信息安全技术 软件供应链安全要求

ICS35.030

CCSL80

中华人民共和国国家标准

GB/TXXXXX—XXXX

`

信息安全技术软件供应链安全要求

Informationsecuritytechnology—Securityrequirementsforsoftwaresupplychain

（征求意见稿）

2022-09-28

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本文件起草单位：中国信息安全测评中心、中国电子技术标准化研究院、国家计算机网络应急技术

处理协调中心、华为技术有限公司、中国软件评测中心、诺基亚通信系统技术（北京）有限公司、网神

信息技术（北京）股份有限公司、深信服科技股份有限公司、联想（北京）有限公司、北京天融信网络

安全技术有限公司、国网新疆电力有限公司电力科学研究院、国家信息技术安全研究中心、长扬科技（北

京）有限公司、深圳开源互联网安全技术有限公司、中国网络安全审查技术与认证中心、国家计算机网

络应急技术处理协调中心黑龙江分中心、杭州安恒信息技术股份有限公司、北京鸿腾智能科技有限公司、

北京奇虎科技有限公司、北京快手科技有限公司、国网区块链科技（北京）有限公司、麒麟软件有限公

司、国家计算机网络应急技术处理协调中心北京分中心、上海三零卫士信息安全有限公司、北京大学、

云从科技集团股份有限公司、启明星辰信息技术集团股份有限公司、瀚高基础软件股份有限公司、北京

威努特技术有限公司、昆仑数智科技有限责任公司、杭州默安科技有限公司、中国信息通信研究院、中

电长城网际安全技术研究院（北京）有限公司、北京安普诺信息技术有限公司、北京神州绿盟科技有限

公司、OPPO广东移动通信有限公司、浪潮电子信息产业股份有限公司、阿里云计算有限公司、北京中测

安华科技有限公司、中国科学院信息工程研究所、上海文鳐信息科技有限公司、苏州棱镜七彩信息科技

有限公司、腾讯云计算（北京）有限责任公司、新华三技术有限公司、蚂蚁科技集团福根有限公司、工

业和信息化部电子第五研究所、北京人大金仓信息技术股份有限公司、上海大学、西安邮电大学等。

本文件主要起草人：李守鹏、王欣、王晓萌、王惠莅、林星辰、吴润浦、陈冬青、薛勇波、曾晋、

沈蕾、董国伟、叶润国、李汝鑫、高金萍、邓辉、常远、杨慧婷、杨韬、冯明冉、杨剑、万振华、王振

远、王晶、张亚京、梁伟、邱林海、王颉、张大江、罗峋、张屹、李杺恬、落红卫、应凌云、沈锡镛、

孟瑾、温婷婷、王红亮、王春霞、王岩、李娜、王聪、李汪蔚、查文静、李腾、宋桂香、李红、张刚、

柴思跃、赵晓晖、申永波、白晓媛、董军平、陈亮、徐永太、高庆、查海平、万晓兰、林飞、吴菊华、

宁戈、彭晨、张勇等。

II

GB/TXXXXX—XXXX

信息安全技术软件供应链安全要求

1范围

本文件给出了软件供应链安全保护目标，规定了软件供应链组织管理和供应活动管理的安全要求。

本文件适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理，可为第三方机构开展

软件供应链安全测试和评估提供依据，也可为主管监管部门提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T36637—2018信息安全技术ICT供应链安全风险管理指南

3术语和定义

GB/T25069—2022和GB/T36637—2018中界定的以及下列术语和定义适用于本文件。

3.1

软件产品softwareproduct

计算机软件、信息系统或设备中嵌入的软件，或在提供计算机信息系统集成、应用等技术服务时提

供的计算机软件，表现形式为一组计算机代码、规程以及可能的相关文档和数据。

[来源：GB/T36475—2018，3.1，有修改]

3.2

软件服务softwareservice

实施与软件产品有关的活动、工作或义务，如软件开发、集成、维护和运营。

[来源：GB/T8566—2007，3.1]

