T/CSAC 003-2024 软件标识标签编码要求

ICS35.240.01

CCSL78

T/CSAC

中华人民共和国团体标准

T/CSAC003—2024

软件标识标签编码要求

Codingrequirementforsoftwareidentificationtag

2024-7-31发布2024-7-31实施

中国网络空间安全协会  发布

T/CSAC003—2024

目次

前言............................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4缩略语...............................................................................2

5软件标识标签结构.....................................................................2

5.1软件标识标签的数据构成...........................................................2

5.2软件标识标签的数据格式要求.......................................................2

5.3软件标识标签的基本数据元素.......................................................2

5.3.1根元素软件标识...............................................................2

5.3.2子元素实体...................................................................3

5.4软件标识标签的可选数据元素.......................................................3

5.4.1元素证据.....................................................................3

5.4.2元素关联.....................................................................3

5.4.3元...........................................................................4

5.4.4有效载荷.....................................................................4

5.4.5元素目录.....................................................................4

5.4.6元素组件.....................................................................4

5.5软件标识标签的扩展数据元素.......................................................4

5.6数字签名.........................................................................5

附录A............................................................................6

附录B............................................................................8

附录C...........................................................................12

参考文献..............................................................................14

I

T/CSAC003—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国网络空间安全协会提出。

本文件由中国网络空间安全协会归口。

本文件起草单位：中国信息安全测评中心、深圳市金蝶天燕云计算股份有限公司、工业和信息化部

第五研究所、京东科技信息技术有限公司、统信软件技术有限公司、麒麟软件有限公司、苏州棱镜七彩

信息科技有限公司、中移（杭州）信息技术有限公司、中国互联网络信息中心、沈阳东软系统集成工程

有限公司、北京数字认证股份有限公司、三六零数字安全科技集团有限公司、中孚安全技术有限公司、

拓尔思信息技术股份有限公司、杭州网易智企科技有限公司、北京航空航天大学。

本文件主要起草人：高松、邵帅、林琳、李伟彬、方时、王晓萌、柴思跃、顾欣、廖晗、郑伟娜、

唐洪山、张磊、文波、毛周、梁大功、黄浩东、徐倩华、蔡倩楠、聂智戈、杨万禄、邓鑫杰、喻海生、

贾彦生、沈天翔、刘中、肖若楠、李娜、耿贵宁、张岳、徐戈、王洪俊、朱浩奇、李雨珂、关振宇、李

大伟。

II

T/CSAC003—2024

软件标识标签编码要求

1范围

本文件规定了软件标识标签的结构和编码规则，包括软件标识标签的数据构成、数据格式要求、基

本数据元素、扩展数据元素。

本文件适用于所有需要标识的软件组件，包括商业软件、开源软件、定制软件等，可用于指导软件

供应链相关方之间进行软件标识标签的生成、共享和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T11457-2006信息技术软件工程术语

GB/T25069-2022信息安全技术术语

GB/T36637-2018信息安全技术ICT供应链安全风险管理指南

GB/T43698-2024信息安全技术软件供应链安全要求

3术语和定义

下列术语和定义适用于本文件。

3.1

软件产品softwareproduct

计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时

提供的计算机软件。

注1：软件产品包含计算机程序代码、规程、相关数据、文档和相关服务。

注2：本文件中软件产品简称为软件。

[来源：GB/T43698-2024，3.1]

3.2

软件标识标签SoftwareIdentificationTag

用于标识和描述单个软件产品的数据元素集合，包含软件名称、版本、供方等方面的信息。

3.3

元素Element

支配类型的值或支配信息客体类别的信息客体，能分别从相同类型或相同类别信息客体的所有他值

中区别出来。

[来源：GB/T16262.1-2006，3.6.19]

