TCSAC 004-2024 软件供应链安全要求测评方法

ICS35.240.01CCSL78

T/CSAC中华人民共和国 团体标准T/CSAC 软件供应链安全要求测评方法Testingandevaluatingmethodforsoftwaresupplychainsecurityrequirements2024-7-31发布 2024-7-31实施中国网络空间安全协会  发布T/CSAC 004T/CSAC 004—2024PAGE\*ROMANPAGE\*ROMANII目 次前 言 II范围 1规范性引用文件 1术语和定义 1概述 2测评指标 2测评对象 2测评方法 2测评结果 2测评流程 2测评结论 2需方软件供应链安全要求测评方法 2组织管理 3机构管理 3制度管理 3人员管理 5供应商管理 6知识产权管理 7供应活动管理 8基本流程 8软件采购 8软件获取 10软件运维 12软件废止 14供方软件供应链安全要求测评方法 15组织管理 15机构管理 15制度管理 16人员管理 17知识产权管理 18供应活动管理 19基本流程 19软件开发 19软件交付 22软件运维 25软件废止 26参 考 文 献 28前 言本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国网络空间安全协会提出。本文件由中国网络空间安全协会归口。（杭州T/CSAC 004T/CSAC 004—2024PAGEPAGE10软件供应链安全要求测评方法范围本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评流程。规范性引用文件（包括所有的修改单适用于本文件。GB/T25069—2022 信息安全技术 术语GB/T43698—2024 网络安全技术 软件供应链安全要求术语和定义GB/T25069—2022和GB/T43698—2024中界定的以及下列术语和定义适用于本文件。供应关系 supplierrelation需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。注：在供应链中，上游的需方同时也是下游的供方。[来源：GB/T43698-2024,3.5]供应活动 supplyactivity[来源：GB/T43698-2024,3.6]软件供应链 softwaresupplychain[来源：GB/T43698-2024,3.7]软件供应链安全图谱 softwaresupplychainsecuritygraph软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。注：一般以文本形式存储，支持通过知识图谱方式展示。[来源：GB/T43698-2024,3.9]概述测评指标GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全要求。测评对象测评指标涉及的人员、机构、制度、文件、软件产品等。测评方法测评方法主要包括以下三种：访谈：测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流，帮助测评人员理解、澄清或取得证据，从而判定是否满足指标要求；核查：测评人员通过对测评对象，如制度、文件、软件产品等进行观察、查验和分析、帮助测评人员理解、澄清或取得证据，从而判定是否满足指标要求；检测：测评人员使用完整性校验、访问控制分析、源代码安全缺陷检测、二进制代码漏洞分析测评结果测评结果包括：完全符合：通过对测评对象的访谈、核查或检测，满足所有预期结果；部分符合：通过对测评对象的访谈、核查或检测，满足部分预期结果；不符合：通过对测评对象的访谈、核查或检测，不满足任何预期结果；不涉及：与测评指标的所有内容不相关。测评流程采用测评方法对测评对象实施访谈、核查或检测并给出测评结果的过程。测评结论参考GB/T43698-2024附录D对软件供应链安全图谱级别的划分，汇总测评结果给出如下测评结论：软件供应链安全保障能力达到基础级：组织管理和供应活动安全要求完全符合及部分符合项数不少于测评总项数的80%，软件供应链安全图谱符合基础级图谱要求；软件供应链安全保障能力达到通用级：组织管理和供应活动安全要求完全符合及部分符合项数不少于测评总项数的80%，软件供应链安全图谱符合通用级要求；软件供应链安全保障能力达到增强级：组织管理和供应活动安全要求完全符合及部分符合项数不少于测评总项数的80%，软件供应链安全图谱符合增强级要求。需方软件供应链安全要求测评方法组织管理机构管理a本项测评内容包括：测评指标：应明确软件供应链安全管理组织机构或人员及其职责范围，提供保障软件供应链安全所需的资源（如有关资金、场地、人力等），并在预算管理过程中予以重点考虑。测评流程：访谈信息/网络安全主管，核查管理制度以及表单等文件；预期结果：具有软件供应链安全管理组织机构、人员和职责分工以及资金支持。b本项测评内容包括：测评指标：应组织构建并管理软件供应链安全图谱，定期（至少每年一次）开展软件供应链安测评流程：访谈信息/网络安全主管，核查安全检测报告，检测软件供应链安全图谱。