GB/T 43698-2024 网络安全技术 软件供应链安全要求

ICS35.030

CCSL80

中华人民共和国国家标准

/—

GBT436982024

网络安全技术软件供应链安全要求

—

CbersecurittechnoloSecuritreuirementsforsoftwaresulchain

yygyyqppy

2024-04-25发布2024-11-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT436982024

目次

前言…………………………Ⅰ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4软件供应链安全目标……………………2

5软件供应链安全保护框架………………2

6软件供应链安全风险管理要求…………3

6.1基本流程……………3

6.2软件供应链安全图谱………………3

6.3软件供应链安全风险评估…………4

6.4软件供应链安全风险处置…………4

7需方安全要求……………4

7.1组织管理……………4

7.2供应活动管理………………………5

8供方安全要求……………7

8.1组织管理……………7

8.2供应活动管理………………………8

()…………………

附录资料性软件供应链安全概述

A11

()…………

附录资料性关键软件资产

B15

()……………………

附录资料性组织业务场景分类

C16

()…………………

附录资料性软件供应链安全图谱

D17

参考文献……………………19

/—

GBT436982024

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国网络安全标准化技术委员会(/)提出并归口。

SACTC260

:、、、

本文件起草单位中国信息安全测评中心中国电子技术标准化研究院华为技术有限公司国家计

、()、

算机网络应急技术处理协调中心中国软件评测中心工业和信息化部软件与集成电路促进中心诺基

()、()、、

亚通信系统技术北京公司奇安信网神信息技术北京股份有限公司深信服科技股份有限公司国

、、、

网新疆电力有限公司电力科学研究院麒麟软件有限公司国家信息技术安全研究中心国家计算机网

、、

络应急技术处理协调中心黑龙江分中心深圳开源互联网安全技术有限公司昆仑数智科技有限责任公

、()、、、

司联想北京有限公司浪潮电子信息产业股份有限公司中国网络安全审查技术与认证中心杭州默

、、、

安科技有限公司北京天融信网络安全技术有限公司三六零数字安全科技集团有限公司长扬科技

()、、、、

北京有限公司上海观安信息技术股份有限公司北京奇虎科技有限公司北京快手科技有限公司

、()、

云从科技集团股份有限公司国网区块链科技北京有限公司国家计算机网络应急技术处理协调中心

、、、、

北京分中心上海三零卫士信息安全有限公司北京大学启明星辰信息技术集团股份有限公司瀚高基

、、、、

础软件股份有限公司北京威努特技术有限公司蚂蚁科技集团股份有限公司中国信息通信研究院

()、、

中电长城网际安全技术研究院北京有限公司北京安普诺信息技术有限公司杭州安恒信息技术股份

、、、、

有限公司北京神州绿盟科技有限公司北京中科微澜科技有限公司OPPO广东移动通信有限公司

、、、、

公安部第一研究所中国科学院软件研究所阿里云计算有限公司湖南泛联新安信息科技有限公司

、、、

北京中测安华科技有限公司中国科学院信息工程研究所苏州棱镜七彩信息科技有限公司新华三技

、、、

术有限公司工业和信息化部电子第五研究所北京源堡科技有限公司北京人大金仓信息技术股份有

、、、、

限公司上海大学西安邮电大学沈阳东软系统集成工程有限公司中国电子科技集团公司第十五研究

、()、。

所远江盛邦北京网络安全科技股份有限公司上海文鳐信息科技有限公司

:、、、、、、、、、、

本文件主要起草人李守鹏王欣王晓萌王惠莅薛勇波吴润浦林星辰曾晋上官晓丽王嘉捷

、、、、、、、、、、、、、、

万振华陈冬青沈蕾辛伟唐福宇董国伟常远崔静叶润国高金萍杨慧婷吴倩翟艳芬董军平

、、、、、、、、、、、、、、、

王颉张屹滕征岑邱林海邓辉郑明李汝鑫谢江张大江刘磊梁利陈靓廖毅柴思跃宋桂香

、、、、、、、、、、、、、、

申永波孟瑾白晓媛孔耀晖沈锡镛杨剑孙世国李娜王聪赵华韩煜落红卫武延军张亚京

、、、、、、、、、、、、、、

李军张立王栋温婷婷陈亮查海平高庆姚叶鹏赵军凯冯明冉王春霞刘健李汪蔚林飞

、、、、、、、、、、、、、、

宁戈张涛袁明坤杨廷锋王琦王玮琪杨牧天李跃李腾万娟吴敬征王振远刘井强肖扬

、、、、、、、、、、、、、、

梁大功万晓兰蔡一兵梁露露赵晓晖彭晨杨毅张勇冯全宝程岩聂万泉付艳艳霍珊珊刘洋

、、。

王晶权晓文周浩威

Ⅰ

/—

GBT436982024

网络安全技术软件供应链安全要求

1范围

,

本文件确立了软件供应链安全目标规定了软件供应链安全风险管理要求和供需双方的组织管理

和供应活动管理安全要求。

、,

本文件适用于指导软件供应链中的供需双方开展风险管理组织管理和供应活动管理为第三方机

,。

构开展软件供应链安全检测和评估提供依据供主管监管部门参考使用

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—信息安全技术术语

GBT250692022

/—信息安全技术供应链安全风险管理指南

GBT366372018ICT

3术语和定义

/—和/—界定的以及下列术语和定义适用于本文件。

GBT250692022GBT366372018

3.1

软件产品softwareroduct

p

、、

计算机软件信息系统或设备中嵌入的软件或在提供计算机信息系统集成应用服务等技术服务时

提供的计算机软件。

:、、、。

注软件产品包含计算机程序代码规程相关数据文档和相关服务

1

:。

注本文件中软件产品简称为软件

2

[:/—,,]

来源GBT3647520183.1.1有修改

3.2

软件产品信息softwareroductinformation

p

、、、。

软件产品版本标识来源授权以及关联软件等信息的总称

3.3

需方acuirer

q

从其他组织获取软件产品的组织。

:。

注本文件中需方指软件产品的购买者和使用者

[:/—,,]

来源GBT3663720183.1有修改

3.4

供方sulier

pp

、、、。

开展软件产品开发交付运维废止等生命周期活动的组织

:();,、、

注本文件中供方指需方的第一级直接供应商此外还包括软件产品的开发商各级销售和代理商系统集成

1

,、、。

商也包括软件或应用商店代码托管平台第三方下载站点以及基于开源代码提供软件产品的组织等

:。

注开放源代码社区本身不是供方

2

1