1

T/CSAC003—2024

4缩略语

下列缩略语适用于本文件。

GUID：全局唯一标识符（GloballyUniqueIdentifier）

JSON：一种轻量级的数据交换格式（JavaScriptObjectNotation）

MD5：一种消息摘要算法（MessageDigest5）

SHA：安全哈希算法（SecureHashAlgorithm）

SM2：国家密码管理局公布的椭圆曲线公钥密码算法（PublicKeyCryptographicAlgorithmBasedon

EllipticCurves）

SM3：国家密码管理局公布的安全哈希算法（SecureHashAlgorithm3）

URL：统一资源定位符（UniformResourceLocator）

5软件标识标签结构

5.1软件标识标签的数据构成

软件标识标签由根元素和子元素构成。其中根元素标记为SoftwareIdentity，用于表示一个软件标

识标签的开始。子元素用来表达不同类别的产品信息，子元素包括Entity、Evidence、Link、Meta和

Payload。根元素和子元素可包含不同的属性，用于表达更多的信息。

5.2软件标识标签的数据格式要求

软件标识标签的数据格式满足以下要求：

a）支持人类容易理解和解释的格式；

b）支持自动化工具解析处理

c）支持独立于编程语言的通用格式，包括JSON等。

5.3软件标识标签的基本数据元素

软件标识标签的基本数据元素定义了软件标识标签的最小集，包含根元素软件标识

（SoftwareIdentity）和子元素实体（Entity）及相关属性。其中，SoftwareIdentity包含记录产品名

称的name属性和记录标签全局唯一标识符的tagId属性，Entity包含记录标签创建者名称的name属性和

记录标签创建者角色的role属性。软件标识SoftwareIdentity和实体Entity还可包含其他自定义的扩展

属性。

5.3.1根元素软件标识

根元素软件标识（SoftwareIdentity）用于标记软件标识标签的开始。SoftwareIdentity作为根元

素，可包含子元素，如Entity、Payload等，此外，SoftwareIdentity还可包含属性。SoftwareIdentity

的属性包括name、tagId、tagVersion、version、corpus、patch、supplemental、media。

软件名称（name）：软件组件名称，必选。

唯一标识符（tagId）：软件组件的唯一标识符，一个128位的GUID字符串，必选。

版本（tagVersion）：标签版本，默认值0。

开发版本（version）：软件组件的开发版本，默认值0.0。

2

T/CSAC003—2024

语料库（corpus）：汇总，如设置为true，说明此软件标识标签是描述软件组件安装前信息的汇总，

默认值false。

主标签（primary）：主标签，如设置为true，说明是软件的主标签，默认值true。

补丁（patch）：补丁标签，如设置为true，说明是软件组件的补丁信息，默认值false。

补充（supplemental）：补充标签，用于以补充方式为已存在的标签提供额外数据元素，如文档信

息、许可证信息、安装说明、补丁/升级信息、运行环境信息等，如设置为true，说明有补充标签需要

合并到主标签，默认值false。

媒介（media）：用于描述此软件标识标签所在的平台特征。

生命周期（lifecycle）：此软件标识标签生成时，软件所处生命周期的阶段，包括开发阶段（develop）、

交付阶段（commit）、运维阶段（operation）、废止阶段（decommission）。

时间戳（timestamp）：创建软件标识标签的日期和时间，格式为“YYYY-MM-DDTHH:mm:ssZ”。

软件供方（creator）：创建软件标识标签的实体名称。

创建工具（creatTool）：创建软件标识标签的工具名称和版本。

下载链接（downloandLink）：获取软件标识标签的URL地址。

5.3.2子元素实体

子元素实体（Entity）用于说明软件标识标签的相关组织，Entity的属性包括name、regid、role、

thumbprint。

名称（name）：在软件标识标签中充当特定角色的组织的名称，必选。

角色（role）：标签创建者的角色，必选。可选的角色包括汇聚（aggregator）、分发（distributor）、

授权（licensor）、创建软件（SoftwareCreator）、创建标签（tagCreator）。标签使用者可定义其

他角色。

组织标识（regid）：组织的标识，通常用组织所在的域名表示。

指纹（thumbprint）：软件标识标签的指纹。

5.4软件标识标签的可选数据元素

软件标识标签可包含一些可选数据元素，包括证据、关联、元、有效载荷、目录和文件，用于满足

更广泛