《软件标识化标签编码指南（征求意见稿）》

1T/CSACxxx—2024软件标识化标签编码指南本文件规定了软件标识化标签的结构和编码规则，包括软件标识化标签的数据构成、数据格式要求、基本数据元素、扩展数据元素，以及软件标识化标签的验证。本文件适用于软件标识化标签的实现和验证，可用于指导软件供应链相关方之间进行软件标识化标签的生成、共享和使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T11457-2006信息技术软件工程术语GB/T25069-2022信息安全技术术语GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》GB/T43698-2024《信息安全技术软件供应链安全要求》GB/TXXXXX-XXXX《网络安全技术软件物料清单数据格式》ISO/IEC19770-1:2015《Informationtechnology—Softwareassetmanagement—Part1：Processesandtieredassessmentofconformance》ISO/IEC19770-2:2015《Informationtechnology-Softwareassetmanagement-Part2:Softwareidentificationtag》3术语和定义GB/T43698-2024中定义的以及下列术语和定义适用于本文件3.1软件产品softwareproduct计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。[来源：GB/T43698——2024，3.1]3.2软件标识SoftwareIdentification一个包含基本元素、可选元素和扩展元素的用于识别软件产品的描述文件。[GB/T36328-2018,定义3.1，有修改]2T/CSACxxx—20243.3软件标识化标签SoftwareIdentifierTag用于标识和描述单个软件产品的元数据集合。3.4元素Element支配类型的值或支配信息客体类别的信息客体，能分别从相同类型或相同类别信息客体的所有他值中区别出来。[GB/T16262.1-2006,定义3.6.19]4缩略语下列缩略语适用于本文件。JSON一种轻量级的数据交换格式（JavaScriptObjectNotation）MD5一种消息摘要算法（MessageDigest5）SHA安全哈希算法（SecureHashAlgorithm）GUID全局唯一标识符（GloballyUniqueIdentifier）URL统一资源定位符（UniformResourceLocator）5软件标识化标签结构本章定义了软件标识化标签的结构。第1节概述了用于识别和描述软件标识化标签的数据元素构成。第2节概述了软件标识化标签的格式要求。第3节概述了软件标识化标签的基本数据元素。第4节概述了软件标识化标签的可选数据元素。第5节概述了软件标识化标签的扩展数据元素。第6节概述了软件标识化标签数据元素的扩展。5.1软件标识化标签的数据构成软件标识化标签由根元素和子元素构成。其中根元素标记为SoftwareIdentity，用于表示一个软件标识化标签的开始。子元素用来表达不同类别的产品信息，子元素包括Entity、Evidence、Link、Meta和Payload。根元素和子元素可以包含不同的属性，用于表达更多的信息。5.2软件标识化标签的数据格式要求软件标识化标签用JSON数据格式来表现。一个软件标识化标签的JSON示例如下：{"SoftwareIdentity":{"name":"MySoftware","tagid":"iso-sid-app-acme-endpoint-protection-v12-1-mp1","Entity":{"name":"mycompany","role":"licensor"}3T/CSACxxx—2024}5.3软件标识化标签的基本数据元素软件标识化标签的基本数据元素定义了软件标识化标签的最小集，包含根元素软件标识（SoftwareIdentity）和子元素实体（Entity）及相关必须属性。其中，SoftwareIdentity必须包含记录产品名称的name属性和记录标签全局唯一标识符的tagId属性，Entity必须包含记录标签创建者名称的name属性和记录标签创建者角色的role属性。软件标识SoftwareIdentity和实体Entity还可包含其他自定义的扩展属性。5.3.1根元素软件标识根元素软件标识（SoftwareIdentity）用于标记软件标识化标签的开始。SoftwareIdentity作为根的属性包括name、tagId、tagVersion、version、corpus、patch、supplemental、media。名称（name）：软件组件名称，必须。标签编号（tagId）：软件组件的唯一标识符，一个16位的GUID字符串，必须。标签版本（tagVersion）：标签版本，默认值0。开发版本（version）：软件组件的开发版本，默认值0.0。语料库（corpus汇总，如设置为true，说明此软件标识化标签是描述软件组件安装前信息的汇总，默认值false。补丁（patch）：补丁标签，如设置为true，说明是软件组件的补丁信息，默认值false。