T-CSAC 004-2024 软件供应链安全要求测评方法

ICS35.240.01CCSL78T/CSACTestingandevaluatingmethodforsoftwaresupplychainIT/CSAC004—2024 2规范性引用文件 3术语和定义 4概述 4.1测评指标 4.2测评对象 4.3测评方法 4.4测评结果 4.5测评流程 4.6测评结论 5需方软件供应链安全要求测评方法 5.1组织管理 5.1.1机构管理 5.1.2制度管理 5.1.3人员管理 5.1.4供应商管理 5.1.5知识产权管理 5.2供应活动管理 5.2.1基本流程 5.2.2软件采购 5.2.3软件获取 5.2.4软件运维 5.2.5软件废止 6供方软件供应链安全要求测评方法 6.1组织管理 6.1.1机构管理 6.1.2制度管理 6.1.3人员管理 6.1.4知识产权管理 6.2供应活动管理 6.2.1基本流程 6.2.2软件开发 6.2.3软件交付 6.2.4软件运维 6.2.5软件废止 T/CSAC004—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国网络空间安全协会提出。本文件由中国网络空间安全协会归口。本文件起草单位：中国信息安全测评中心、工业和信息化部第五研究所、京东科技信息技术有限公司、统信软件技术有限公司、麒麟软件有限公司、深圳市金蝶天燕云计算股份有限公司、苏州棱镜七彩信息科技有限公司、中移（杭州）信息技术有限公司、沈阳东软系统集成工程有限公司、北京数字认证股份有限公司、三六零数字安全科技集团有限公司、中孚安全技术有限公司、拓尔思信息技术股份有限公司、杭州网易智企科技有限公司、南京南瑞信息通信科技有限公司、北京航空航天大学。本文件主要起草人：王晓萌、邵帅、崔静、高松、柴思跃、张磊、顾欣、廖晗、崔欣、刘芬芬、郑伟娜、唐洪山、林琳、李伟彬、梁大功、黄浩东、徐倩华、蔡倩楠、杨万禄、马桤、庹鑫、贾彦生、沈天翔、刘中、肖若楠、李娜、耿贵宁、张浩、马奥、王洪俊、朱浩奇、李雨珂、潘恒、徐文耀、关振宇、李大伟。1T/CSAC004—2024软件供应链安全要求测评方法本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评流程。本文件适用于指导软件供应链中的供需双方开展软件供应链安全测评，可为第三方机构提供测评依据，也可为主管监管部门提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语GB/T43698—2024网络安全技术软件供应链安全要求3术语和定义GB/T25069—2022和GB/T43698—2024中界定的以及下列术语和定义适用于本文件。3.1供应关系supplierrelation需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。[来源：GB/T43698-2024,3.5]3.2供应活动supplyactivity需方和供方为维持日常生产基于供应关系进行的软件采购、开发、获取、交付、运维、废止等活动的总称。[来源：GB/T43698-2024,3.6]3.3软件供应链softwaresupplychain需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。[来源：GB/T43698-2024,3.7]3.4软件供应链安全图谱softwaresupplychainsecuritygraph2T/CSAC004—2024软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。[来源：GB/T43698-2024,3.9]4概述4.1测评指标GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全要求。4.2测评对象测评指标涉及的人员、机构、制度、文件、软件产品等。4.3测评方法测评方法主要包括以下三种：a)访谈：测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流，帮助测评人员理解、澄清或取得证据，从而判定是否满足指标要求；b)核查：测评人员通过对测评对象，如制度、文件、软件产品等进行观察、查验和分析、帮助测评人员理解、澄清或取得证据，从而判定是否满足指标要求；c)检测：测评人员使用完整性校验、访问控制分析、源代码安全缺陷检测、二进制代码漏洞分析以及软件成分分析等技术使测评对象产生特定的结果，通过结果与预期结果比对，从而判定是否满足测评指标要求。4.4测评结果测评结果包括：a)完全符合：通过对测评对象的访谈、核查或检测，满足所有预期结果；b)部分符合：通过对测评对象的访谈、核查或检测，满足部分预期结果；c)不符合：通过对测评对象的访谈、核查或检测，不满足任何预期结果；d)不涉及：与测评指标的所有内容不相关。4.5测评流程采用测评方法对测评对象实施访谈、核查或检测并给出测评结果的过程。4.6测评结论参考GB/T43698-2024附录D对软件供应链安全图谱级别的划分，汇总测评结果给出如下测评结论：a)软件供应链安全保障能力达到基础级：组织管理和供应活动安全要求完全符合及部分符合项数不少于测评总项数的80%，软件供应链安全图谱符合基础级图谱要求；b)软件供应链安全保障能力达到通用级：组织管理和供应活动安全要求完全符合及部分符合项数不少于测评总项数的80%，软件供应链安全图谱符合通用级要求；c)软件供应链安全保障能力达到增强级：组织管理和供应活动安全要求完全符合及部分符合项数不少于测评总项数的80%，软件供应链安全图谱符合增强级要求。5需方软件供应链安全要求测评方法3T/CSAC004—20245.1组织管理5.1.1机构管理5.1.1.1测评项a本项测评内容包括：a)测评指标：应明确软件供应链安全管理组织机构或人员及其职责范围，提供保障软件供应链安全所需的资源（如有关资金、场地、人力等），并在预算管理过程中予以重点考虑。b)测评流程：访谈信息/网络安全主管，核查管理制度以及表单等文件；c)预期结果：具有软件供应链安全管理组织机构、人员和职责分工以及资金支持。5.1.1.2测评项b本项测评内容包括：a)测评指标：应组织构建并管理软件供应链安全图谱，定期（至少每年一次）开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作，包括但不限于软件成分分析、源代码和二进制代码安全漏洞分析等。