3.3

需方acquirer

从其他组织获取软件产品或服务的组织或个人。

注：本文件中主要指软件产品或服务的最终用户。

[来源：GB/T36637—2018，3.1，有修改：术语名称“ICT需方ICTacquirer”改为“需方acquirer”，

“ICT产品和服务”改为“软件产品或服务”]

1

GB/TXXXXX—XXXX

3.4

供方supplier

提供软件产品或服务的组织或个人。

注：本文件中主要指需方的第一级（直接）供应商。

[来源：GB/T36637—2018，3.2，有修改：术语名称“ICT供方ICTsupplier”改为“供方supplier”，

“ICT产品和服务”改为“软件产品或服务”等]

3.5

供应关系supplierrelation

需方（3.3）和供方（3.4）之间的协议，可用于开展业务、提供软件产品或服务。

注：在供应链中，上游的需方同时也是下游的供方。终端客户可以理解为一种特殊的需方。

[来源：GB/T36637—2018，3.3，有修改：“产品和服务”改为“软件产品或服务”]

3.6

软件供应链softwaresupplychain

基于供应关系，通过资源和过程将软件产品或服务从供方传递给需方的网链系统。

注：软件供应链中的供应活动主要包括软件采购、交付、运维和废止。

[来源：GB/T36637—2018，3.4，有修改：术语名称“ICT供应链ICTsupplychain”改为“软件

供应链softwaresupplychain”，“ICT的产品和服务”改为“软件产品和服务”等]