预期结果：开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作不少于1次；具有软件成分分析、源代码和二进制代码安全漏洞分析等至少一项安全检测或风险评估报告；至少具有软件资产清单、软件物料清单或软件供应链安全图谱中的一项。c本项测评内容包括：测评指标：应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。测评流程：访谈信息/网络安全主管，核查管理制度文件和执行情况。预期结果：具有软件供应链安全管理制度、流程以及机制，并有宣贯记录；具有执行和修订情况的记录。d本项测评内容包括：测评指标：对于重要或核心业务场景，宜设立专职软件供应链管理机构开展软件供应链安全管理工作。测评流程：访谈信息/网络安全主管、核查管理制度文件。预期结果：设立专职软件供应链管理机构；对组织机构和人员有明确的职责划分。制度管理a本项测评内容包括：测评指标：应确定软件供应链安全的总体方针、安全制度和策略（可作为单独的文件，也可作为相关文件中的一部分），至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。测评流程：核查管理制度文件。预期结果：制度中具有软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b本项测评内容包括：测评指标：应制定软件供应链安全风险持续监测、风险评估和事件响应制度，明确不同等级安全事件的报告、处置、响应的流程和机制，规定安全事件的现场处理、事件报告和后期恢复等要求。测评流程：核查管理制度类文件。预期结果：具有不同等级安全事件的报告、处置、响应的流程和机制；具有安全事件的现场处理、事件报告和后期恢复等内容。c本项测评内容包括：测评指标：应制定软件采购、获取、运维、废止等供应活动安全管理制度，例如安全开发、交付部署和验收、故障处理和维护升级等管理制度、规程或机制。测评流程：核查管理制度文件。预期结果：具有软件采购、获取、运维、废止等供应活动中的相关安全要求。d本项测评内容包括：测评指标：应将软件供应链安全相关内容应纳入人员管理制度，例如人员权限、能力、资质、（）应明确并开展背景审查工作的要求。测评流程：核查人员管理制度文件。预期结果：具有人员权限、技术能力、专业资质、安全背景、技能培训等要求；具有对采购、安全测试、配置管理、漏洞管理等人员背景审查的要求。e本项测评内容包括：测评指标：应制定供应商管理制度，包括但不限于供应商资质审核、供应商分类分级、供应商不良行为处理等。测评流程：核查管理制度文件。预期结果：具有供应商资质审核、供应商分类分级、供应商不良行为处理等内容。f本项测评内容包括：测评指标：应制定知识产权管理制度，包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。测评流程：核查管理制度文件。预期结果：具有对专利、软件著作权、许可协议等制度内容。人员管理a本项测评内容包括：测评指标：应明确人员需具备的软件供应链实体要素的识别和安全分析能力，如软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。测评流程：核查管理制度文件和记录表单类文档。预期结果：具有软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等至少一项能力要求；具有软件供应链实体要素的识别和安全分析能力的考核记录。b本项测评内容包括：测评指标：应划分人员的职责定位、权限级别，采用最小授权机制并建立操作规范，创建操作日志。测评流程：核查管理制度文件和记录表单类文档。预期结果：划分了软件供应链安全管理人员职责分工、权限级别；根据工作任务分配了最小权限；具有人员操作日志或记录。c本项测评内容包括：测评指标：应定期（至少每年一次）开展软件供应链安全和保密培训，培训内容包括但不限软件供应链实体要素的识别和安全分析能力涉及的内容。测评流程：访谈信息/网络安全主管，核查管理制度文件和记录表单类文档。预期结果：开展了保密培训，具有培训记录，并记录了培训人员、培训内容、培训结果等描述；培训内容包含软件供应链实体要素识别或安全分析能力中至少一项。d本项测评内容包括：测评指标：应建立并执行离职离岗人员账号、权限、材料的交接和清理机制和规程。测评流程：核查管理制度文件、记录表单类文档，检测账号权限。预期结果：具有离职人员账号、权限、材料的交接和清理机制和规程；具有离职离岗人员停止其账号及访问权限、交还材料等记录；离职人员账号权限已不可用。e本项测评内容包括：测评指标：对于核心业务场景，宜配置软件供应链安全保障团队，并根据需要开展相关人员的背景调查。测评流程：访谈信息/网络安全主管，核查记录表单类文档。预期结果：具有软件供应链安全保障团队；具有开展人员背景调查的内容、结果的记录。f本项测评内容包括：测评指标：对于核心业务场景，宜具备防范各类软件供应链安全风险能力，例如软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等。