b)测评流程：访谈信息/网络安全主管，核查安全检测报告，检测软件供应链安全图谱。c)预期结果：1)开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作不少于1次；2)具有软件成分分析、源代码和二进制代码安全漏洞分析等至少一项安全检测或风险评估报3)至少具有软件资产清单、软件物料清单或软件供应链安全图谱中的一项。5.1.1.3测评项c本项测评内容包括：a)测评指标：应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。b)测评流程：访谈信息/网络安全主管，核查管理制度文件和执行情况。c)预期结果：1)具有软件供应链安全管理制度、流程以及机制，并有宣贯记录；2)具有执行和修订情况的记录。5.1.1.4测评项d本项测评内容包括：a)测评指标：对于重要或核心业务场景，宜设立专职软件供应链管理机构开展软件供应链安全管理工作。b)测评流程：访谈信息/网络安全主管、核查管理制度文件。c)预期结果：1)设立专职软件供应链管理机构；2)对组织机构和人员有明确的职责划分。5.1.2制度管理5.1.2.1测评项a本项测评内容包括：4T/CSAC004—2024a)测评指标：应确定软件供应链安全的总体方针、安全制度和策略（可作为单独的文件，也可作为相关文件中的一部分），至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b)测评流程：核查管理制度文件。c)预期结果：制度中具有软件资产管理、软件供应链安全风险识别处置、监督检查等内容。5.1.2.2测评项b本项测评内容包括：a)测评指标：应制定软件供应链安全风险持续监测、风险评估和事件响应制度，明确不同等级安全事件的报告、处置、响应的流程和机制，规定安全事件的现场处理、事件报告和后期恢复等要求。b)测评流程：核查管理制度类文件。c)预期结果：1)具有不同等级安全事件的报告、处置、响应的流程和机制；2)具有安全事件的现场处理、事件报告和后期恢复等内容。5.1.2.3测评项c本项测评内容包括：a)测评指标：应制定软件采购、获取、运维、废止等供应活动安全管理制度，例如安全开发、交付部署和验收、故障处理和维护升级等管理制度、规程或机制。b)测评流程：核查管理制度文件。c)预期结果：具有软件采购、获取、运维、废止等供应活动中的相关安全要求。5.1.2.4测评项d本项测评内容包括：a)测评指标：应将软件供应链安全相关内容应纳入人员管理制度，例如人员权限、能力、资质、背景、技能培训等；对于重要岗位人员（如采购人员、安全测试人员、配置管理人员、漏洞管理人员等）应明确并开展背景审查工作的要求。b)测评流程：核查人员管理制度文件。c)预期结果：1)具有人员权限、技术能力、专业资质、安全背景、技能培训等要求；2)具有对采购、安全测试、配置管理、漏洞管理等人员背景审查的要求。5.1.2.5测评项e本项测评内容包括：a)测评指标：应制定供应商管理制度，包括但不限于供应商资质审核、供应商分类分级、供应商不良行为处理等。b)测评流程：核查管理制度文件。c)预期结果：具有供应商资质审核、供应商分类分级、供应商不良行为处理等内容。5.1.2.6测评项f本项测评内容包括：a)测评指标：应制定知识产权管理制度，包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。b)测评流程：核查管理制度文件。5T/CSAC004—2024c)预期结果：具有对专利、软件著作权、许可协议等制度内容。5.1.3人员管理5.1.3.1测评项a本项测评内容包括：a)测评指标：应明确人员需具备的软件供应链实体要素的识别和安全分析能力，如软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。b)测评流程：核查管理制度文件和记录表单类文档。c)预期结果：1)具有软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等至少一项能力要求；2)具有软件供应链实体要素的识别和安全分析能力的考核记录。5.1.3.2测评项b本项测评内容包括：a)测评指标：应划分人员的职责定位、权限级别，采用最小授权机制并建立操作规范，创建操作b)测评流程：核查管理制度文件和记录表单类文档。c)预期结果：1)划分了软件供应链安全管理人员职责分工、权限级别；2)根据工作任务分配了最小权限；3)具有人员操作日志或记录。5.1.3.3测评项c本项测评内容包括：a)测评指标：应定期（至少每年一次）开展软件供应链安全和保密培训，培训内容包括但不限软件供应链实体要素的识别和安全分析能力涉及的内容。b)测评流程：访谈信息/网络安全主管，核查管理制度文件和记录表单类文档。c)预期结果：1)开展了保密培训，具有培训记录，并记录了培训人员、培训内容、培训结果等描述；2)培训内容包含软件供应链实体要素识别或安全分析能力中至少一项。5.1.3.4测评项d本项测评内容包括：a)测评指标：应建立并执行离职离岗人员账号、权限、材料的交接和清理机制和规程。b)测评流程：核查管理制度文件、记录表单类文档，检测账号权限。c)预期结果：1)具有离职人员账号、权限、材料的交接和清理机制和规程；2)具有离职离岗人员停止其账号及访问权限、交还材料等记录；3)离职人员账号权限已不可用。5.1.3.5测评项e本项测评内容包括：6T/CSAC004—2024a)测评指标：对于核心业务场景，宜配置软件供应链安全保障团队，并根据需要开展相关人员的背景调查。b)测评流程：访谈信息/网络安全主管，核查记录表单类文档。c)预期结果：1)具有软件供应链安全保障团队；2)具有开展人员背景调查的内容、结果的记录。5.1.3.6测评项f本项测评内容包括：a)测评指标：对于核心业务场景，宜具备防范各类软件供应链安全风险能力，例如软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等。b)测评流程：访谈信息/网络安全主管。c)预期结果：具有软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析能力中至少一项。5.1.4供应商管理5.1.4.1测评项a本项测评内容包括：a)测评指标：应分类分级建立合格的供应目录，对供应目录及相关信息进行集中管理，并定期或按照实际需求进行更新维护。