补充（supplemental补充标签，如设置为true，说明有补充标签需要合并到主标签，默认值false。媒介（media）：用于描述此软件标识化标签所在的平台特征。5.3.2子元素实体子元素实体（Entity）用于说明软件标识化标签的相关组织，Entity的属性包括name、regid、role、thumbprint。名称（name）：在软件标识化标签中充当特定角色的组织的名称，必须。授权（licensor）、创建软件（softwareCreator）、创建标签（tagCreator）。标签使用者可定义其他角色。组织标识（regid）：组织的标识，通常用组织所在的域名表示。指纹（thumbprint）：软件标识化标签的指纹。5.4软件标识化标签的可选数据元素软件标识化标签可包含一些可选数据元素，包括证据、关联、元、有效载荷、目录和文件，用于满足更广泛的需求。5.4.1可选数据元素证据扩展数据元素证据（Evidence）用于说明未安装软件标识化标签的系统扫描结果，Evidence的属性包括date和deviceId。a)日期（date）：扫描日期，可选。b)标识（deviceId）：设备标识，可选。4T/CSACxxx—20245.4.2可选数据元素关联扩展数据元素关联（Link）用于说明对其他项的引用，其属性包括制品信息、链接地址、媒介、权限、关联、类型、用法。a)制品信息（artifact）：目标资源的规范名称。b)链接地址（href）：被引用资源的链接。c)媒介（media）：此软件标识化标签所在的平台特征。d)权限（ownership）：与目标资源的关联程度，可选值为adandon、private和shared。e)关联（rel）：软件标识符与目标文件之间的关系。f)类型（type）：目标资源的媒体类型。g)用法（use）：目标资源是否硬性需求。5.4.3可选数据元素元扩展数据元素元（Meta）用于说明与软件标识符相关的开放键值对数据集。5.4.4可选数据元素有效载荷扩展数据元素有效载荷（Payload）用于说明软件组件所包含的文件的集合。5.4.5可选数据元素目录扩展数据元素目录（Directory）用于说明软件组件的目录，目录中可包含目录（即目录嵌套），目录中可包含文件，其属性包括名称（name）和根目录（root）。a)名称（name）：目录名称。b)根目录（root）：目录所在的根。5.4.6可选数据元素组件扩展数据元素组件（File）用于说明软件组件相关的文件，其属性包括名称、体量、版本、MD5:hash、SHA1:hash、SHA256:hash。a)名称（name）：文件名。b)体量（size）：文件大小。c)版本（version）：文件版本。d)MD5:hash：文件的MD5摘要。e)SHA1:hash：文件的SHA1摘要。f)SHA256:hash：文件的SHA256摘要。5.5软件标识化标签的扩展数据元素除5.3和5.4描述的基本数据元素和可选数据元素外，允许进行软件标识化标签数据元素的扩展，自定义需要描述的软件信息。软件标识化标签数据元素的扩展须遵循以下原则：a)有且只有一个根元素SoftwareIdentity；b)不能与现有的基本数据元素和扩展数据元素重名；c)符合JSON数据格式的要求和限制。一个对软件标识化标签数据元素进行扩展的示例，是在文件的摘要中增加国密SM3摘要信息，因此对数据元素File的属性进行扩展，增加SM3:hash属性，以支持国密SM3摘要算法。5T/CSACxxx—20246软件标识化标签的验证6.1验证机构软件标识化标签的验证，应由具备相关资质的权威部门或得到授权的软件标识化标签验证工具出具。6.2验证内容软件标识化标签的验证内容包括：a)标签的完整性b)标签的指纹（如有）c)标签中所记载的文件及其摘要（如有）d)标签中的其他信息（可选）6T/CSACxxx—2024参考文献[1]GB/T24420-2009《供应链风险管理》[2]GB/T36637-2018《信息安全技术ICT供应链安全风险管理指南》[3]GB/T43698-2024《信息安全技术软件供应链安全要求》[4]GB/TXXXXX-XXXX《网络安全技术软件物料清单数据格式》（征求意见稿）[5]ISO/IEC19770-1:2015《Informationtechnology—Softwareassetmanagement—Part1：Processesandtieredassessmentofconformance》[6]ISO/IEC19770-2:2015《Informationtechnology-Softwareassetmanagement-Part2:Softwareidentificationtag》[7]ISO/IEC5962—2021Informationtechnology—SPDX@SpecificationV2.2.1[8]NIST.IR.8060《GuidelinesfortheCreationofInteroperableSoftwareIdentification(SWID)Tags》7T/CSACxxx—2024（资料性）软件标识化标签编码示例A.1软件标识化编码根元素、子元素及它们的属性的约定1标记软件标识化标23软件组件的唯一标45软件组件的开发版6789描述此软件标识化标签所