3.7

软件物料清单softwarebillofmaterials

软件采用的所有组件、许可协议、组件依赖关系和层次关系的清单。

3.8

软件构成图谱softwarecompositiongraph

软件物料清单、软件供应关系、知识产权、安全风险、软件供应链基础设施等信息的表示形式，支

撑实现软件供应链的安全保护目标。

注：一般以文本形式存储，支持通过知识图谱方式展示。

3.9

开放源代码社区opensourcecommunity

开源代码开发、维护的一种组织和运作方式。

3.10

第三方组件thirdpartycomponent

由供方和需方以外的其他软件开发组织或人员开发的独立可用或可调用的软件组件，通常是由二进

制程序文件或者源代码程序文件构成。

4软件供应链安全保护目标

2

GB/TXXXXX—XXXX

软件供应链安全目标是识别和防范供应关系和供应活动中面临的安全风险（见附录A），提升软件

供应链安全保障能力，主要包括：

a)提升软件产品或服务中断供应等风险管理能力：识别和防范供应关系建立及供应活动中软件产

品和服务供应中断的管理安全风险，提升软件供应链的韧性，当软件供应链中断或部分失效时，

能够保障业务持续稳定运行。

b)提升供应活动引入的技术安全风险管理能力：识别和防范由于供应关系或供应活动变化导致的

软件漏洞、后门、篡改、伪造等技术安全风险，提升软件供应链的可追溯性、安全性，一旦发

现上述风险，可以快速有效追溯和修复。

c)提升软件供应链数据安全风险管理能力：识别和防范供应关系和供应活动中存在的数据泄露、

数据篡改、非法访问等安全风险，提升软件供应链数据安全保护能力，防止软件供应链的数据

泄露给未授权者。

5安全要求

5.1组织管理

5.1.1机构管理

本项要求包括：

a)需方应明确软件供应链安全管理机构，明确其职责及人员，并提供用于软件供应链安全管理的

资金、资产和权限等可用资源，保障软件供应链安全管理工作顺利执行；

b)需方应组织开展常态化软件供应链实体要素识别，以及供应关系、供应活动的安全风险识别、

处置和防范等工作，组织构建并管理软件构成图谱（见附录B），充分掌握组织的软件供应链

安全风险；

c)需方应持续加强软件供应链安全能力建设，包括但不限于供应关系管理，软件供应链实体要素

识别，软件供应链风险识别、响应及防范等能力，持续提升自身软件供应链安全保障能力；

d)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜设立专职的软件供应链管理机

构，根据a)至c)条款开展全流程软件供应链安全管理工作。

5.1.2制度管理

本项要求包括：

a)需方应围绕软件供应链风险识别和防范明确软件供应链安全的总体方针、安全制度和策略，包

括但不限于开展软件供应链安全监督、管理和检查等内容，并及时修订更新；

b)需方应制定软件供应关系的安全管理制度，包括但不限于自主研发软件、现货类软件、定制开

发软件等相关供应关系的风险管理制度、流程或机制；

c)需方应制定软件供应活动的安全管理制度，包括但不限于软件采购、交付、运维等软件供应活

动的风险管理制度、流程或机制；

d)需方应制定软件供应链参与人员的管理制度或机制，包括但不限于人员权限、能力、资质、背

景、技能培训等内容；

e)需方应制定知识产权管理制度，包括但不限于专利、软件著作权、许可协议等内容；

f)需方应制定软件供应链安全风险的持续监测、风险评估和事件响应制度，包括但不限于应急处

理流程、系统恢复流程等内容；

g)需方应明确不同等级安全事件的报告、处置和响应流程和机制，规定安全事件的现场处理、事

件报告和后期恢复等要求；

3

GB/TXXXXX—XXXX

h)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜制定全流程软件供应链软件安

全监管制度，覆盖软件供应链的全部供应活动。

5.1.3人员管理

本项要求包括：

a)需方应明确软件供应链安全保障人员及其需具备的软件供应链实体要素的识别和安全风险管

理能力，包括但不限于软件资产识别分析、完整性保护以及软件漏洞和后门分析等；

b)需方应划分软件供应链各供应活动参与人员的职责定位、权限级别，并建立操作规范，创建操

作日志；

c)需方应定期开展软件供应链安全培训，培训内容包括但不限于a)、b)中涉及的内容；