测评流程：访谈信息/网络安全主管。供应商管理a本项测评内容包括：测评指标：应分类分级建立合格的供应目录，对供应目录及相关信息进行集中管理，并定期或按照实际需求进行更新维护。测评流程：核查管理制度文件、记录表单类文档。预期结果：具有供应目录以及供应商评价指标、评价方法、评价流程等制度；具有开展供应商评价或供应商分类分级的记录；具有定期或按照实际需求更新维护供应目录的记录。b本项测评内容包括：测评指标：应优先选择供应目录中满足条件的供应商。测评流程：核查管理制度类文件、记录表单文件。预期结果：规定优先选择供应目录中满足条件的供应商。c测评指标：根据软件供应链中供应关系、供应活动的不同，供应商应符合供应活动安全要求。测评流程：核查管理制度文件。预期结果：具有软件开发、软件交付、软件运维和软件废止中至少一项制度内容。d本项测评内容包括：测评流程：核查管理制度文件。预期结果：具有供应商选择策略或机制；具有背景、资质、能力等评估的要求和记录。e本项测评内容包括：测评指标：应要求供方开展软件供应链安全检测和风险评估工作，明确相关内容和范围；确需第三方机构的，应明确对第三方机构的能力、资质等要求。测评流程：核查管理制度文件。预期结果：具有供方开展软件供应链安全检测和风险评估工作的要求；f本项测评内容包括：测评指标：应要求供方配合相关部门开展软件供应链安全审查、监督和检查。测评流程：核查管理制度文件。预期结果：具有供方配合相关部门开展软件供应链安全审查、监督和检查的要求。g本项测评内容包括：测评指标：应在供应关系、供应商股权等信息发生变更时，对变更带来的安全风险进行评估，并采取相应的风险控制措施。测评流程：核查管理制度文件。预期结果：规定了在供应关系、供应商股权等信息发生变更时，对风险进行评估并采取相应的风险控制措施。h本项测评内容包括：测评流程：核查管理制度文件。预期结果：规定了建立供应商替代方案或具备相应软件的自主维护能力的要求。知识产权管理a本项测评内容包括：测评指标：应防止因知识产权问题导致的法律风险，或具备防范相应法律风险的能力和机制。测评流程：核查管理制度文件。预期结果：规定专利、软著、授权、许可证至少一项知识产权管理要求。b本项测评内容包括：测评指标：应充分熟悉所使用或在研软件产品和服务的知识产权，对知识产权进行规范管理，防止侵权。测评流程：访谈知识产权管理人员。预期结果：熟悉所使用或在研软件产品和服务的知识产权使用情况；未发生专利侵权案件；未违规使用开源组件。c本项测评内容包括：测评指标：在核心业务场景中，宜对所使用的软件产品或服务相关的国内外知识产权情况进行详细识别分析，建立相关知识产权风险的应对方案。测评流程：核查管理制度文件、记录文件。预期结果：具有对所使用的软件的知识产权情况进行详细识别分析的要求；具有知识产权识别分析的记录；建立了知识产权风险的应对方案。供应活动管理基本流程a本项测评内容包括：测评指标：应在开展供应活动前，以协议、合同等方式与供方建立供应关系。测评流程：核查协议、合同。预期结果：开展供应活动前签订了协议或合同。b本项测评内容包括：测评指标：应在协议、合同等文件中明确对供应活动的安全要求，并签署相应的保密协议。测评流程：核查协议、合同。预期结果：具有软件采购、获取、运维、废止等至少一类安全要求；具有有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。c本项测评内容包括：测评指标：应按照约定的内容和范围开展软件供应活动管理。测评流程：核查协议、合同执行记录。预期结果：按照软件采购、获取、运维、废止等的内容和范围开展相应供应活动。软件采购a本项测评内容包括：测评指标：应邀请软件供应链安全、网络空间安全等领域专家（或具备相应网络空间安全能力的评标人员）参与招标采购过程。测评流程：核查记录表单类文件。预期结果：评标人员中包含至少一位软件供应链安全、网络空间安全等领域专家。b本项测评内容包括：测评指标：应结合软件应用的实际业务场景，明确对软件供应链安全图谱的要求；需要供方提供软件供应链安全图谱的应明确图谱的内容，如安全图谱的等级、可追溯层级等。测评流程：核查协议、合同。预期结果：具有软件供应链安全图谱中软件产品信息、软件物料清单或安全信息中至少一项要求；规定了安全图谱的等级、可追溯层级等内容。c本项测评内容包括：测评指标：应根据国家和行业已发布标准以及自身业务要求制定软件的安全需求基线和防护架构，如软件应具备的安全防护能力、保护个人信息和重要数据等不被泄露的能力。测评流程：核查协议、合同。预期结果：明确了软件应具备的安全防护能力、防止个人信息和重要数据泄漏的能力需求。d本项测评内容包括：测评指标：应确定所采购软件的授权使用期限及相应的技术协助要求，在授权方式可选的条件测评流程：核查协议、合同。预期结果：明确了所采购软件的授权方式、使用期限、技术协助要求。e本项测评内容包括：测评指标：应制定从多个源厂商获得兼容的产品和服务的方案，确保软件来源的多样性。对于单一来源的软件，应制定风险消减措施。测评流程：核查记录表单类文档。