《 软件标识化标签编码指南（征求意见稿）》编制说明

近年来，软件供应链安全威胁加剧，xz-utils、log4j等软件供应链安全事件，波及范围广，危害程度深。软件供应链复杂、开源软件使用增加、软件标识不规范等都是造成软件供应链安全风险上升、监管难度较大的主要原因。为应对国内外软件供应链安全威胁，我国加快了针对供应链安全的保障工作，近年来先后颁布的《中华人民共和国保护条例》等政策法规强调加强软件供应链的安全保障。并通过《信息安全技术ICT供应链安全风险管理指南》（GB/T43698-2024）等标准，为提升安全防护能力，加强软件供应链安全保障和审查提供了基础支撑。针对软件供应链愈发复杂、软件嵌套引用组件数量庞大、国内软件安全管理没有统一规范等问题，开展软件标识化工作具有重要意义。制定软件标识化标签编码，明确软件标识化标签的结构和编码规则，促进不同软件信息的通过一致的方法表示，提高软件全生命周期的可见性和透明度，增强软件供应链安全管理能力。本文件规定了软件标识化标签的结构和编码规则，适用于软件标识化标签的实现和检测，能够进一步细化国家标准对软件供应链的相关要求，规范软件供应链安全检测，支撑国家法律法规和标准落地。二、任务来源近年来，软件供应链安全事件频发，严重危害网络安全。停服断供、安全漏洞以及外部代码组件违规使用等软件供应链安全风险导致传统软件安全面临新的挑战，有的已经阻碍正常工作生活的持续稳定运行，甚至危害国家安全。《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规中对软件产品，及其供应和使用单位提出了要求。在国家标准层面《网络安全技术软件供应链安全要求》正式发布，然而在软件标识化编码方面，尚未有可操作性较强的国家、地方、行业或团体标准。经中国网络空间安全协会专家审议通过，2024年6月17日下达《软件标识化编码指南》团体标准计划项目。三、编制过程牵头单位对前期的研究工作进行了汇报。确定了标准的研究思路和分工。多次标准工作组内部讨论，并针对标准大体框架与内容方向进行了修改与调整，形成第一版标准草案。4）2024年6月17日，召开立项评审会，专家一致同意标准立项，并对标准草案提出修改意见。了两次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。6）2024年6月21日，形成第二版标准草案，并召集了标准草案的内部闭门研讨会。四、主要内容技术指标确立本文件规定了软件标识化标签的结构和编码规则，包括软件标识化标签的数据构成、数据格式要求、基本数据元素、扩展数据元素，以及软件标识化标签的验证。数据要素包括基本数据元素、可选数据元素和扩展数据元素，规定了各元素的字段和字段值格式，并给出了各个字段的含义说明。本文件适用于软件标识化标签的实现和验证，可用于指导软件供应链相关方之间进行软件标识化标签的生成、共享和使用。本文件牵头单位为中国信息安全测评中心，参编单位有深圳市金蝶天燕云计算股份有限公司、工业和信息化部第五研究所、京东科技信息技术有限公司、统信软件技术有限公司、麒麟软件有限公司等。五、与相关法律法规和国家标准的关系本文件的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》GB/T11457-2006<信息技术软件工程术语》GB/T24420-2009《供应链风险管理》GB/T25069-2022《信息安全技术术语》GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》GB/T43698-2024《信息安全技术软件供应链安全要求》《网络安全技术软件物料清单数据格式》（征求意见稿）ISO/IEC19770-1:2015《Informationtechnology—Softwareassetmanagement—Part1：Processesandtieredassessmentofconformance》ISO/IEC19770-2:2015《Informationtechnology—ITassetmanagementPart2:Softwareidentificationtag》ISO/IEC5962—2021Informationtechnology—SPDX@SpecificationV2.2.1NIST.IR.8060《GuidelinesfortheCreationofInteroperableSoftwareIden