d)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜配置软件供应链安全保障团队，

根据需要开展相关人员的背景调查工作；

e)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜要求安全保障人员具备防范全

流程软件供应链安全威胁的能力，如软件供应链恢复、未知安全漏洞分析、软件持续供应能力

分析等。

5.1.4供应商管理

本项要求包括：

a)需方应制定供应商选择策略和制度，对自主研发软件、定制研发软件、现货软件等的供应商进

行评估，包括但不限于背景、能力、资质审查以及持续安全提供产品或服务等内容，建立合格

的供应目录，并定期对该目录进行更新维护；

b)需方应优先从供应目录中选取满足条件的供应商；

c)需方应在供应关系发生变更时，对变更带来的安全风险进行评估，并采取相应的风险控制措施；

d)需方应要求供方保证软件供应链上传递的供应信息的真实性、准确性、完整性，并采取措施保

护信息不被篡改和泄露；

e)需方应要求供方配合开展软件供应链安全监督和检查；

f)对于测试评估等内容，涉及第三方机构的，需方应明确第三方机构的能力、资质等要求；

g)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜建立供应商替代方案，防范软

件供应链中断风险。

5.1.5知识产权管理

本项要求包括：

a)供需双方应避免因知识产权问题导致的法律安全风险；

b)需方应充分熟悉所使用软件产品和服务的知识产权，对自主研制软件产品的知识产权进行规范

管理，防止侵权；

c)需方应要求供方提供满足业务持续稳定运行时限需求的软件产品或服务使用授权，包括但不限

于许可证、产品序列号、开源许可协议等；

d)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜对所使用的软件产品或服务相

关的国内外知识产权情况进行详细识别分析，建立相关预案应对相关知识产权风险。

5.2供应活动管理

5.2.1软件采购

本项要求包括：

4

GB/TXXXXX—XXXX

a)需方应与供方签订软件产品和服务采购协议，包括但不限于5.1要求的内容；

b)需方应强化采购渠道安全管理，制定从多个国家或地区获得软件产品或软件服务的方案，确保

来源具有多样性；

c)需方应明确开展软件产品或服务的功能、性能及安全风险检测评估等要求，明确检测评估的范

围，包括但不限于软件资产识别、漏洞、后门、渗透测试等，涉及第三方机构的应明确第三方

机构的资质能力；

d)需方应根据国家标准以及自身业务要求制定软件的安全需求基线，确保软件产品安全并保护个

人敏感信息、重要数据等不被泄露；

e)需方应明确所采购软件的授权使用期限等要求；

f)需方应要求供方构建软件构成图谱，软件构成图谱至少能追溯至其第一级供应商，对于重要组

织或场景，例如关键信息基础设施运营者等，需方可根据需求要求软件构成图谱追溯的供应商

层级；

g)需方宜要求供方建立研发、测试工具和设备白名单，采用安全检测、正版授权验证、官方完整

性校验等措施进行白名单准入控制，并记录相关风险信息；

h)需方宜要求供方对其研发、测试工具提供可操作性的安全替代方案，在断供、停服等情况下不

影响开发、测试工作；

i)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜考虑所采购现货类商业软件和

定制开发软件的核心模块的替代策略。

5.2.2外部组件使用

本项要求包括：

a)需方应要求供方承诺所使用的开源软件和第三方组件不存在已公开漏洞未修复的情况，或者对

于存在已公开漏洞未修复的情况，但经过评估后存在补救措施的，提供相应的安全分析报告；

b)供需双方应开展软件供应关系、组件成分及依赖关系和访问控制策略等的安全测试；

c)供需双方应建立开源及第三方组件的入库和使用审批机制，对来源于开放源代码社区和第三方

的代码、组件和软件，进行完整性验证、安全性测试和依赖关系分析，保障开源或第三方组件

来源可靠、安全风险可消除或控制，构建形成软件物料清单和软件构成图谱；

d)供需双方应制定和实施防盗版的策略和规程，检测并防止仿冒组件进入软件；

e)供需双方应建立和维护可追溯性的策略和程序，记录和保留开源软件、第三方组件的原始供应