b)测评流程：核查管理制度文件、记录表单类文档。c)预期结果：1)具有供应目录以及供应商评价指标、评价方法、评价流程等制度；2)具有开展供应商评价或供应商分类分级的记录；3)具有定期或按照实际需求更新维护供应目录的记录。5.1.4.2测评项b本项测评内容包括：a)测评指标：应优先选择供应目录中满足条件的供应商。b)测评流程：核查管理制度类文件、记录表单文件。c)预期结果：规定优先选择供应目录中满足条件的供应商。5.1.4.3测评项ca)测评指标：根据软件供应链中供应关系、供应活动的不同，供应商应符合供应活动安全要求。b)测评流程：核查管理制度文件。c)预期结果：具有软件开发、软件交付、软件运维和软件废止中至少一项制度内容。5.1.4.4测评项d本项测评内容包括：a)测评指标：应制定供应商选择策略和制度，对供应商进行风险分析，包括但不限于背景、资质、能力以及能否持续安全提供产品或服务等方面的风险。b)测评流程：核查管理制度文件。c)预期结果：1)具有供应商选择策略或机制；7T/CSAC004—20242)具有背景、资质、能力等评估的要求和记录。5.1.4.5测评项e本项测评内容包括：a)测评指标：应要求供方开展软件供应链安全检测和风险评估工作，明确相关内容和范围；确需第三方机构的，应明确对第三方机构的能力、资质等要求。b)测评流程：核查管理制度文件。c)预期结果：1)具有供方开展软件供应链安全检测和风险评估工作的要求；2)要求第三方机构对供方开展软件供应链安全检测和风险评估工作，并明确能力、资质要求。5.1.4.6测评项f本项测评内容包括：a)测评指标：应要求供方配合相关部门开展软件供应链安全审查、监督和检查。b)测评流程：核查管理制度文件。c)预期结果：具有供方配合相关部门开展软件供应链安全审查、监督和检查的要求。5.1.4.7测评项g本项测评内容包括：a)测评指标：应在供应关系、供应商股权等信息发生变更时，对变更带来的安全风险进行评估，并采取相应的风险控制措施。b)测评流程：核查管理制度文件。c)预期结果：规定了在供应关系、供应商股权等信息发生变更时，对风险进行评估并采取相应的风险控制措施。5.1.4.8测评项h本项测评内容包括：a)测评指标：应建立供应商替代方案或具备相应软件的自主维护能力，防范软件供应链中断风险。b)测评流程：核查管理制度文件。c)预期结果：规定了建立供应商替代方案或具备相应软件的自主维护能力的要求。5.1.5知识产权管理5.1.5.1测评项a本项测评内容包括：a)测评指标：应防止因知识产权问题导致的法律风险，或具备防范相应法律风险的能力和机制。b)测评流程：核查管理制度文件。c)预期结果：规定专利、软著、授权、许可证至少一项知识产权管理要求。5.1.5.2测评项b本项测评内容包括：a)测评指标：应充分熟悉所使用或在研软件产品和服务的知识产权，对知识产权进行规范管理，防止侵权。b)测评流程：访谈知识产权管理人员。8T/CSAC004—2024c)预期结果：1）熟悉所使用或在研软件产品和服务的知识产权使用情况；2）未发生专利侵权案件；3）未违规使用开源组件。5.1.5.3测评项c本项测评内容包括：a)测评指标：在核心业务场景中，宜对所使用的软件产品或服务相关的国内外知识产权情况进行详细识别分析，建立相关知识产权风险的应对方案。b)测评流程：核查管理制度文件、记录文件。c)预期结果：1）具有对所使用的软件的知识产权情况进行详细识别分析的要求；2）具有知识产权识别分析的记录；3）建立了知识产权风险的应对方案。5.2供应活动管理5.2.1基本流程5.2.1.1测评项a本项测评内容包括：a)测评指标：应在开展供应活动前，以协议、合同等方式与供方建立供应关系。b)测评流程：核查协议、合同。c)预期结果：开展供应活动前签订了协议或合同。5.2.1.2测评项b本项测评内容包括：a)测评指标：应在协议、合同等文件中明确对供应活动的安全要求，并签署相应的保密协议。b)测评流程：核查协议、合同。c)预期结果：1)具有软件采购、获取、运维、废止等至少一类安全要求；2)具有有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。5.2.1.3测评项c本项测评内容包括：a)测评指标：应按照约定的内容和范围开展软件供应活动管理。b)测评流程：核查协议、合同执行记录。c)预期结果：按照软件采购、获取、运维、废止等的内容和范围开展相应供应活动。5.2.2软件采购5.2.2.1测评项a本项测评内容包括：a)测评指标：应邀请软件供应链安全、网络空间安全等领域专家（或具备相应网络空间安全能力的评标人员）参与招标采购过程。9T/CSAC004—2024b)测评流程：核查记录表单类文件。c)预期结果：评标人员中包含至少一位软件供应链安全、网络空间安全等领域专家。5.2.2.2测评项b本项测评内容包括：a)测评指标：应结合软件应用的实际业务场景，明确对软件供应链安全图谱的要求；需要供方提供软件供应链安全图谱的应明确图谱的内容，如安全图谱的等级、可追溯层级等。b)测评流程：核查协议、合同。c)预期结果：1)具有软件供应链安全图谱中软件产品信息、软件物料清单或安全信息中至少一项要求；2)规定了安全图谱的等级、可追溯层级等内容。5.2.2.3测评项c本项测评内容包括：a)测评指标：应根据国家和行业已发布标准以及自身业务要求制定软件的安全需求基线和防护架构，如软件应具备的安全防护能力、保护个人信息和重要数据等不被泄露的能力。b)测评流程：核查协议、合同。c)预期结果：明确了软件应具备的安全防护能力、防止个人信息和重要数据泄漏的能力需求。5.2.2.4测评项d本项测评内容包括：a)测评指标：应确定所采购软件的授权使用期限及相应的技术协助要求，在授权方式可选的条件下，明确软件的激活、授权需求，优先选择离线永久激活模式，其次是完全在国内线上永久激活，再次是完全在国内实现的周期性线上激活、国外线上激活（永久或周期性）。b)测评流程：核查协议、合同。c)预期结果：明确了所采购软件的授权方式、使用期限、技术协助要求。5.2.2.5测评项e本项测评内容包括：a)测评指标：应制定从多个源厂商获得兼容的产品和服务的方案，确保软件来源的多样性。对于单一来源的软件，应制定风险消减措施。b)测评流程：核查记录表单类文档。c)预期结果：1)具备从多个源厂商获得兼容的产品和服务的方案；2)具有单一来源软件的风险消减措施。