ICS35.080 CCS L00/09 团 体 标 准 T/ISC 0044—2024 软件供应链安全要求 Requirement for software supply chain security 发布稿 2024年1月29日发布 2024年2月28日实施 中国互联网协会发布 T/I1SC0044-2024 目 次 前言. 2 1范围. .3 2规范性引用文件 .3 3术语和定义 3 3.1软件供应链 3.2软件供应链安全 3.3软件供应链生命周期 3 3.4开源组件 4软件供应链安全体系模型 5安全管理要求 .4 组续机构 5.2管理制度 5.3人员管理 .4 5.4过程管理(软件全生命周期) ..5 6安全技术要求 6.1安全需求设计 4 .5 6.2安全编码开发 .5 6.3安全测试验证 6.4安全发布运维 .6 6.5开源组件合规管控 .6 6.6配套文档记录及管理 .6 6.7开发测试环境安全配置 .6 6.8软件制品安全管理 7 6.9使用环境安全配置 .7 6.10漏洞管理 7 T/ISC0044—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本标准由中国互联网协会归口. 本文件起草单位:中国信息通信研究院、深圳开源互联网安全技术有限公司、扬州数安技术有限 公司、北京风行网安科技有限公司、中国石油昆仑数智科技有限责任公司、中国移动通信集团设计院 有限公司、中国电力科学研究院有限公司、中国民航信息网络股份有限公司、中国经济信息社、中建 数字科技有限公司、OpenSDV汽车软件开源联盟、北京智精灵科技有限公司、四川赛闯检测股份有限 公司、成都信息工程大学、网宿科技股份有限公司、仁寿智仁智慧科技有限公司、四川仁恒智合科技 有限公司、江苏大道云隐科技有限公司. 本文件主要起草人:蒋阿芳、马英轩、樊可欣、王颉、营志刚、王晓龙、郭治文、张志强、滕征 岑、张嵩、孙忠伟、肖秀琴、易兴辉、刘玲、缪思薇、周亮、左海峰、杨京煜、王宇、翟冬梅、吴新 丽、王勇、王一村、段柯欣、贾大伟、滕召智、梁尧、张坤、方建康、周琼、冯丽、袁丽、黄莎琳、 吕士表、杨志伟、廖敏飞、党杜均、邓恒、黄圣超. 2 T/ISC0044—2024 软件供应链安全要求 1范围 本文件规定了的软件供应链安全要求.适用于信息技术产品研发的组织机构对自身的软件供应链 安全的建设、评估和改进,适用于第三方开展软件供应链安全检测评估认证. 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用 文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括修改单) 适用于本文件. GB/T25069一2022信息安全技术术语 GB/T36637一2018信息安全技术ICT供应链安全风险管理指南 GB/T30279一2020信息安全技术网络安全漏洞分类分级指南 GB/T22239一2019信息安全技术网络安全等级保护基本要求 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件. 3.1 软件供应链software supply chain 为满足软件供应关系通过资源和过程将需方、供方相互连接的网链结构,可用于将软件产品和服务 提供给需方. 3.2 软件供应链安全software supply chain security 指软件供应链生命周期中各环节、过程涉及的软件产品和服务安全、供应关系安全、人员安全及软 件供应链基础设施安全的总和. 3.3 软件供应链生命周期software supply chain life cycle 在软件供应链中,从软件的需求分析开始至软件的废止停用或者供需双方终止协议的整个时期,包 括开发环节、交付环节和使用环节,划分为协商、生产、交付、获取、使用、运维、废止7个过程. 3.4 开源组件open source ponent 开放源代码,遵循开源协议进行共享、开发、使用、编译和发布的软件模块,通常是由源代码程序 文件构成. 4软件供应链安全体系模型 3 T/ISC0044-2024 软件供应链安全体系模型 安全管理 安全技术 组织机构 管理制度 人员管理 过程管理 安全需求设计 安全编码开发 安全测试验证 安全发布运维 开源组件合规管控 配套文档记录及管理 开发测试环境安全配置 软件制品安全管理 使用环境安全配置 洞管理 图1软件供应链安全体系模型 软件供应链安全体系主要包括安全管理和安全技术两部分.管理包括组织机构、管理制度、人员管 理、过程管理四个部分.技术包括安全需求...