方、开源社区或开发贡献者等相关信息，保障可追溯至上游供应商，对于应用于重要场景的，

例如关键信息基础设施运营者等，其核心组件需追溯至源头供应商；

f)供需双方应持续跟踪所使用开源和第三方组件的使用状态、安全状态，对于存在安全风险的，

应及时通报，并及时采取更新、修复等措施，完善软件物料清单信息，对于缺乏维护或即将废

止的组件建立处置措施和计划，对于应用于重要场景的，例如关键信息基础设施运营者等，其

核心组件应有可替代方案；

g)对于难以验证来源的开源及第三方组件，供需双方原则上应禁止使用，确需使用的，需醒目标

注，说明原因；

h)涉及第三方测试评估的，需方应明确对第三方机构的要求。

5.2.3软件交付

本项要求包括：

a)需方应要求供方按照协议采用安全可控的方式、渠道交付软件产品或开展软件服务；

5

GB/TXXXXX—XXXX

b)需方应根据协议要求对交付的软件产品或服务进行验收，开展供应关系、供应活动的安全分析

和测评，包括但不限于可持续供应能力、复杂安全漏洞等安全风险测评，确保软件供应链符合

安全要求；

c)需方应掌握软件相关技术资料，包括中文版运行维护、二次开发、软件使用的场景和条件、权

限和授权机制、软件使用说明书及测试报告等技术资料；

注：测试报告包括但不限于源代码、二进制代码、组件等供应链安全分析报告。

d)需方应要求供方避免交付约定范围外的内容，如开启无关功能、捆绑无关软件等；

e)需方应要求供方不在软件产品中设置后门，或利用软件产品的便利条件非法获取用户数据、控

制和操纵用户系统和设备，不会利用软件产品的依赖性谋取不正当利益，不得在未授权情况下

对软件产品进行升级或更新换代；

f)需方应根据协议约定要求供方对交付的软件实行安全部署和配置，并提供软件构成图谱及安全

配置基线；

g)需方应要求供方采取软件防篡改措施，对交付软件进行完整性验证、功能、性能及安全性测试，

并出具相应的测试报告，对于需要第三方机构测试的要明确对第三方机构的要求；

h)需方应要求供方在软件技术文档中设置声明条款，说明采购第三方软件产品、开源限制性、知

识产权等情况；

i)供需双方应不将软件产品的全部或部分泄露到授权以外的范围。

5.2.4软件运维

本项要求包括：

a)需方应要求供方根据协议确保授权期内软件持续稳定可用；

b)需方应明确运维技术团队及相应的技术能力要求,包括但不限于风险监测识别、漏洞修复、完

整性保护、安全测试等；

c)需方应定期排查超过授权使用期限、超过维保期限但仍在使用的软件，并对其安全性进行评估

分析；

d)需方应要求供方在未经书面授权的情况下，不应将所运维软件的相关数据用于除运行维护以外

的目的；

e)需方应要求供方在生产地、注册地所在国家或地区出现因政治、外交、贸易、自然灾害、公共

安全事件等不可抗力导致或可能导致供应中断时，及时采取应对措施，对于应用于重要场景的，

例如关键信息基础设施运营者等，其软件应提供替代方案；

f)需方应要求供方不得向未授权者提供运维相关数据，或将相关数据用于运维以外的目的；

g)供需双方应在软件进行升级维护时，采用安全可控的渠道交付软件升级包、补丁包，并开展相

应的安全性测试、完整性校验等工作，在确保安全后进行软件更新升级，并同步更新相关配置；

h)供需双方应根据需求、协议等定期检查软件是否受到篡改；

i)供需双方应收集软件供应链的风险信息，在发现存在脆弱性、漏洞等风险后，按照相关规定及

时通报用户及相关政府部门，并快速采取补救措施；

j)供需双方应根据协议形成常态化风险监测机制，及时发现并处置软件中断供应、停止授权、停

止提供产品升级等持续供应风险，漏洞、后门等技术安全风险和信息泄露、数据篡改等数据安

全风险；

k)供需双方应明确软件供应链参与人员对软件供应链访问权限级别，对访问范围进行严格区分；

l)供需双方应建立可追溯台账，对整个使用过程进行记录、检测和维护，及时更新维护软件构成

图谱；

m)供需双方应共同保障运维过程中的数据安全，防止数据泄露、篡改和损毁等安全事件发生；

6

GB/TXXXXX—XXXX

n)对于重要组织或场景，例如关键信息基础设施运营者等，需方应掌握重要软件、组件的代码结

构和技术原理，具备修改和二次开发、独立维护等能力；

o)对于重要组织或场景，例如关键信息基础设施运营者等，需方宜配备专门的运维技术团队，制

定应急响应计划，包括但不限于软件供应链中断、有组织的网络攻击等。