5.2.2.6测评项f本项测评内容包括：a)测评指标：对于定制研发软件，应要求供方具备安全开发相关资质或建立安全开发规范，建立和维护安全的开发环境、建立工具和设备的安全管理和准入控制等。b)测评流程：核查协议、合同，访谈建设负责人。c)预期结果：1)规定了供方需具备安全开发相关资质或建立安全开发规范的要求；T/CSAC004—20242)要求供方建立和维护安全的开发环境；3)要求供方建立和维护工具、设备的安全管理和准入控制策略。5.2.2.7测评项g本项测评内容包括：a)测评指标：应要求供方提供验证产品是否来自原厂商且获得许可的途径或方法。b)测评流程：核查记录表单类文档。c)预期结果：具有对供方提供验证产品来自原厂商且获得许可的途径或方法的要求。5.2.2.8测评项h本项测评内容包括：a)测评指标：应明确对运维技术团队及相应技术能力的要求，包括但不限于风险监测识别、漏洞修复、完整性保护、安全测试等。b)测评流程：核查协议、合同。c)预期结果：对运维技术团队提出了风险监测识别、漏洞修复、完整性保护、安全测试等至少一项能力要求。5.2.2.9测评项i本项测评内容包括：a)测评指标：应要求软件开发、交付、部署、测试等工具和设备具备可操作的替代方案。b)测评流程：核查协议、合同。c)预期结果：具有软件开发、交付、部署、测试等工具和设备具备可操作的替代方案的要求。5.2.2.10测评项j本项测评内容包括：a)测评指标：应考虑政治、外交、贸易、自然灾害、公共安全事件等不可抗力导致供应中断时的可替代策略。b)测评流程：核查协议、合同。c)测评流程：具有不可抗力导致供应中断时供方提供可替代策略的要求。5.2.2.11测评项k本项测评内容包括：a)测评指标：应明确软件供应链安全检测和风险评估的范围，例如软件资产识别、源代码和二进制代码安全漏洞分析、软件成分分析等；涉及第三方机构的应明确第三方机构的资质能力。b)测评流程：核查协议、合同。c)预期结果：1)具有软件资产识别、源代码或二进制代码安全漏洞分析以及软件成分分析等至少一项要求；2)涉及第三方机构的，对第三方机构的资质能力提出要求。5.2.3软件获取5.2.3.1测评项a本项测评内容包括：a)测评指标：应对软件进行端到端的完整性验证。T/CSAC004—2024b)测评流程：核查记录表单类文档，开展软件完整性检测。c)预期结果：1)具有端到端的完整性验证及验证结果的记录；2)完整性检测结果与提供的记录一致。5.2.3.2测评项b本项测评内容包括：a)测评指标：应对所获取软件进行全面安全检测和风险评估，例如源代码安全漏洞分析、二进制代码安全漏洞分析、容器镜像安全分析、软件成分分析等软件供应链安全风险评估，确保所获取软件符合约定的安全要求。b)测评流程：核查安全检测报告和协议、合同，开展软件安全检测。c)预期结果：1)安全检测或风险评估报告满足协议、合同要求；2)具有软件成分分析、源代码安全漏洞分析、二进制代码安全漏洞分析或容器镜像安全分析等至少一项安全检测报告，并满足协议、合同的约定；3)开展源代码安全漏洞分析、二进制代码安全漏洞分析、容器镜像安全分析或软件成分分析等至少一项安全检测，结果满足协议、合同的约定。5.2.3.3测评项c本项测评内容包括：a)测评指标：应确保获取的软件不存在已公开漏洞未修复的情况；对于存在已公开漏洞未修复的，应要求供方及时修复或采取相应缓解措施，并提供漏洞处置报告。b)测评流程：核查安全检测报告，开展软件安全检测。c)预期结果：1)安全检测报告未发现已公开高危漏洞未修复的情况，或对已公开高危漏洞采取相应缓解措施。2)开展安全检测未发现已公开高危漏洞未修复的情况，或对已公开高危漏洞采取相应缓解措施。5.2.3.4测评项d本项测评内容包括：a)测评指标：对于定制研发软件，宜掌握关键软件、组件的代码结构和技术原理；对于需要二次开发、独立维护的应获取软件源代码和相关知识产权的授权，并妥善保管。b)测评流程：访谈建设负责人，核查记录表单类文件。c)预期结果：1)掌握关键软件、组件的代码结构和技术原理；2)委托开发单位已提供软件源代码以及知识产权的授权；3)具备软件源代码的安全管理措施或机制。5.2.3.5测评项e本项测评内容包括：T/CSAC004—2024a)测评指标：对于定制研发软件，应要求厂商提供软件相关技术资料，包括但不限于中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制，软件使用说明书、技术分析报告等技术资料。b)测评流程：核查软件技术资料和记录表单类文档。c)预期结果：具有中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制，以及软件使用说明书、技术分析报告等。5.2.4软件运维5.2.4.1测评项a本项测评内容包括：a)测评指标：应确定运维方案，包括运维团队、运维内容和范围、运维流程等内容。b)测评流程：核查运维方案。c)预期结果：具有运维团队、运维内容和范围、运维流程等内容。5.2.4.2测评项b本项测评内容包括：a)测评指标：应确保软件及运行环境持续稳定可用，保障软件完整性和访问控制策略正常。b)测评流程：检测授权文件、软件完整性、访问控制策略，核查软件运维记录。c)预期结果：1)授权文件有效，更新包、补丁包通过完整性验证；2)访问控制策略有效可用。5.2.4.3测评项c本项测评内容包括：a)测评指标：应建立可追溯台账，对软件产品或服务整个使用过程进行记录、检测和维护，及时更新维护软件供应链安全图谱。b)测评流程：核查记录表单类文档，检测软件供应链安全图谱。c)预期结果：1)记录中包含日常巡检、运行维护、设置和修改等内容；2)软件供应链安全图谱中包含补丁、所使用运维工具等信息。5.2.4.4测评项d本项测评内容包括：a)测评指标：应将软件作为组织资产进行管理，保障软件安装、升级维护时从安全可控的渠道获取软件安装包、升级包、补丁包，并开展相应的可用性、安全性及完整性检测分析，在确保符合要求后进行软件安装、更新升级，并同步更新相关配置。b)测评流程：核查记录表单类文档，访谈建设负责人。c)预期结果：1)软件资产管理对象覆盖安装包、升级包；2)安装包、升级包在使用前经过了可用性、安全性、完整性检测，且满足安全要求；3)软件安装、更新升级后，是否同步更新安全配置。5.2.4.5测评项eT/CSAC004—2024本项测评内容包括：a)测评指标：应在约定的环境中使用软件，对软件及其运行环境进行安全配置，并记录相关信息。b)测评流程：核查记录表单类文档、协议、合同。