T-CSAC 002-2024 软件标识标签技术要求

ICS35.240.01CCSL78T/CSACTechnicalrequirementsforsoftwareidentificIT/CSAC002—2024 2规范性引用文件 3术语和定义 4缩略语 25软件标识标签 25.1概述 25.2总体结构 25.3基本数据元素 35.4补充描述性数据元素 36软件标识标签基本数据元素 36.1唯一标识符 36.2软件名称 46.3软件版本 46.4软件部件号 46.5软件供方 46.6软件供方标识 46.7标签类型 46.8时间戳 47软件标识标签处理 47.1标签创建 47.2标签聚合 47.3标签共享 57.4标签完整性 57.5标签解析 57.6标签存储 58标签类型 58.1概述 58.2语料库标签 58.3主标识标签 68.4补丁标签 68.5补充标签 79标签相关性 79.1相关性描述 79.2依赖关系 79.3组成关系 79.4补丁关系 7T/CSAC002—202410标签安全 810.1数字签名 810.2加密 8参考文献 9T/CSAC002—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国网络空间安全协会提出。本文件由中国网络空间安全协会归口。本文件起草单位：中国信息安全测评中心、京东科技信息技术有限公司、工业和信息化部第五研究所、深圳市金蝶天燕云计算股份有限公司、麒麟软件有限公司、统信软件技术有限公司、苏州棱镜七彩信息科技有限公司、中移（杭州）信息技术有限公司、中国互联网络信息中心、北京大学深圳研究生院、沈阳东软系统集成工程有限公司、北京数字认证股份有限公司、三六零数字安全科技集团有限公司、中孚安全技术有限公司、拓尔思信息技术股份有限公司、杭州网易智企科技有限公司、北京航空航天大学。本文件主要起草人：邵帅、高松、郑伟娜、唐洪山、王晓萌、柴思跃、顾欣、廖晗、林琳、李伟彬、文波、孙丽丽、张磊、梁大功、黄浩东、滕腾、徐倩华、蔡倩楠、聂智戈、杨万禄、石娜、喻海生、贾彦生、沈天翔、刘中、肖若楠、李娜、耿贵宁、刘俊红、鲁鹏、王洪俊、朱浩奇、李雨珂、关振宇、李大伟。1T/CSAC002—2024软件标识标签技术要求本文件规定了软件标识标签的功能、通用结构、必要的数据元素字段以及处理规则。本文件适用于软件供方和需方对软件标识标签的处理，也可为第三方机构开展软件标识标签验证提供依据，为主管监管部门提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T11457—2006信息技术软件工程术语GB/T25069—2022信息安全技术术语GB/T36475—2018软件产品分类GB/T36637—2018信息安全技术ICT供应链安全风险管理指南GB/T43698—2024网络安全技术软件供应链安全要求3术语和定义GB/T43698-2024中定义的以及下列术语和定义适用于本文件。3.1软件产品softwareproduct计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。注1：软件产品包含计算机程序代码、规程、相关数据、文档和相关服务。注2：本文件中软件产品简称为软件。[来源：GB/T43698-2024，3.1]3.2软件标识标签Softwareidentificationtag用于标识和描述单个软件产品的数据元素集合，包含软件名称、版本、供方等方面的信息。3.3元素Element支配类型的值或支配信息客体类别的信息客体，能分别从相同类型或相同类别信息客体的所有他值中区别出来。[来源：GB/T16262.1-2006,3.6.19]3.42T/CSAC002—2024语料库标签Corpustag用于软件安装包的软件标识标签。3.5主标识标签Primarytag用于标识软件产品发行版的标准软件标识标签。3.6补丁标签PatchTag用于标识修补已发布软件产品缺陷和漏洞的补丁或修复的软件标识标签。3.7补充标签SupplementalTag用于为已存在的软件标识标签提供额外数据元素的软件标识标签。4缩略语下列缩略语适用于本文件。SWID软件标识（SoftwareIdentification）CD/DVD光盘（CompactDisc/Digitalversatiledisc）5软件标识标签5.1概述软件标识标签包括标识和描述软件所需的数据元素。这些数据元素可支持各种软件管理活动，如清单生成、许可证确认、漏洞管理、配置管理等。软件标识标签应包含如名称、版本、发布者等软件的基本识别信息，以及其他有用信息，如文档位置、安装说明、数字签名等。标签中的数据元素应能够准确、独特地标识软件。