预期结果：具备从多个源厂商获得兼容的产品和服务的方案；具有单一来源软件的风险消减措施。f本项测评内容包括：测评指标：对于定制研发软件，应要求供方具备安全开发相关资质或建立安全开发规范，建立和维护安全的开发环境、建立工具和设备的安全管理和准入控制等。测评流程：核查协议、合同，访谈建设负责人。预期结果：规定了供方需具备安全开发相关资质或建立安全开发规范的要求；要求供方建立和维护安全的开发环境；要求供方建立和维护工具、设备的安全管理和准入控制策略。g本项测评内容包括：测评指标：应要求供方提供验证产品是否来自原厂商且获得许可的途径或方法。测评流程：核查记录表单类文档。预期结果：具有对供方提供验证产品来自原厂商且获得许可的途径或方法的要求。h本项测评内容包括：测评指标：应明确对运维技术团队及相应技术能力的要求，包括但不限于风险监测识别、漏洞修复、完整性保护、安全测试等。测评流程：核查协议、合同。预期结果：对运维技术团队提出了风险监测识别、漏洞修复、完整性保护、安全测试等至少一项能力要求。i本项测评内容包括：测评指标：应要求软件开发、交付、部署、测试等工具和设备具备可操作的替代方案。测评流程：核查协议、合同。预期结果：具有软件开发、交付、部署、测试等工具和设备具备可操作的替代方案的要求。j本项测评内容包括：测评指标：应考虑政治、外交、贸易、自然灾害、公共安全事件等不可抗力导致供应中断时的可替代策略。测评流程：核查协议、合同。测评流程：具有不可抗力导致供应中断时供方提供可替代策略的要求。k本项测评内容包括：测评指标：应明确软件供应链安全检测和风险评估的范围，例如软件资产识别、源代码和二进制代码安全漏洞分析、软件成分分析等；涉及第三方机构的应明确第三方机构的资质能力。测评流程：核查协议、合同。预期结果：涉及第三方机构的，对第三方机构的资质能力提出要求。软件获取a本项测评内容包括：测评指标：应对软件进行端到端的完整性验证。测评流程：核查记录表单类文档，开展软件完整性检测。预期结果：具有端到端的完整性验证及验证结果的记录；完整性检测结果与提供的记录一致。b本项测评内容包括：测评指标：应对所获取软件进行全面安全检测和风险评估，例如源代码安全漏洞分析、二进制测评流程：核查安全检测报告和协议、合同，开展软件安全检测。预期结果：安全检测或风险评估报告满足协议、合同要求；具有软件成分分析、源代码安全漏洞分析、二进制代码安全漏洞分析或容器镜像安全分析等至少一项安全检测报告，并满足协议、合同的约定；开展源代码安全漏洞分析、二进制代码安全漏洞分析、容器镜像安全分析或软件成分分析等至少一项安全检测，结果满足协议、合同的约定。c本项测评内容包括：测评流程：核查安全检测报告，开展软件安全检测。预期结果：安全检测报告未发现已公开高危漏洞未修复的情况，或对已公开高危漏洞采取相应缓解措施。开展安全检测未发现已公开高危漏洞未修复的情况，或对已公开高危漏洞采取相应缓解措施。d本项测评内容包括：测评指标：对于定制研发软件，宜掌握关键软件、组件的代码结构和技术原理；对于需要二次开发、独立维护的应获取软件源代码和相关知识产权的授权，并妥善保管。测评流程：访谈建设负责人，核查记录表单类文件。预期结果：掌握关键软件、组件的代码结构和技术原理；委托开发单位已提供软件源代码以及知识产权的授权；具备软件源代码的安全管理措施或机制。e本项测评内容包括：测评指标：对于定制研发软件，应要求厂商提供软件相关技术资料，包括但不限于中文版运行测评流程：核查软件技术资料和记录表单类文档。预期结果：具有中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制，以及软件使用说明书、技术分析报告等。软件运维a本项测评内容包括：测评指标：应确定运维方案，包括运维团队、运维内容和范围、运维流程等内容。测评流程：核查运维方案。预期结果：具有运维团队、运维内容和范围、运维流程等内容。b本项测评内容包括：测评指标：应确保软件及运行环境持续稳定可用，保障软件完整性和访问控制策略正常。测评流程：检测授权文件、软件完整性、访问控制策略，核查软件运维记录。预期结果：授权文件有效，更新包、补丁包通过完整性验证；访问控制策略有效可用。c本项测评内容包括：测评指标：应建立可追溯台账，对软件产品或服务整个使用过程进行记录、检测和维护，及时更新维护软件供应链安全图谱。测评流程：核查记录表单类文档，检测软件供应链安全图谱。预期结果：记录中包含日常巡检、运行维护、设置和修改等内容；软件供应链安全图谱中包含补丁、所使用运维工具等信息。d本项测评内容包括：测评指标：应将软件作为组织资产进行管理，保障软件安装、升级维护时从安全可控的渠道获测评流程：核查记录表单类文档，访谈建设负责人。预期结果：软件资产管理对象覆盖安装包、升级包；安装包、升级包在使用前经过了可用性、安全性、完整性检测，且满足安全要求；软件安装、更新升级后，是否同步更新安全配置。e本项测评内容包括：测评流程：核查记录表单类文档、协议、合同。预期结果：运行环境的安全配置满足协议、合同中的要求；对运行环境进行了安全配置，并记录配置信息。