c)预期结果：1)运行环境的安全配置满足协议、合同中的要求；2)对运行环境进行了安全配置，并记录配置信息。5.2.4.6测评项f本项测评内容包括：a)测评指标：应明确运维人员的访问权限级别，对其访问范围和授权期限进行严格区分，确定不同权限人员尤其是厂商、外包等非自有维护人员，开展软件运维的内容和边界检查。b)测评流程：核查记录表单类文档，检测权限划分有效性。c)预期结果：1)划分运维人员的访问权限级别，有效区分访问范围和授权期限；2)对非自有运维人员明确规定了软件运维内容和边界，权限控制策略有效。5.2.4.7测评项g本项测评内容包括：a)测评指标：应对授权期限进行管理，禁止使用超过授权使用期限或维保期限的软件；确需使用的应定期评估并处置其安全风险。b)测评流程：核查运维方案、运维记录文件，访谈建设负责人。c)预期结果：1)运维方案对超期使用软件提出安全风险评估和处置要求；2)未发现超过授权使用期限或维保期限的软件；3)存在超期使用的情况，评估并提出了安全风险防范措施。5.2.4.8测评项h本项测评内容包括：a)测评指标：应对软件运维工具、运维环境等进行安全检测和风险评估，及时发现并处置软件中断供应、停止授权、停止提供产品升级等供应关系风险，漏洞、后门等技术安全风险以及知识产权风险。b)测评流程：核查安全检测报告或开展安全检测。c)预期结果：1)报告中未发现软件运维工具、运维环境的安全问题；2)开展安全检测未发现软件运维工具、运维环境的安全问题；3)发现了安全问题，采取了有效的消控措施。5.2.4.9测评项i本项测评内容包括：a)测评指标：应收集软件供应链的安全风险信息，发现安全缺陷、漏洞等风险时，应当立即采取补救措施，并按照规定及时向有关主管监管部门报告。b)测评流程：访谈建设负责人，核查记录表单文件，开展安全检测。c)预期结果：1)具有持续检测或收集软件供应链安全风险信息的机制；T/CSAC004—20242)具有修复补救的记录，且修复文件经过安全检测不存在高危安全漏洞或恶意代码；3)涉及向主管监管部门报告的，具有完备的文件和记录。5.2.4.10测评项j本项测评内容包括：a)测评指标：应依据实际业务场景的业务连续性和灾难恢复计划，制定可接受的恢复时间和恢复目标，并确定防范供应中断和服务中断等风险的安全策略。b)测评流程：核查管理制度文件。c)预期结果：1)制定了业务恢复策略和程序，明确恢复时间和恢复目标；2)具备防范供应中断和服务中断等风险的安全策略。5.2.4.11测评项k本项测评内容包括：a)测评指标：应开展软件供应链相关范围内的数据安全检测分析和风险评估等工作，防止因软件漏洞引起的信息泄露、数据泄露、篡改和损毁等安全事件发生。b)测评流程：核查安全分析报告或记录，开展安全检测或风险评估。c)预期结果：1)具有安全分析报告或分析记录，未发现信息泄露、数据泄露、数据篡改和数据损毁等数据安全风险；2)或者发现数据安全风险，并采取消控措施。5.2.4.12测评项l本项测评内容包括：a)测评指标：应对软件外联网络地址、域名数据等进行检测和分析，及时发现产品后门植入、擅自提高权限等违规操作。b)测评流程：核查安全检测报告，或开展安全检测。c)预期结果：1)未发现软件外联网络地址、域名数据等检测等内容中存在后门、越权等安全风险。2)或者对已经发现的安全风险，采取了消控措施。5.2.5软件废止5.2.5.1测评项a本项测评内容包括：a)测评指标：应制定软件废止处理规程，例如软件停用和卸载、软件供应链安全图谱归档、信任关系清除以及数据备份、迁移和销毁等，并按照规程开展相应工作。b)测评流程：核查管理制度文件。c)预期结果：1)具有软件停用和卸载、信任关系清除以及数据备份、迁移和销毁等规定、流程或机制；2)具有软件停用和卸载、软件供应链安全图谱归档、信任关系清除以及数据备份、迁移和销毁中的至少一类工作记录。5.2.5.2测评项bT/CSAC004—2024本项测评内容包括：a)测评指标：应移除准入控制措施和策略中与所废止软件相关的信息，例如软件、人员、设备等要求和规则；对于不适合清除的应制定相应的控制措施和策略。b)测评流程：核查管理制度文件或工作记录文件，开展安全检测。c)预期结果：1)已移除与所废止软件相关的准入控制措施和策略；2)对不适合移除的，制定了相应的控制措施。5.2.5.3测评项c本项测评内容包括：a)测评指标：应具备软件废止后防止软件泄露、数据泄露的安全保障能力。b)测评流程：核查数据安全分析报告或检测数据安全保护措施。c)预期结果：安全保护措施有效可用，能够实现软件防泄露、数据防泄露。5.2.5.4测评项d本项测评内容包括：a)测评指标：对于软件产品废止并替换为新产品的，应要求新产品的供方支持数据迁移到新的软件产品。b)测评流程：核查协议、合同、数据迁移记录。c)预期结果：涉及替换为新产品的，新产品供方已将原始数据迁移到新的软件产品，并记录清晰。5.2.5.5测评项e本项测评内容包括：a)测评指标：涉及数据销毁的，宜参照GB/T37988—2019中第11章的要求进行数据销毁、防止对存储的数据进行修复而导致的数据泄露风险。b)测评流程：核查记录表单文件。c)预期结果：按照GB/T37988—2019中第11章的要求执行数据销毁。5.2.5.6测评项f本项测评内容包括：a)测评指标：废止工作完成后应进行安全检测，确保除例外的要求和规则外，软件及其相关信息被完全废止。b)测评流程：核查安全检测报告或记录。c)预期结果：除例外的要求和规则外，软件及其相关信息被完全废止。6供方软件供应链安全要求测评方法6.1组织管理6.1.1机构管理6.1.1.1测评项a本项测评内容包括：T/CSAC004—2024a)测评指标：应明确软件供应链安全管理组织机构或人员及其职责范围，提供保障软件供应链安全所需的资源（如有关资金、场地、人力等），并在预算管理过程中予以重点考虑。b)测评流程：访谈信息/网络安全主管，核查管理制度以及表单等文件。c)预期结果：具有软件供应链安全管理组织机构、人员和职责分工以及资金支持。6.1.1.2测评项b本项测评内容包括：a)测评指标：应组织构建并管理软件供应链安全图谱，定期（至少每年一次）开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作，包括但不限于软件成分分析、源代码和二进制代码安全检测等。b)测评流程：访谈信息/网络安全主管，核查安全检测报告，检测软件供应链安全图谱。