TCSAC 002-2024 软件标识标签技术要求

ICS35.240.01CCSL78ICS

T/CSAC中华人民共和国 团体标准T/CSAC 软件标识标签技术要求Technicalrequirementsforsoftwareidentificationtag2024-7-31发布 2024-7-31实施中国网络空间安全协会  发布T/CSAC 002T/CSAC 002—2024PAGE\*ROMANPAGE\*ROMANIII目 次ICS 1前 言 III范围 1规范性引用文件 1术语和定义 1缩略语 2软件标识标签 2概述 2总体结构 2基本数据元素 3补充描述性数据元素 3软件标识标签基本数据元素 3唯一标识符 3软件名称 4软件版本 4软件部件号 4软件供方 4软件供方标识 4标签类型 4时间戳 4软件标识标签处理 4标签创建 4标签聚合 4标签共享 5标签完整性 5标签解析 5标签存储 5标签类型 5概述 5语料库标签 5主标识标签 6补丁标签 6补充标签 7标签相关性 7相关性描述 7依赖关系 7组成关系 7补丁关系 7标签安全 8数字签名 8加密 8参考文献 9前 言本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国网络空间安全协会提出。本文件由中国网络空间安全协会归口。（杭州T/CSAC 002T/CSAC 002—2024PAGEPAGE1软件标识标签技术要求范围本文件规定了软件标识标签的功能、通用结构、必要的数据元素字段以及处理规则。规范性引用文件（包括所有的修改单适用于本文件。GB/T11457—2006 信息技术软件工程术GB/T25069—2022 信息安全技术术语GB/T36475—2018 软件产品分类GB/T36637—2018 信息安全技术ICT供应链安全风险管理指南GB/T43698—2024 网络安全技术软件供应链安全要求术语和定义GB/T43698-2024中定义的以及下列术语和定义适用于本文件。软件产品 softwareproduct计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。注１：软件产品包含计算机程序代码、规程、相关数据、文档和相关服务。注2：本文件中软件产品简称为软件。[来源：GB/T43698-2024，3.1]软件标识标签Softwareidentificationtag用于标识和描述单个软件产品的数据元素集合，包含软件名称、版本、供方等方面的信息。元素Element支配类型的值或支配信息客体类别的信息客体，能分别从相同类型或相同类别信息客体的所有他值中区别出来。[来源：GB/T16262.1-2006,3.6.19]语料库标签Corpustag用于软件安装包的软件标识标签。主标识标签Primarytag用于标识软件产品发行版的标准软件标识标签。补丁标签PatchTag用于标识修补已发布软件产品缺陷和漏洞的补丁或修复的软件标识标签。补充标签SupplementalTag用于为已存在的软件标识标签提供额外数据元素的软件标识标签。缩略语下列缩略语适用于本文件。SWID 软件标识（SoftwareIdentification）CD/DVD 光盘（CompactDisc/Digitalversatiledisc）软件标识标签概述软件标识标签应仅包含标识软件所需的最小必要信息。额外的非识别信息应通过引用的方式包含，而非直接集成到标签中，从而使软件标识标签尽可能简洁。JSON软件标识标签可独立使用，也可集成到软件物料清单或者其他软件关系描述文件中。总体结构如图1所示，软件标识标签应包含标识软件所需的基本数据元素(见6.2)和数据元素完整性检查机制(见8.4)。软件标识标签可包含补充描述性数据元素(见6.3)。图1软件标识标签包含的信息类型基本数据元素软件标识标签应包含以下基本数据元素：唯一标识符软件名称软件版本软件供方标签类型(语料库标签或主标识标签等)这些数据元素代表了标识软件所需的最小必要信息。补充描述性数据元素除基本数据元素外，软件标识标签还可包含多种可选的补充描述性数据元素，比如：软件部件号软件供方标识时间戳文档信息许可证信息安装说明相关性（依赖关系、组成关系和补丁关系）补丁/升级信息运行环境信息补充数据元素宜以引用的形式包含在软件标识标签中，这避免标签本身变得过于复杂冗长。软件标识标签基本数据元素唯一标识符此唯一标识符用于标识特定的软件标识标签实例。软件名称此数据元素标识软件产品的通常名称。例如“云星光sbom-tool”。名称应具有足够的特定性以准确标识软件产品。过于通用的名称如“文本编辑器”应避免使用。软件版本此数据元素标识软件产品的准确版本。版本通常由以下元素组成：主版本号：产品版本系列中主要版本的编号。次版本号：主版本下的次要版本编号。修订号：小的修改和缺陷修复版本编号。构建号：完整识别构建或编译的唯一标识符。例如：“2.1.3.76543”，应尽可能全面清晰以准确区分不同软件产品版本。软件部件号对于由多个部件或文件组成的软件产品，可标识特定部分或组件的编号。部分号与产品版本号组合，能够准确定位软件组成部分。软件供方此数据元素标识负责提供软件产品的组织，应使用组织的正式名称。例如：“京东科技信息技术有限公司”。软件供方标识此可选数据元素包含标识软件供方的唯一标识字符串。标签类型此数据元素标识标签的类型，如该标签为语料库标签、主标识标签等，详见第8章。时间戳此数据元素标识标签创建的时间。软件标识标签处理标签创建标签聚合标签共享软件供方应通过软件包或软件目录等方式共享软件标识标签，以便标签与软件产品一起传递给需方。标签完整性标签解析标签存储解析后的软件标识标签可存储于资产管理系统、清单数据库等仓库中，以供后续管理和报告使用。标签类型语料库标签功能语料库标签提供有关软件分发的信息，可用于在软件部署期间验证软件安装包的真实性和完整性。数据元素CD/DVD）的信息。处理主标识标签功能（（包括自动化工具数据元素处理主标识标签与软件产品一起安装（或随后创建），以唯一地标识和描述软件产品。当产品升级时，补丁标签功能数据元素处理补充标签功能数据元素（由软件供方提供处理标签相关性相关性描述依赖关系标识标签所描述软件依赖的其它软件，应包含对依赖软件标签的引用。组成关系标识标签描述的软件是由哪些组件软件组成的，应包含对组件软件标签的引用。补丁关系标识标签描述的补丁或修复应用于哪个软件，应包含对所应用软件标签的引用。通过相关性描述，可以构建出软件系统的完整层次关系模型。标签安全软件供方应采取加密和数据签名等安全机制来保护软件标识标签的完整性和可验证性。数字签名加密参考文献GB/T32921—2016 信息安全技术 信息技术产品供应方行为安全准则ISO/IEC19770-1:2015Informationtechnology—Softwareassetmanagement—Part1：ProcessesandtieredassessmentofconformanceISO/IEC19770-2:2015Informationtechnology-Softwareassetmanagement-Part2:SoftwareidentificationtagNIST.IR.806