f本项测评内容包括：测评指标：应明确运维人员的访问权限级别，对其访问范围和授权期限进行严格区分，确定不同权限人员尤其是厂商、外包等非自有维护人员，开展软件运维的内容和边界检查。测评流程：核查记录表单类文档，检测权限划分有效性。预期结果：划分运维人员的访问权限级别，有效区分访问范围和授权期限；对非自有运维人员明确规定了软件运维内容和边界，权限控制策略有效。g本项测评内容包括：测评指标：应对授权期限进行管理，禁止使用超过授权使用期限或维保期限的软件；确需使用的应定期评估并处置其安全风险。测评流程：核查运维方案、运维记录文件，访谈建设负责人。预期结果：运维方案对超期使用软件提出安全风险评估和处置要求；未发现超过授权使用期限或维保期限的软件；存在超期使用的情况，评估并提出了安全风险防范措施。h本项测评内容包括：测评指标：应对软件运维工具、运维环境等进行安全检测和风险评估，及时发现并处置软件中测评流程：核查安全检测报告或开展安全检测。预期结果：报告中未发现软件运维工具、运维环境的安全问题；开展安全检测未发现软件运维工具、运维环境的安全问题；发现了安全问题，采取了有效的消控措施。i本项测评内容包括：测评指标：应收集软件供应链的安全风险信息，发现安全缺陷、漏洞等风险时，应当立即采取补救措施，并按照规定及时向有关主管监管部门报告。测评流程：访谈建设负责人，核查记录表单文件，开展安全检测。预期结果：具有持续检测或收集软件供应链安全风险信息的机制；具有修复补救的记录，且修复文件经过安全检测不存在高危安全漏洞或恶意代码；涉及向主管监管部门报告的，具有完备的文件和记录。j本项测评内容包括：测评指标：应依据实际业务场景的业务连续性和灾难恢复计划，制定可接受的恢复时间和恢复目标，并确定防范供应中断和服务中断等风险的安全策略。测评流程：核查管理制度文件。预期结果：制定了业务恢复策略和程序，明确恢复时间和恢复目标；具备防范供应中断和服务中断等风险的安全策略。k本项测评内容包括：测评指标：应开展软件供应链相关范围内的数据安全检测分析和风险评估等工作，防止因软件漏洞引起的信息泄露、数据泄露、篡改和损毁等安全事件发生。测评流程：核查安全分析报告或记录，开展安全检测或风险评估。预期结果：具有安全分析报告或分析记录，未发现信息泄露、数据泄露、数据篡改和数据损毁等数据安全风险；或者发现数据安全风险，并采取消控措施。l本项测评内容包括：测评指标：应对软件外联网络地址、域名数据等进行检测和分析，及时发现产品后门植入、擅自提高权限等违规操作。测评流程：核查安全检测报告，或开展安全检测。预期结果：未发现软件外联网络地址、域名数据等检测等内容中存在后门、越权等安全风险。或者对已经发现的安全风险，采取了消控措施。软件废止a本项测评内容包括：测评指标：应制定软件废止处理规程，例如软件停用和卸载、软件供应链安全图谱归档、信任关系清除以及数据备份、迁移和销毁等，并按照规程开展相应工作。测评流程：核查管理制度文件。预期结果：具有软件停用和卸载、信任关系清除以及数据备份、迁移和销毁等规定、流程或机制；具有软件停用和卸载、软件供应链安全图谱归档、信任关系清除以及数据备份、迁移和销毁中的至少一类工作记录。b本项测评内容包括：测评指标：应移除准入控制措施和策略中与所废止软件相关的信息，例如软件、人员、设备等要求和规则；对于不适合清除的应制定相应的控制措施和策略。测评流程：核查管理制度文件或工作记录文件，开展安全检测。预期结果：已移除与所废止软件相关的准入控制措施和策略；对不适合移除的，制定了相应的控制措施。c本项测评内容包括：测评指标：应具备软件废止后防止软件泄露、数据泄露的安全保障能力。测评流程：核查数据安全分析报告或检测数据安全保护措施。预期结果：安全保护措施有效可用，能够实现软件防泄露、数据防泄露。d本项测评内容包括：测评指标：对于软件产品废止并替换为新产品的，应要求新产品的供方支持数据迁移到新的软件产品。测评流程：核查协议、合同、数据迁移记录。e本项测评内容包括：测评指标：涉及数据销毁的，宜参照GB/T37988—2019中第11章的要求进行数据销毁、防止对存储的数据进行修复而导致的数据泄露风险。测评流程：核查记录表单文件。预期结果：按照GB/T37988—2019中第11章的要求执行数据销毁。f本项测评内容包括：测评指标：废止工作完成后应进行安全检测，确保除例外的要求和规则外，软件及其相关信息被完全废止。测评流程：核查安全检测报告或记录。预期结果：除例外的要求和规则外，软件及其相关信息被完全废止。供方软件供应链安全要求测评方法组织管理机构管理a本项测评内容包括：测评指标：应明确软件供应链安全管理组织机构或人员及其职责范围，提供保障软件供应链安全所需的资源（如有关资金、场地、人力等），并在预算管理过程中予以重点考虑。测评流程：访谈信息/网络安全主管，核查管理制度以及表单等文件。预期结果：具有软件供应链安全管理组织机构、人员和职责分工以及资金支持。b本项测评内容包括：测评指标：应组织构建并管理软件供应链安全图谱，定期（至少每年一次）开展软件供应链安测评流程：访谈信息/网络安全主管，核查安全检测报告，检测软件供应链安全图谱。