)依據(jù)，還能提高消費(fèi)者對(duì)產(chǎn)品質(zhì)量的信任度。此外，標(biāo)準(zhǔn)化進(jìn)程的推進(jìn)還將促進(jìn)行業(yè)內(nèi)的技術(shù)交流與合作，加速技術(shù)創(chuàng)新的步伐，從而為整個(gè)信息與通信技術(shù)行業(yè)的可持續(xù)發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。四是提升企業(yè)對(duì)信息與通信技術(shù)產(chǎn)品的創(chuàng)新力。創(chuàng)新是企業(yè)持續(xù)發(fā)展的動(dòng)力，而技術(shù)規(guī)范的實(shí)施與標(biāo)準(zhǔn)化的推進(jìn)將為企業(yè)的創(chuàng)新活動(dòng)提供良好的環(huán)境和基礎(chǔ)。本項(xiàng)目通過(guò)明確技術(shù)規(guī)范與標(biāo)準(zhǔn)，激勵(lì)企業(yè)加大研發(fā)投入，推動(dòng)技術(shù)創(chuàng)新。這不僅能夠提升企業(yè)在信息與通信技術(shù)領(lǐng)域的核心競(jìng)爭(zhēng)力，還將促進(jìn)新技術(shù)、新產(chǎn)品的不斷涌現(xiàn)，滿足市場(chǎng)日益變化的需求。任務(wù)來(lái)源在為供應(yīng)鏈的需求方和供應(yīng)商開(kāi)展信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全檢測(cè)的過(guò)程中，發(fā)現(xiàn)現(xiàn)有的標(biāo)準(zhǔn)無(wú)法滿足需求方和供應(yīng)商的安全需求，沒(méi)有相關(guān)的標(biāo)準(zhǔn)化檢測(cè)方法，在同眾多需求方及供應(yīng)商溝通交流后，形成了彼此認(rèn)可的信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)規(guī)范。編制過(guò)程1) 2024年6月，成立編制工作組，啟動(dòng)標(biāo)準(zhǔn)編制工作，公安部第三研究所開(kāi)始籌備起草組成立會(huì)議，分別向行業(yè)內(nèi)知名的企業(yè)、從事相關(guān)研究的單位發(fā)出邀請(qǐng)并開(kāi)展起草工作。2）2024年12月，形成標(biāo)準(zhǔn)草案。3）2024年12月5日，提交標(biāo)準(zhǔn)項(xiàng)目建議書4）2024年12月30日，經(jīng)過(guò)多次內(nèi)部征求意見(jiàn)，形成標(biāo)準(zhǔn)草案修改版。5）2025年1月7日，形成標(biāo)準(zhǔn)草案第一版。2025年1月17日，召開(kāi)立項(xiàng)評(píng)審會(huì)，邀請(qǐng)專家對(duì)草案給出建議。2025年2月8日至2025年2月25日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，針對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了細(xì)節(jié)的修改與調(diào)整。2025年3月1日，形成征求意見(jiàn)稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)適用于信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試，用于發(fā)現(xiàn)信息與通信技術(shù)產(chǎn)品中開(kāi)源組件、后門、源代碼安全、Web漏洞安全等風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)規(guī)定了信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)的應(yīng)用方法，包括軟件成分安全技術(shù)分析、二進(jìn)制軟件基因技術(shù)分析、動(dòng)態(tài)應(yīng)用程序安全測(cè)試、靜態(tài)應(yīng)用程序安全測(cè)試、容器鏡像安全技術(shù)分析等。詳情如下：1、軟件成分分析：軟件成分分析工具是旨在對(duì)軟件源代碼進(jìn)行成分和風(fēng)險(xiǎn)分析的工具，其通過(guò)對(duì)開(kāi)源組件成分、組件依依賴關(guān)系、漏洞風(fēng)險(xiǎn)、開(kāi)源許可風(fēng)險(xiǎn)、投毒風(fēng)險(xiǎn)、篡改風(fēng)險(xiǎn)及供應(yīng)連續(xù)性風(fēng)險(xiǎn)進(jìn)行分析。2、二進(jìn)制軟件基因安全測(cè)試：二進(jìn)制軟件基因安全測(cè)試工具是旨在對(duì)軟件制品進(jìn)行成分和風(fēng)險(xiǎn)分析的工具，其通過(guò)對(duì)開(kāi)源組件成分、漏洞風(fēng)險(xiǎn)、開(kāi)源許可風(fēng)險(xiǎn)、投毒風(fēng)險(xiǎn)及靜態(tài)代碼進(jìn)行分析。3、容器鏡像安全測(cè)試：容器鏡像安全測(cè)試工具是深度融合云原生特性，將安全能力左移到構(gòu)建階段，針對(duì)交付物是容器鏡像或依賴容器鏡像的產(chǎn)品，主動(dòng)持續(xù)開(kāi)展風(fēng)險(xiǎn)分析，其通過(guò)對(duì)鏡像成分、鏡像漏洞、鏡像投毒及組件篡改進(jìn)行分析。4、靜態(tài)應(yīng)用安全測(cè)試：靜態(tài)應(yīng)用安全測(cè)試通過(guò)分析應(yīng)用程序的源代碼、二進(jìn)制代碼或字節(jié)代碼來(lái)發(fā)現(xiàn)和識(shí)別應(yīng)用中常見(jiàn)安全漏洞的技術(shù)，分析項(xiàng)對(duì)靜態(tài)代碼、缺陷漏洞及缺陷審計(jì)進(jìn)行分析。