c)预期结果：1)开展软件供应链安全检测、风险评估等软件供应链安全风险管理工作不少于1次；2)具有软件成分分析、源代码和二进制代码安全漏洞分析等至少一项安全检测或风险评估报3)至少具有软件资产清单、软件物料清单或软件供应链安全图谱中的一项。6.1.1.3测评项c本项测评内容包括：a)测评指标：应及时制定、修订、宣贯、执行各项软件供应链安全管理制度、流程以及机制。b)测评流程：访谈信息/网络安全主管，核查管理制度文件和执行情况。c)预期结果：1)具有软件供应链安全管理制度、流程以及机制，并有宣贯记录；2)具有执行和修订情况的记录。6.1.2制度管理6.1.2.1测评项a本项测评内容包括：a)测评指标：应确定软件供应链安全的总体方针、安全制度和策略（可作为单独的文件，也可作为相关文件中的一部分），至少包括软件资产管理、软件供应链安全风险识别处置、监督检查等内容。b)测评流程：核查管理制度文件。c)预期结果：制度中具有软件资产管理、软件供应链安全风险识别处置、监督检查等内容。6.1.2.2测评项b本项测评内容包括：a)测评指标：应制定软件供应链安全风险的持续监测、风险评估和事件响应制度，并明确不同等级安全事件的报告、处置、响应的流程和机制，规定安全事件的现场处理、事件报告和后期恢复等要求。b)测评流程：核查管理制度类文件。c)预期结果：1)具有不同等级安全事件的报告、处置、响应的流程和机制；2)具有安全事件的现场处理、事件报告和后期恢复等内容。6.1.2.3测评项cT/CSAC004—2024本项测评内容包括：a)测评指标：应制定软件开发、交付、运维、废止等供应活动的安全管理制度，例如安全开发、交付部署和验收、故障处理和维护升级等管理制度、规程或机制。b)测评流程：核查管理制度文件。c)预期结果：具有软件开发、交付、运维、废止等供应活动中的相关安全要求。6.1.2.4测评项d本项测评内容包括：a)测评指标：应将软件供应链安全相关内容应纳入人员管理制度，例如人员权限、能力、资质、背景、技能培训等内容；对于重要岗位人员（如安全测试人员、配置管理人员、漏洞管理人员等）应明确并开展背景审查工作的要求。b)测评流程：核查人员管理制度文件。c)预期结果：1)具有人员权限、技术能力、专业资质、安全背景、技能培训等要求；2)具有对采购、安全测试、配置管理、漏洞管理等人员背景审查的要求。6.1.2.5测评项e本项测评内容包括：a)测评指标：应制定知识产权管理制度，包括但不限于软件授权证书、专利、软件著作权、许可协议等内容。b)测评流程：核查管理制度文件。c)预期结果：具有对专利、软件著作权、许可协议等制度内容。。6.1.3人员管理6.1.3.1测评项a本项测评内容包括：a)测评指标：应明确人员需具备的软件供应链实体要素的识别和安全分析能力，例如软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等。b)测评流程：核查管理制度文件和记录表单类文档。c)预期结果：1)具有软件资产识别分析、软件漏洞挖掘、后门检测、访问控制管理、完整性保护等至少一项能力要求；2)具有软件供应链实体要素的识别和安全分析能力的考核记录。6.1.3.2测评项b本项测评内容包括：a)测评指标：应划分人员的职责定位、权限级别，采用最小授权机制并建立操作规范，创建操作b)测评流程：核查管理制度文件和记录表单类文档。c)预期结果：1)划分了软件供应链安全管理人员职责分工、权限级别；2)根据工作任务分配了最小权限；3)具有人员操作日志或记录。T/CSAC004—20246.1.3.3测评项c本项测评内容包括：a)测评指标：应具备防范各类软件供应链安全风险能力，如软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等。b)测评流程：核查管理制度文件和记录表单类文档。c)预期结果：1)具有软件供应链恢复、未知安全漏洞分析、软件持续供应能力分析等要求；2)具有防范供应关系风险、技术安全风险、合规安全风险等能力考核记录。6.1.3.4测评项d本项测评内容包括：a)测评指标：应定期（至少每年一次）开展软件供应链安全和保密培训，培训内容包括但不限软件供应链实体要素的识别和安全分析，以及防范各类软件供应链安全风险能力涉及的内容。b)测评流程：访谈信息/网络安全主管，核查管理制度文件和记录表单类文档。c)预期结果：1)开展了保密培训，具有培训记录；2)开展了能力培训，内容包含软件供应链实体要素识别或安全分析能力中至少一项；3)开展了能力培训，内容包含供应关系风险、技术安全风险、合规安全风险及相应防范措施。6.1.3.5测评项e本项测评内容包括：a)测评指标：应建立并执行离职离岗人员的账号、权限、材料等交接、清理的机制和规程。b)测评流程：核查管理制度文件、记录表单类文档，检测账号权限。c)预期结果：1)具有离职人员账号、权限、材料的交接和清理机制和规程；2)具有离职离岗人员停止其账号及访问权限、交还材料等记录；3)离职人员账号权限已不可用。6.1.4知识产权管理6.1.4.1测评项a本项测评内容包括：a)测评指标：应防止因知识产权问题导致的法律风险，或具备防范相应法律风险的能力和机制。b)测评流程：核查管理制度文件。c)预期结果：规定专利、软著、授权、许可证至少一项知识产权管理要求。6.1.4.2测评项b本项测评内容包括：a)测评指标：应充分熟悉所提供软件的知识产权，对知识产权进行规范管理，防止侵权。b)测评流程：访谈知识产权管理人员。c)预期结果：1）熟悉所使用或在研软件产品和服务的知识产权使用情况；2）未发生知识产权侵权案件；T/CSAC004—20243）未违规使用开源组件。6.2供应活动管理6.2.1基本流程6.2.1.1测评项a本项测评内容包括：a)测评指标：应在开展供应活动前，以协议、合同等方式与需方建立供应关系。b)测评流程：核查协议、合同。c)预期结果：开展供应活动前签订了协议或合同。6.2.1.2测评项b本项测评内容包括：a)测评指标：应在协议、合同等文件中明确对供应活动的安全要求，并签署相应的保密协议。b)测评流程：核查协议、合同。c)预期结果：1）具有软件开发、交付、运维、废止等至少一类安全要求；2）具有有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容。。6.2.1.3测评项c本项测评内容包括：a)测评指标：应按照约定的内容和范围开展软件供应活动管理。b)测评流程：核查协议、合同执行记录。c)预期结果：按照软件开发、交付、运维、废止等的内容和范围开展相应供应活动。