预期结果：开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作不少于1次；具有软件成分分析、源代码和二进制代码安全漏洞分析等至少一项安全检测或风险评估报告；至少具有软件资产清单、软件物料清单或软件供应链安全图谱中的一项。c本项测评内容包括：测评指标：应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。测评流程：访谈信息/网络安全主管，核查管理制度文件和执行情况。预期结果：具有软件供应链安全管理制度、流程以及机制，并有宣贯记录；具有执行和修订情况的记录。制度管理a本项测评内容包括：测评指标：应确定软件供应链安全的总体方针、安全制度和策略（可作为单独的文件，也可作为相关文件中的一部分），至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。测评流程：核查管理制度文件。预期结果：制度中具有软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b本项测评内容包括：测评指标：应制定软件供应链安全风险的持续监测、风险评估和事件响应制度，并明确不同等测评流程：核查管理制度类文件。预期结果：具有不同等级安全事件的报告、处置、响应的流程和机制；具有安全事件的现场处理、事件报告和后期恢复等内容。c本项测评内容包括：测评指标：应制定软件开发、交付、运维、废止等供应活动的安全管理制度，例如安全开发、交付部署和验收、故障处理和维护升级等管理制度、规程或机制。测评流程：核查管理制度文件。预期结果：具有软件开发、交付、运维、废止等供应活动中的相关安全要求。d本项测评内容包括：测评指标：应将软件供应链安全相关内容应纳入人员管理制度，例如人员权限、能力、资质、（应明确并开展背景审查工作的要求。测评流程：核查人员管理制度文件。预期结果：具有人员权限、技术能力、专业资质、安全背景、技能培训等要求；具有对采购、安全测试、配置管理、漏洞管理等人员背景审查的要求。e本项测评内容包括：测评指标：应制定知识产权管理制度，包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。测评流程：核查管理制度文件。预期结果：具有对专利、软件著作权、许可协议等制度内容。。人员管理a本项测评内容包括：测评指标：应明确人员需具备的软件供应链实体要素的识别和安全分析能力，例如软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。测评流程：核查管理制度文件和记录表单类文档。预期结果：具有软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等至少一项能力要求；具有软件供应链实体要素的识别和安全分析能力的考核记录。b本项测评内容包括：测评指标：应划分人员的职责定位、权限级别，采用最小授权机制并建立操作规范，创建操作日志。测评流程：核查管理制度文件和记录表单类文档。预期结果：划分了软件供应链安全管理人员职责分工、权限级别；根据工作任务分配了最小权限；具有人员操作日志或记录。c本项测评内容包括：测评流程：核查管理制度文件和记录表单类文档。预期结果：具有软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等要求；具有防范供应关系风险、技术安全风险、合规安全风险等能力考核记录。d本项测评内容包括：测评指标：应定期（至少每年一次）开展软件供应链安全和保密培训，培训内容包括但不限软件供应链实体要素的识别和安全分析，以及防范各类软件供应链安全风险能力涉及的内容。测评流程：访谈信息/网络安全主管，核查管理制度文件和记录表单类文档。预期结果：开展了保密培训，具有培训记录；开展了能力培训，内容包含软件供应链实体要素识别或安全分析能力中至少一项；e本项测评内容包括：测评指标：应建立并执行离职离岗人员的账号、权限、材料等交接、清理的机制和规程。测评流程：核查管理制度文件、记录表单类文档，检测账号权限。预期结果：具有离职人员账号、权限、材料的交接和清理机制和规程；具有离职离岗人员停止其账号及访问权限、交还材料等记录；离职人员账号权限已不可用。知识产权管理a本项测评内容包括：测评指标：应防止因知识产权问题导致的法律风险，或具备防范相应法律风险的能力和机制。测评流程：核查管理制度文件。预期结果：规定专利、软著、授权、许可证至少一项知识产权管理要求。b本项测评内容包括：测评指标：应充分熟悉所提供软件的知识产权，对知识产权进行规范管理，防止侵权。测评流程：访谈知识产权管理人员。预期结果：熟悉所使用或在研软件产品和服务的知识产权使用情况；未发生知识产权侵权案件；未违规使用开源组件。供应活动管理基本流程a本项测评内容包括：测评指标：应在开展供应活动前，以协议、合同等方式与需方建立供应关系。测评流程：核查协议、合同。预期结果：开展供应活动前签订了协议或合同。b本项测评内容包括：测评指标：应在协议、合同等文件中明确对供应活动的安全要求，并签署相应的保密协议。测评流程：核查协议、合同。