5、動(dòng)態(tài)應(yīng)用安全測(cè)試：動(dòng)態(tài)應(yīng)用安全測(cè)試工具是通過(guò)掃描軟件應(yīng)用程序，無(wú)需了解應(yīng)用的內(nèi)部交互或設(shè)計(jì)，也無(wú)需訪問(wèn)或查看源程序，即可在系統(tǒng)層面檢查正在運(yùn)行的應(yīng)用，發(fā)現(xiàn)安全漏洞或開(kāi)放漏洞的工具，其通過(guò)對(duì)程序依賴、會(huì)話管理、請(qǐng)求響應(yīng)及漏洞風(fēng)險(xiǎn)進(jìn)行分析。與相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)的關(guān)系（1）GB/T24420-2009供應(yīng)鏈風(fēng)險(xiǎn)管理指南該標(biāo)準(zhǔn)僅針對(duì)傳統(tǒng)供應(yīng)鏈，本標(biāo)準(zhǔn)則明確對(duì)ICT產(chǎn)品開(kāi)展軟件成分分析、二進(jìn)制軟件基因安全、容器鏡像安全、靜態(tài)應(yīng)用安全及動(dòng)態(tài)應(yīng)用安全測(cè)試的供應(yīng)鏈安全測(cè)試技術(shù)規(guī)范。該標(biāo)準(zhǔn)由TC260提出并歸口。（2）GB/T30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南該標(biāo)準(zhǔn)提供了網(wǎng)絡(luò)安全漏洞的分類方式、分級(jí)指標(biāo)和分級(jí)方法的建議。本標(biāo)準(zhǔn)在編寫時(shí)，參考了漏洞分類相關(guān)部分的內(nèi)容。（3）GB/T32921-2016信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則該標(biāo)準(zhǔn)從供應(yīng)商的角度對(duì)保護(hù)用戶相關(guān)信息、維護(hù)用戶信息安全提出要求，限制供應(yīng)商對(duì)用戶相關(guān)信息收集和處理及遠(yuǎn)程控制用戶產(chǎn)品的安全準(zhǔn)則。本標(biāo)準(zhǔn)參考了對(duì)供應(yīng)方產(chǎn)品的相關(guān)內(nèi)容。（4）GB/T36637-2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南該標(biāo)準(zhǔn)著重于風(fēng)險(xiǎn)管理方面，對(duì)供應(yīng)鏈生命周期幾個(gè)階段中的脆弱性進(jìn)行風(fēng)險(xiǎn)管理。本標(biāo)準(zhǔn)參考供應(yīng)鏈生命周期脆弱性相關(guān)內(nèi)容。（5）GB/T36643-2018信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范該標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全威脅信息模型和網(wǎng)絡(luò)安全威脅信息組件，包括網(wǎng)絡(luò)安全威脅信息中格組件的屬性和屬性值格式等信息。本標(biāo)準(zhǔn)參考了網(wǎng)絡(luò)安全威脅信息格式相關(guān)內(nèi)容。（6）GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求該標(biāo)準(zhǔn)分別對(duì)供應(yīng)商與需求方提出簡(jiǎn)要的基礎(chǔ)要求，圍繞供應(yīng)鏈中各供應(yīng)商根據(jù)自身的產(chǎn)品或服務(wù)而形成的供應(yīng)關(guān)系展開(kāi)。該標(biāo)準(zhǔn)涉及供應(yīng)鏈安全內(nèi)容較少。（7）JR-T0290-2024金融業(yè)開(kāi)源軟件應(yīng)用管理指南該標(biāo)準(zhǔn)聚焦于金融機(jī)構(gòu)在應(yīng)用開(kāi)源軟件時(shí)的全流程管理，主要針對(duì)金融機(jī)構(gòu)規(guī)范自身對(duì)開(kāi)源軟件引入、使用及退出的過(guò)程管理以及風(fēng)險(xiǎn)管控。本標(biāo)準(zhǔn)參考開(kāi)源軟件安全風(fēng)險(xiǎn)相關(guān)內(nèi)容。（8）T/TAF073-2020網(wǎng)絡(luò)產(chǎn)品供應(yīng)鏈安全要求該標(biāo)準(zhǔn)針對(duì)網(wǎng)絡(luò)產(chǎn)品在采購(gòu)環(huán)節(jié)的安全管理、組織機(jī)構(gòu)和人員、信息系統(tǒng)等不同等級(jí)的安全要求，包括了產(chǎn)品認(rèn)證和供應(yīng)商管理的安全要求。其適用于網(wǎng)絡(luò)產(chǎn)品的提供者對(duì)供應(yīng)鏈采購(gòu)過(guò)程進(jìn)行安全管理。本標(biāo)準(zhǔn)參考了網(wǎng)絡(luò)產(chǎn)品相關(guān)安全要求。本標(biāo)準(zhǔn)：主要針對(duì)開(kāi)展ICT產(chǎn)品供應(yīng)鏈安全測(cè)試的技術(shù)規(guī)范，包括軟件成分分析、二進(jìn)制軟件基因安全、容器鏡像安全、靜態(tài)應(yīng)用安全及動(dòng)態(tài)應(yīng)用安全測(cè)試提出了規(guī)范化要求。從適用對(duì)象上看，本標(biāo)準(zhǔn)是針對(duì)ICT產(chǎn)品的測(cè)試流程、測(cè)試方法提出了技術(shù)規(guī)范措施。從描述粒度上看，本標(biāo)準(zhǔn)對(duì)軟件成分分析、二進(jìn)制軟件基因安全、容