5.2.5软件废止

本项要求包括：

a)需方应建立软件产品废止处理规范流程，包括但不限于软件停用、卸载和数据清除或迁移等内

容；

b)需方应依据废止处理规范流程对停止使用的软件进行废止处理；

c)需方应对软件代码、授权信息以及软件使用过程中产生的数据等进行安全处理和保护；

d)需方应具备软件废止后防止软件泄露、数据泄露的安全保障能力；

e)需方应将废止软件的安全处理应交给具备相关资质的机构负责；

f)对于软件产品废止并替换为新产品的，需方应要求供方支持数据迁移到新的软件产品。

1)制定软件产品数据迁移计划，并确保数据安全迁移；

2)在数据迁移完成后，对废止软件进行数据清除和卸载，对废止软件进行安全处理。

7

GB/TXXXXX—XXXX

附录A

（资料性）

软件供应链安全风险

A.1概述

软件供应链是一个全球分布的、具有供应商多样性、产品服务复杂性、全流程覆盖等诸多特点的复

杂系统，在软件供应链各个供应活动中均可能引入安全隐患，导致软件漏洞、软件后门、恶意篡改、假

冒伪劣、知识产权风险、供应中断、信息泄露等安全风险。

A.2软件漏洞利用

随着软件的复杂度不断提高，软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避

免，这些软件漏洞可能被攻击者利用，对软件以及计算机系统造成严重的安全风险。

A.3软件后门植入

主要包括以下内容：

a)供方预留

供方出于软件维护的目的，在软件产品中预置后门，如果预置后门被泄露，攻击者会通过预置后门

获得软件或操作系统的访问权限；

b)攻击者恶意植入

攻击者入侵软件开发环境，污染软件供应链中的组件，劫持软件交付升级链路，攻击软件运行环境

植入恶意后门，获得软件或操作系统的访问权限。

A.4恶意篡改

主要包括以下内容：

a)恶意代码植入

在需方不知情的情况下，在软件产品或供应链中的组件中植入具有恶意逻辑的可执行文件、代码模

块或代码片断。

b)开发工具植入

使用被恶意篡改的开发工具，导致开发的软件或组件存在恶意代码。

c)供应信息篡改

在供方不知情的情况下，篡改软件供应链上传递的供应信息，如销售信息、商品信息、软件构成信

息等。

A.5假冒伪劣

供方提供未经产品认证、检测的软件或组件，或未按照声明和承诺提供合格的产品。

A.6知识产权非法使用

未经授权而生产、销售、发布软件或组件，导致软件产品的全部或部分被泄漏到授权以外的范围。

8

GB/TXXXXX—XXXX

如盗版软件、违反开源许可使用的软件、违反协议进行的二次开发等。

A.7供应中断

主要包括以下内容：

a)突发事件中断

因自然等不可抗力、政治、外交、国际经贸等原因造成上游软件、使用许可、知识产权授权的中断。

b)不正当竞争

软件供方利用需方对产品和服务的依赖，实施不正当竞争或损害用户利益的行为。

A.8信息泄露

软件供应链信息被有意或无意地泄露，如软件上游供应商、下游需方的信息可能涉及商业秘密，供

应链信息存在被泄露的风险。

A.9开源许可违规使用

主要包括以下内容：

a)无开源许可证

软件产品发布时缺少开源许可证类型，包括但不限于LGPL、Mozilla、GPL、BSD、MIT、Apache等

许可证。

b)使用不规范

软件产品发布时不符合相应许可协议的规范和要求，包括但不限于没有遵循开源许可证协议，开源

组件修改后许可信息丢失，存在无许可信息的开源片段代码等。

A.10供应链劫持

供应链劫持是普遍存在的一种供应链污染，安全风险突出，涉及捆绑恶意代码、下载劫持、网络劫

持、物流链劫持、升级劫持等。

A.11其他风险

由于软件供应链内外部人员、软件供应链全球性等特点带来的风险或挑战。

A.12风险要求对应关系

A.2至A.11描述的风险与安全要求条款和应对措施间的对应关系如表A.1所示。

9

GB/TXXXXX—XXXX

表A.1风险要求对应关系

序号安全风险安全要求条款控制措施安全保护目标

进行代码、组件、软件

5.1.3e)5.2.2a)

A.25.1.1a)b)c)d)漏洞检测分析、漏洞修提升供应活动引入

5.1.4f)g)5.2.3b)g)

1软件漏洞5.1.2c)f)g)h)复，对于残余漏洞风险的技术安全风险管

5.2.15.2.4

利用5.1.3a)d)e)提供虚拟补丁、热补丁理能力

c)f)g)h)h)i)k)n)