预期结果：具有软件开发、交付、运维、废止等至少一类安全要求；具有有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。。c本项测评内容包括：测评指标：应按照约定的内容和范围开展软件供应活动管理。测评流程：核查协议、合同执行记录。预期结果：按照软件开发、交付、运维、废止等的内容和范围开展相应供应活动。软件开发a本项测评内容包括：测评指标：应参照GB/T30998—20146章开展软件开发的安全保障分析，或具备安全开发资质，例如信息安全服务资质（安全开发类）、软件安全开发服务资质等。测评流程：核查管理制度文件、记录表单类文件。预期结果：在软件需求、设计、编码、测试等阶段具有安全开发规范，开展了安全保障分析，具有分析报告或记录；或具有至少一类安全开发服务资质。b本项测评内容包括：测评指标：应将软件作为组织资产进行管理，制定和实施防盗版的策略和规程，开发过程中对文件、组件、开发工具等采取访问控制、完整性保护等安全机制。测评流程：核查记录表单类文件，开展完整性保护、访问控制措施有效性检测。预期结果：具有软件资产管理制度或规定，包含防盗版的策略或规程；文件、组件、开发工具的访问控制、完整性保护措施有效可用。c本项测评内容包括：测评流程：检测软件供应链安全图谱，核查记录表单类文件。预期结果：建立软件资产清单、软件物料清单或软件供应链安全图谱；图谱包含GB/T43698-2024D中软件产品信息、软件物料清单、安全漏洞等信息；具有软件供应链安全图谱的完备性和准确性的记录。d本项测评内容包括：测评指标：应基于软件供应链安全图谱，建立和维护可追溯性的策略和程序，记录和保留外部组件的原始供应方、开源社区或开发贡献者等相关信息，可追溯至上游供应商。测评流程：核查软件供应链安全图谱可追溯策略或程序。预期结果：具有开源组件的上游或原始供应方、开源社区或开发贡献者等信息；具有第三方组件的上游或原始供应方或开发贡献者等信息；具有自研组件开发贡献者信息；e本项测评内容包括：测评指标：应确定软件的安全需求基线和防护架构，保障软件具备安全防护、保护个人信息和重要数据不被泄露等能力。测评流程：核查基线配置记录，检测基线配置和防护措施。测评流程：具有安全基线配置记录；配置中包含安全防护、保护个人信息和重要数据防泄露等内容；基线配置和安全防护措施有效可用。f本项测评内容包括：测评指标：应承诺所使用的外部组件不存在已公开漏洞未修复的情况；对于存在已公开漏洞未修复的，应及时修复漏洞，或采取缓解防御措施，或提供漏洞分析和处置报告。测评流程：核查合同或承诺书、安全检测报告，开展软件安全检测。预期结果：具有开源或第三方组件不存在已知公开漏洞未修复的承诺；安全检测报告中不存在已公开漏洞未修复的情况，或对存在已公开漏洞未修复的，采取了相应缓解措施；开展软件安全检测未发现已公开漏洞未修复的情况。g本项测评内容包括：测评指标：应建立外部组件的使用审批机制，对来源于开放源代码社区和第三方的代码、组件（测评流程：核查管理制度文件，检测外部组件库。预期结果：具有外部组件的使用审批机制；审批机制内容包括完整性验证、安全检测评价和依赖关系分析，并具有相应的记录；具有自建的开源或第三方组件库，具有组件推荐策略；组件安全检测的漏洞、开源许可协议结果与审批过程的结果一致。h本项测评内容包括：预期结果：定期或按需对所使用的工具、外部组件进行安全分析；具有所使用的工具、外部组件的使用状态、安全状态分析报告或记录；对于存在安全风险、缺乏维护或将要废止的工具、外部组件，具有更新、修复或停用、废止等安全保障记录或计划，并同时开展或计划对软件供应链安全图谱更新。i本项测评内容包括：测评指标：对于难以验证来源的工具、外部组件，应禁止使用；确需使用的应醒目标注，说明原因，通过安全检测和风险评估后方可使用。测评流程：访谈项目负责人，核查记录表单类文档、安全检测报告，开展安全检测。预期结果：没有使用未通过完整性校验或难以验证来源的工具、外部组件；使用了难以验证来源的工具、外部组件，并醒目标注；具有2）中工具、外部组件的安全检测分析记录或报告，采取了安全防护措施。j本项测评内容包括：测评指标：应建立安全可控的软件开发工作场所，搭建并使用专用的开发环境；涉及多个开发环境的应进行必要的逻辑隔离。测评流程：访谈项目负责人、检测开发环境、核查记录表单类文档。预期结果：具有安全可控的软件开发工作场所；具有专用的开发环境；涉及多个开发环境的，进行了有效的逻辑隔离。k本项测评内容包括：/测评流程：核查记录表单类文件。预期结果：具有开发/测试工具和设备的白名单准入控制机制；具有安全检测、正版授权验证、官方完整性校验等措施和实施记录；核心开发工具、核心组件具有可替代方案或自主可控。l本项测评内容包括：测评指标：应选择供需双方约定的方式开展软件供应链安全检测和风险评估工作，例如源代码安全检测、二进制代码安全检测、软件成分分析、知识产权分析、数据安全能力成熟度分析等。测评流程：核查协议、合同、安全检测报告，开展软件安全检测。预期结果：具有源代码安全检测、二进制代码安全检测、软件成分分析、知识产权分析、数据安全能力成熟度分析等至少一项安全检测或风险评估报告；安全检测和风险评估报告或记录满足协议、合同中的安全要求；经检测报告发现的问题已修复，或采取了相应的防护措施。