6.2.2软件开发6.2.2.1测评项a本项测评内容包括：a)测评指标：应参照GB/T30998—2014第6章开展软件开发的安全保障分析，或具备安全开发资质，例如信息安全服务资质（安全开发类）、软件安全开发服务资质等。b)测评流程：核查管理制度文件、记录表单类文件。c)预期结果：1)在软件需求、设计、编码、测试等阶段具有安全开发规范，开展了安全保障分析，具有分析报告或记录；2)或具有至少一类安全开发服务资质。6.2.2.2测评项b本项测评内容包括：a)测评指标：应将软件作为组织资产进行管理，制定和实施防盗版的策略和规程，开发过程中对文件、组件、开发工具等采取访问控制、完整性保护等安全机制。b)测评流程：核查记录表单类文件，开展完整性保护、访问控制措施有效性检测。c)预期结果：1)具有软件资产管理制度或规定，包含防盗版的策略或规程；T/CSAC004—20242)文件、组件、开发工具的访问控制、完整性保护措施有效可用。6.2.2.3测评项c本项测评内容包括：a)测评指标：应构建软件供应链安全图谱，记录软件产品信息、软件物料清单、安全漏洞等信息，并保障其完备性和准确性。b)测评流程：检测软件供应链安全图谱，核查记录表单类文件。c)预期结果：1)建立软件资产清单、软件物料清单或软件供应链安全图谱；2)图谱包含GB/T43698-2024附录D中软件产品信息、软件物料清单、安全漏洞等信息；3)具有软件供应链安全图谱的完备性和准确性的记录。6.2.2.4测评项d本项测评内容包括：a)测评指标：应基于软件供应链安全图谱，建立和维护可追溯性的策略和程序，记录和保留外部组件的原始供应方、开源社区或开发贡献者等相关信息，可追溯至上游供应商。b)测评流程：核查软件供应链安全图谱可追溯策略或程序。c)预期结果：1)具有开源组件的上游或原始供应方、开源社区或开发贡献者等信息；2)具有第三方组件的上游或原始供应方或开发贡献者等信息；3)具有自研组件开发贡献者信息；6.2.2.5测评项e本项测评内容包括：a)测评指标：应确定软件的安全需求基线和防护架构，保障软件具备安全防护、保护个人信息和重要数据不被泄露等能力。b)测评流程：核查基线配置记录，检测基线配置和防护措施。c)测评流程：1)具有安全基线配置记录；2)配置中包含安全防护、保护个人信息和重要数据防泄露等内容；3)基线配置和安全防护措施有效可用。6.2.2.6测评项f本项测评内容包括：a)测评指标：应承诺所使用的外部组件不存在已公开漏洞未修复的情况；对于存在已公开漏洞未修复的，应及时修复漏洞，或采取缓解防御措施，或提供漏洞分析和处置报告。b)测评流程：核查合同或承诺书、安全检测报告，开展软件安全检测。c)预期结果：1)具有开源或第三方组件不存在已知公开漏洞未修复的承诺；2)安全检测报告中不存在已公开漏洞未修复的情况，或对存在已公开漏洞未修复的，采取了相应缓解措施；3)开展软件安全检测未发现已公开漏洞未修复的情况。6.2.2.7测评项gT/CSAC004—2024本项测评内容包括：a)测评指标：应建立外部组件的使用审批机制，对来源于开放源代码社区和第三方的代码、组件和软件进行完整性验证、安全检测和依赖关系分析，并对开源代码进行安全评价；建立自有的开源和第三方组件库，并标明使用等级（如优选、可选、限选、禁选等），保障外部组件来源可靠、安全风险可消除或控制。b)测评流程：核查管理制度文件，检测外部组件库。c)预期结果：1)具有外部组件的使用审批机制；2)审批机制内容包括完整性验证、安全检测评价和依赖关系分析，并具有相应的记录；3)具有自建的开源或第三方组件库，具有组件推荐策略；4)组件安全检测的漏洞、开源许可协议结果与审批过程的结果一致。6.2.2.8测评项h本项测评内容包括：a)测评指标：应持续跟踪所使用的工具、外部组件的使用状态、安全状态；对于存在安全风险的，应及时通报，并及时采取更新、修复等措施，完善软件供应链安全图谱信息；对于缺乏维护或即将废止的组件应采取停用、废止等处置措施。b)测评流程：访谈项目负责人，核查记录表单类文档，开展软件供应链安全图谱和软件安全检测。c)预期结果：1)定期或按需对所使用的工具、外部组件进行安全分析；2)具有所使用的工具、外部组件的使用状态、安全状态分析报告或记录；3)对于存在安全风险、缺乏维护或将要废止的工具、外部组件，具有更新、修复或停用、废止等安全保障记录或计划，并同时开展或计划对软件供应链安全图谱更新。6.2.2.9测评项i本项测评内容包括：a)测评指标：对于难以验证来源的工具、外部组件，应禁止使用；确需使用的应醒目标注，说明原因，通过安全检测和风险评估后方可使用。b)测评流程：访谈项目负责人，核查记录表单类文档、安全检测报告，开展安全检测。c)预期结果：1)没有使用未通过完整性校验或难以验证来源的工具、外部组件；2)使用了难以验证来源的工具、外部组件，并醒目标注；3)具有2）中工具、外部组件的安全检测分析记录或报告，采取了安全防护措施。6.2.2.10测评项j本项测评内容包括：a)测评指标：应建立安全可控的软件开发工作场所，搭建并使用专用的开发环境；涉及多个开发环境的应进行必要的逻辑隔离。b)测评流程：访谈项目负责人、检测开发环境、核查记录表单类文档。c)预期结果：1)具有安全可控的软件开发工作场所；2)具有专用的开发环境；3)涉及多个开发环境的，进行了有效的逻辑隔离。T/CSAC004—20246.2.2.11测评项k本项测评内容包括：a)测评指标：应建立开发/测试工具和设备白名单，采用安全检测、正版授权验证、官方完整性校验等措施进行白名单准入控制，保障核心开发工具、核心组件有可替代方案或自主可控。b)测评流程：核查记录表单类文件。c)预期结果：1)具有开发/测试工具和设备的白名单准入控制机制；2)具有安全检测、正版授权验证、官方完整性校验等措施和实施记录；3)核心开发工具、核心组件具有可替代方案或自主可控。6.2.2.12测评项l本项测评内容包括：a)测评指标：应选择供需双方约定的方式开展软件供应链安全检测和风险评估工作，例如源代码安全检测、二进制代码安全检测、软件成分分析、知识产权分析、数据安全能力成熟度分析等。b)测评流程：核查协议、合同、安全检测报告，开展软件安全检测。c)预期结果：1)具有源代码安全检测、二进制代码安全检测、软件成分分析、知识产权分析、数据安全能力成熟度分析等至少一项安全检测或风险评估报告；2)安全检测和风险评估报告或记录满足协议、合同中的安全要求；3)经检测报告发现的问题已修复，或采取了相应的防护措施。