更新

开展入侵检测、操作审

A.35.1.1a)b)c)d)5.1.2c)5.2.3a)c)d)提升供应活动引入

计等，并针对维护升级

2软件后门5.1.2a)c)f)g)h)5.2.15.2.4的技术安全风险管

通道进行认证、防止控

植入5.1.3a)d)e)c)f)g)i)j)k)n)理能力

制和操作审计

5.1.1a)b)c)d)5.2.3a)e)g)提升供应活动引入

A.45.2.1f)g)软件完整性的校验、防

35.1.2a)c)f)g)h)5.2.4的技术安全风险管

恶意篡改5.2.2b)c)篡改预警等保护机制

5.1.3a)d)e)g)i)j)k)l）理能力

5.1.1a)b)c)d)5.2.1f)5.2.3g)明确相关测评要求，并提升供应活动引入

A.5

45.1.2a)c)f)g)h)5.2.2b)c)d)5.2.4在软件交付时进行相应的技术安全风险管

假冒伪劣

5.1.3a)d)e)g)f)i)j)l)n）的安全检查和审核理能力

A.65.1.1a)b)c)d)5.1.55.2.3d)h)i)明确相关知识产权要提升软件供应链数

5知识产权5.1.2c)e)f)g)h)a)b)c)d)5.2.4求，并在交付时进行相据安全风险管理能

非法使用5.1.3a)d)e)5.2.1e)c)d)i)j)k)应的安全检查和审核力

5.1.1a)b)c)d)5.1.4a)-h)

A.75.1.2b)f)g)h)5.2.15.2.3a)b)c)提升软件产品或服

建立供应商安全预警、

6供应中断5.1.3a)d)e)b)h)i)5.2.4务中断供应等风险

冗余等机制

5.1.4a)b)c)d)5.2.2d)f)a)e)i)m)n)管理能力

5.2.1b)

5.2.3

在数据采集、传输、存

5.1.1a)b)c)d)5.1.4d)f)e)h)i)提升软件供应链数

A.8储及运维中进行认证、

75.1.2a)c)f)g)h)e)f）g)5.2.4据安全风险管理能

信息泄露加密、水印、脱敏等数

5.1.3a)d)e)5.2.1d)d)j)k)l)n)力

据安全管控。

5.2.5c)d)f)

A.9对开源组件使用许可协提升供应活动引入

5.1.1a)b)c)d)5.2.2

8开源许可5.2.3h)i)议情况进行检测并提供的技术安全风险管

5.1.3a)d)e)a)-h)

违规使用相应的评估说明理能力

对供应链上游环境安全

A.105.2.1g)h)进行相应的评估和加提升软件产品或服

5.1.1a)b)c)d)5.2.4

9供应链劫5.2.3固；软件运维升级通道务中断供应等风险

5.1.3a)d)e)a)c)f)h)i)m)