软件交付a本项测评内容包括：测评指标：应确保交付软件的真实性、准确性、完整性，采取措施保护信息不被篡改和泄露，并提供所交付软件的完整性验证措施或方法。测评流程：访谈项目负责人、检测完保护措施。预期结果：具有保障软件真实性、准确性、完整性，以及保护信息不被篡改和泄露的安全措施；软件采取的完整性验证措施或方法有效可用。b本项测评内容包括：测评指标：应按约定方式对交付软件实行安全部署和配置，提供部署方法、安全配置基线和软件供应链安全图谱等信息。测评流程：核查协议、合同和记录表单类文件。预期结果：执行的安全部署和配置满足协议、合同中的安全要求；提供部署方法、安全配置基线和软件供应链安全图谱。c本项测评内容包括：测评流程：核查承诺书或安全检测报告，开展软件安全检测。预期结果：具有不存在已知高危安全漏洞未修复的承诺书；安全检测报告不存在已公开高危安全漏洞；或对于存在已公开漏洞未修复的，采取了相应缓解措施；或开展安全检测未发现已公开高危安全漏洞，或者对检测发现的已公开高危安全漏洞采取了相应缓解措施。d本项测评内容包括：测评指标：应配合开展所交付软件的功能、性能、完整性及安全性等验收测试并对软件进行数测评流程：核查安全检测报告、记录表单类文档和协议、合同。预期结果：具有交付软件的功能、性能、完整性验收报告或记录；交付软件进行了数字签名；开展了供应关系、供应活动的安全检测和风险评估以及可持续供应能力、安全漏洞等的记录或报告；满足协议、合同中的安全要求。e本项测评内容包括：测评指标：对于所交付软件，应禁止交付约定范围外的内容，如开启无关功能、捆绑无关软件测评流程：访谈项目负责人，核查协议、合同和记录表单类文档。预期结果：所交付软件不存在开启无关功能，捆绑无关软件的现象；承诺了不在软件中设置后门，或利用软件的便利条件非法获取用户数据、控制和操纵用户系统和设备，不会利用软件的依赖性谋取不正当利益，不在未授权情况下对软件进行升级或更新换代；采取了必要技术手段和管理措施确保远程访问控制的安全性。f本项测评内容包括：测评指标：应及时提供交付环节变化的通报，以及相关的交付途径安全性分析报告，并对可能造成严重后果的变化，快速采取补救措施。测评流程：访谈项目负责人，核查记录表单类文件。预期结果：涉及交付环节变化的，具有变更的通报和记录；具有交付途径的安全分析记录或报告。g本项测评内容包括：测评指标：应交付需方购买软件的使用授权，例如许可证、产品序列号、许可协议等。测评流程：核查授权、记录表单类文件。预期结果：交付了许可证、序列号等授权文件。h本项测评内容包括：测评指标：应保障所交付软件使用的外部组件获取途径安全性、自身安全性、组件可持续服务测评流程：核查安全检测报告、记录表单类文档和协议、合同。预期结果：对外部组件的获取途径、自身安全和可持续供应等进行了安全分析；对外部组件提供的承诺、说明、认证证明、分析报告、资质证明等相关材料符合协议、合同要求。i本项测评内容包括：测评流程：核查软件代码和上述文件。预期结果：交付了软件源代码，中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制，以及软件使用说明书、技术分析报告等。j本项测评内容包括：测评指标：对于定制研发或者自主研制软件，应妥善保管i)中的内容，并依据相关规定或合同文件，不将软件全部或部分泄露到授权以外的范围，并签署保密协议。测评流程：核查保障措施、协议、合同。预期结果：合同或保障措施中约定了软件授权和使用范围；合同、协议中规定了保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。k本项测评内容包括：测评指标：应对软件分包、集成等工作的安全负责。测评流程：访谈项目负责人，核查协议、合同。预期结果：涉及分包、集成的，协议、合同中包括对软件分包、集成等工作的安全负责条款。l本项测评内容包括：测评指标：应开展全面的软件供应链安全检测，例如源代码安全检测、二进制代码安全检测和容器镜像安全检测等，缓解或消除软件供应链安全风险。测评流程：核查安全检测报告，开展安全检测。预期结果：具有源代码安全检测、二进制代码安全检测和容器镜像安全检测等的至少一项安全检测报告，并修复了发现的高危安全风险；开展软件源代码、二进制代码或容器镜像安全检测，对发现的高危安全漏洞、开源许可协议采取了消控措施。软件运维a本项测评内容包括：测评指标：应确保软件在授权期内持续稳定可用，保障软件完整性和访问控制策略正常。测评流程：检测授权文件、软件完整性、访问控制策略，核查软件运维记录。预期结果：授权文件有效，更新包、补丁包通过完整性验证；访问控制策略有效可用。b本项测评内容包括：测评指标：应协调软件原厂、供应商、集成商等共同开展软件运维工作。测评流程：访谈项目负责人，核查记录表单文件。预期结果：能够协调软件原厂、供应商、集成商等共同开展软件运维工作；具有软件原厂、供应商或集成商的软件运维工作记录。c本项测评内容包括：测评指标：应建立并维护可追溯台账，及时更新维护软件供应链