6.2.3软件交付6.2.3.1测评项a本项测评内容包括：a)测评指标：应确保交付软件的真实性、准确性、完整性，采取措施保护信息不被篡改和泄露，并提供所交付软件的完整性验证措施或方法。b)测评流程：访谈项目负责人、检测完保护措施。c)预期结果：1)具有保障软件真实性、准确性、完整性，以及保护信息不被篡改和泄露的安全措施；2)软件采取的完整性验证措施或方法有效可用。6.2.3.2测评项b本项测评内容包括：a)测评指标：应按约定方式对交付软件实行安全部署和配置，提供部署方法、安全配置基线和软件供应链安全图谱等信息。b)测评流程：核查协议、合同和记录表单类文件。c)预期结果：1)执行的安全部署和配置满足协议、合同中的安全要求；2)提供部署方法、安全配置基线和软件供应链安全图谱。6.2.3.3测评项c本项测评内容包括：T/CSAC004—2024a)测评指标：应承诺所交付软件不存在已公开漏洞未修复的情况；对于存在已公开漏洞未修复的，应及时采取缓解措施，并提供漏洞处置报告。b)测评流程：核查承诺书或安全检测报告，开展软件安全检测。c)预期结果：1)具有不存在已知高危安全漏洞未修复的承诺书；2)安全检测报告不存在已公开高危安全漏洞；或对于存在已公开漏洞未修复的，采取了相应缓解措施；3)或开展安全检测未发现已公开高危安全漏洞，或者对检测发现的已公开高危安全漏洞采取了相应缓解措施。6.2.3.4测评项d本项测评内容包括：a)测评指标：应配合开展所交付软件的功能、性能、完整性及安全性等验收测试并对软件进行数字签名，开展包括但不限于供应关系、供应活动的安全检测和风险评估，以及可持续供应能力、安全漏洞等安全检测和风险评估，确保符合约定的安全要求。b)测评流程：核查安全检测报告、记录表单类文档和协议、合同。c)预期结果：1)具有交付软件的功能、性能、完整性验收报告或记录；2)交付软件进行了数字签名；3)开展了供应关系、供应活动的安全检测和风险评估以及可持续供应能力、安全漏洞等的记录或报告；4)满足协议、合同中的安全要求。6.2.3.5测评项e本项测评内容包括：a)测评指标：对于所交付软件，应禁止交付约定范围外的内容，如开启无关功能、捆绑无关软件等，并承诺不在软件中设置后门，或利用软件的便利条件非法获取用户数据、控制和操纵用户系统和设备，不会利用软件的依赖性谋取不正当利益，不在未授权情况下对软件进行升级或更新换代；对于约定的远程访问控制措施，应采取必要技术手段和管理措施确保远程控制过程的安全性。b)测评流程：访谈项目负责人，核查协议、合同和记录表单类文档。c)预期结果：1)所交付软件不存在开启无关功能，捆绑无关软件的现象；2)承诺了不在软件中设置后门，或利用软件的便利条件非法获取用户数据、控制和操纵用户系统和设备，不会利用软件的依赖性谋取不正当利益，不在未授权情况下对软件进行升级或更新换代；3)采取了必要技术手段和管理措施确保远程访问控制的安全性。6.2.3.6测评项f本项测评内容包括：a)测评指标：应及时提供交付环节变化的通报，以及相关的交付途径安全性分析报告，并对可能造成严重后果的变化，快速采取补救措施。b)测评流程：访谈项目负责人，核查记录表单类文件。c)预期结果：T/CSAC004—20241)涉及交付环节变化的，具有变更的通报和记录；2)具有交付途径的安全分析记录或报告。6.2.3.7测评项g本项测评内容包括：a)测评指标：应交付需方购买软件的使用授权，例如许可证、产品序列号、许可协议等。b)测评流程：核查授权、记录表单类文件。c)预期结果：交付了许可证、序列号等授权文件。6.2.3.8测评项h本项测评内容包括：a)测评指标：应保障所交付软件使用的外部组件获取途径安全性、自身安全性、组件可持续服务等，提供与软件一致的质量、安全、服务承诺，并按照协议提供承诺、说明、认证证明、分析报告、资质证明等相关材料。b)测评流程：核查安全检测报告、记录表单类文档和协议、合同。c)预期结果：1)对外部组件的获取途径、自身安全和可持续供应等进行了安全分析；2)对外部组件提供的承诺、说明、认证证明、分析报告、资质证明等相关材料符合协议、合同要求。6.2.3.9测评项i本项测评内容包括：a)测评指标：对于定制研发软件，应交付包括但不限于软件源代码，中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制，以及软件使用说明书、技术分析报告等技术资料。b)测评流程：核查软件代码和上述文件。c)预期结果：交付了软件源代码，中文版运行维护、二次开发、软件使用的场景和条件、权限和授权机制，以及软件使用说明书、技术分析报告等。6.2.3.10测评项j本项测评内容包括：a)测评指标：对于定制研发或者自主研制软件，应妥善保管i)中的内容，并依据相关规定或合同文件，不将软件全部或部分泄露到授权以外的范围，并签署保密协议。b)测评流程：核查保障措施、协议、合同。c)预期结果：1)合同或保障措施中约定了软件授权和使用范围；2)合同、协议中规定了保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等6.2.3.11测评项k本项测评内容包括：a)测评指标：应对软件分包、集成等工作的安全负责。b)测评流程：访谈项目负责人，核查协议、合同。c)预期结果：涉及分包、集成的，协议、合同中包括对软件分包、集成等工作的安全负责条款。T/CSAC004—20246.2.3.12测评项l本项测评内容包括：a)测评指标：应开展全面的软件供应链安全检测，例如源代码安全检测、二进制代码安全检测和容器镜像安全检测等，缓解或消除软件供应链安全风险。b)测评流程：核查安全检测报告，开展安全检测。c)预期结果：1)具有源代码安全检测、二进制代码安全检测和容器镜像安全检测等的至少一项安全检测报告，并修复了发现的高危安全风险；2)开展软件源代码、二进制代码或容器镜像安全检测，对发现的高危安全漏洞、开源许可协议采取了消控措施。6.2.4软件运维6.2.4.1测评项a本项测评内容包括：a)测评指标：应确保软件在授权期内持续稳定可用，保障软件完整性和访问控制策略正常。b)测评流程：检测授权文件、软件完整性、访问控制策略，核查软件运维记录。c)预期结果：1)授权文件有效，更新包、补丁包通过完整性验证；2)访问控制策略有效可用。6.2.4.2测评项b本项测评内容包括：a)测评指标：应协调软件原厂、供应商、集成商等共同开展软件运维工作。b)测评流程：访谈项目负责人，核查记录表单文件。c)预期结果：1)能够协调软件原厂