持a)c)d)e)f)进行身份认证、传输加管理能力

密及访问控制

提升软件产品或服

务中断供应等风险

5.1.1a)5.2.15.2.3a)管理能力、供应活

A.11加强机构职责、制度建

105.1.2a)d)f)g)h)a)d)f)5.2.4k)m)n)动引入的技术安全

其他风险设防范多种风险

5.1.3b)c)5.2.2e)5.2.5a)b)e)风险管理能力、数

据安全风险管理能

力

10

GB/TXXXXX—XXXX

附录B

（资料性）

软件构成图谱

B.1内容简介

软件构成图谱包含软件物料清单和安全风险两方面内容。其中，软件物料清单是指软件在开发过程

中所采用的所有组件、许可协议、知识产权、软件供应链基础设施等元素相关信息及其供应链上下游依

赖关系以及相关证明材料的集合；安全风险是指软件物料清单中的组件、代码、软件供应链基础设施中

存在的附录A中的风险等元素及相关的安全检测评估报告的集合。软件构成图谱通常由供方提供，或

者由第三方机构生成，其作用是通过软件物料清单中的信息与安全风险的精确关联，增强软件供应链的

可追溯性、可审计性。

B.2主要元素

根据软件构成图谱中各元素所属范围不同，所有元素可以划分为两类，分别是软件物料清单、安全

风险。其中，软件物料清单包括物料清单信息、软件基本信息、组件基本信息和相关说明材料4个二级

分类；安全风险包括安全风险信息和安全测评2个二级分类。详细分类信息参考表B.1。

表B.1软件构成图谱主要元素列表

一级分类二级分类元素名称说明

唯一标识物料清单的唯一标识

生成阶段软件供应链活动、过程

物料清单信息

时间戳生成时间

生成方供方或第三方机构

软件名称官方发布的软件名称

软件唯一标识唯一标识

软件基本信息软件版本官方发布的版本信息

(软件1、软件2、……)软件来源软件供方

软件物料清单软件供应链基础设施参考术语定义3.6

引入组件数量开源、第三方、自主研制

组件名称组件名称

组件唯一标识唯一标识

组件版本官方发布的版本信息

组件基本信息

组件来源组件的获取地址

(组件1、组件2、……)

组件依赖关系直接引用或间接引用

组件调用位置组件的使用位置

知识产权开源许可协议、专利等

11

GB/TXXXXX—XXXX

表B.1（续）

一级分类二级分类元素名称说明

组件分析证明

软件物料清单技术报告组件测评报告

(组件1、组件2、……)

软件漏洞附录A.2

软件后门附录A.3

恶意篡改附录A.4

假冒伪劣附录A.5

知识产权附录A.6

安全风险信息

安全风险供应中断附录A.7

信息泄露附录A.8

开源许可附录A.9

供应链劫持附录A.10

其他附录A.11

安全测评测评报告正文提到的各类测评报告

B.3软件构成图谱元素关系

在软件供应链中，组织的软件构成图谱可以准确表达软件、组件及安全风险之间的关系。软件的安

全风险主要是源于自身安全风险和直接/间接引用存在安全风险的组件。组件的安全风险源于自身安全

风险或者其依赖组件的安全风险。组织中软件与软件之间利用引用的相同组件能够实现软件构成图谱的

连接，不断扩大图谱规模。因此，组织一旦发现软件供应链安全风险，可通过软件构成图谱快速实现软

件供应链安全风险定位。软件构成图谱元素关系如图B.1.所示。

名称安全漏洞

软件

唯一标识1存在软件后门

直接引用间接引用存在安

组全

件来源供应链中断

存在威

基存在

引用方式组件组件胁

本存在恶意篡改信

信存在

是否开源直接引用直接引用息

息软件信息泄露

2

软直接引用

件

物

料间接引用组件

名称

清

单

唯一标识间接引用引用引用引用

软引

件软件来源用

基组件组件方

本版本式

信软件

物料清单基n

息间接引用引用引用引用

本信息

组件组件

图B.1软件构成图谱元素关系图

12

GB/TXXXXX—XXXX

参考文献

[1]GB/T32921—2016信息安全技术信息技术产品供应方行为安全准则

[2]GB/T36475—2018软件产品分类

[3]GB/T37970—2019软件过程及制品可信度评估

[4]ISO28001Securitymanagementsystemsforthesupplychain–Bestpracticesfor

implementingsupplychainsecurity,assessmentsandplans–Requirementsandguidance

[5]ISO/IEC27036—2Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part2:Requirements

[6]ISO/IEC27036—3Informationtechnology–Securitytechniques–Information

securityforsupplierrelationships–Part3:Guidelinesforinformationand

communicationtechnologysupplychainsecurity

[7]NIST800—161SupplyChainRiskManagementPracticesforFederalInformationSystems

andOrganizations

13

GB/TXXXXX—XXXX

目次

前言..................................................................................II

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4软件供应链风险管理目标...............................................................2

5安全要求.............................................................................3

5.1组织管理.........................................................................3

5.1.1机构管理.....................................................................3

5.1.2制度管理.....................................................................3

5.1.3人员管理.....................................................................4

5.1.4供应商管理...................................................................4

5.1.5知识产权管理.................................................................4

5.2供应活动管理.....................................................................4

5.2.1软件采购.....................................................................4

5.2.2外部组件管理.................................................................5

5.2.3软件交付.......................................