软件标识标签应仅包含标识软件所需的最小必要信息。额外的非识别信息应通过引用的方式包含，而非直接集成到标签中，从而使软件标识标签尽可能简洁。不同的软件应根据需要选择使用标签的子集或扩展。标签可通过JSON格式表示。不管采用何种格式，都应遵循本文件对标签内容和语义的规定。软件标识标签可独立使用，也可集成到软件物料清单或者其他软件关系描述文件中。5.2总体结构如图1所示，软件标识标签应包含标识软件所需的基本数据元素(见6.2)和数据元素完整性检查机制(见8.4)。软件标识标签可包含补充描述性数据元素(见6.3)。3T/CSAC002—2024软件标识标签采用层次化的结构组织这些信息。最基本的一级包含用于标识软件所需的基本数据元素。第二级和后续级别包含额外的描述性数据元素和完整性检查机制等。每一级都可通过引用的方式添加进标签。5.3基本数据元素软件标识标签应包含以下基本数据元素：a)唯一标识符b)软件名称c)软件版本d)软件供方e)标签类型(语料库标签或主标识标签等)这些数据元素代表了标识软件所需的最小必要信息。5.4补充描述性数据元素除基本数据元素外，软件标识标签还可包含多种可选的补充描述性数据元素，比如：a)软件部件号b)软件供方标识c)时间戳d)文档信息e)许可证信息f)安装说明g)相关性（依赖关系、组成关系和补丁关系）h)补丁/升级信息i)运行环境信息补充数据元素宜以引用的形式包含在软件标识标签中，这避免标签本身变得过于复杂冗长。6软件标识标签基本数据元素6.1唯一标识符此唯一标识符用于标识特定的软件标识标签实例。4T/CSAC002—20246.2软件名称此数据元素标识软件产品的通常名称。例如“云星光sbom-tool”。名称应具有足够的特定性以准确标识软件产品。过于通用的名称如“文本编辑器”应避免使用。6.3软件版本此数据元素标识软件产品的准确版本。版本通常由以下元素组成：a)主版本号：产品版本系列中主要版本的编号。b)次版本号：主版本下的次要版本编号。c)修订号：小的修改和缺陷修复版本编号。d)构建号：完整识别构建或编译的唯一标识符。例如：“2.1.3.76543”，应尽可能全面清晰以准确区分不同软件产品版本。6.4软件部件号对于由多个部件或文件组成的软件产品，可标识特定部分或组件的编号。部分号与产品版本号组合，能够准确定位软件组成部分。6.5软件供方此数据元素标识负责提供软件产品的组织，应使用组织的正式名称。例如：“京东科技信息技术有限公司”。6.6软件供方标识此可选数据元素包含标识软件供方的唯一标识字符串。6.7标签类型此数据元素标识标签的类型，如该标签为语料库标签、主标识标签等，详见第8章。6.8时间戳此数据元素标识标签创建的时间。7软件标识标签处理7.1标签创建软件供方应在软件产品发布时创建一个包含基本数据元素的软件标识标签。在软件生命周期的后续阶段，可根据需要通过添加补充数据元素来扩展和增强标签。7.2标签聚合对于由多个组件组成的软件产品，应为每个组件创建软件标识标签，然后这些组件级标签可聚合到产品级软件标识标签中。产品级标签将包含对组件标签的引用。5T/CSAC002—20247.3标签共享软件供方应通过软件包或软件目录等方式共享软件标识标签，以便标签与软件产品一起传递给需方。7.4标签完整性软件供方应通过数字签名或哈希校验等机制来保护软件标识标签的完整性，以防止标签被意外或恶意修改。7.5标签解析软件需方或第三方机构在接收到软件标识标签后应该能解析并处理标签中的数据元素，解析过程应检验标签的完整性和数字签名的有效性。7.6标签存储解析后的软件标识标签可存储于资产管理系统、清单数据库等仓库中，以供后续管理和报告使用。8标签类型8.1概述软件标识标签可应用于多种不同的软件实体。本文件定义了四种类型的软件标识标签：语料库标签、主标识标签、补丁标签和补充标签。语料库标签、主标识标签和补丁标签具有相似的功能，因为它们描述了不同类型软件的存在，以及软件产品的不同状态。补充标签以补充方式为已存在的软件标识标签提供额外数据元素。8.2语料库标签8.2.1功能语料库标签提供有关软件分发的信息，可用于在软件部署期间验证软件安装包的真实性和完整性。软件在安装之前，通常以软件安装包的形式将其交付或以其他方式提供给软件需方。安装包包含处于预安装状态的软件，通常以某种方式压缩。软件需方获取安装包后，会运行安装过程，以使安装包中包含的软件解包并部署到目标设备上。本文件定义的语料库标签用于识别和描述处于这种预安装状态的产品。8.2.2数据元素语料库标签能被用于验证安装包以及发布安装包的组织的信息，补充描述性数据元素应包括文件清单、许可证信息和分发介质（例如CD/DVD）的信息。8.2.3处理语料库标签由软件供方创建，并与安装包一起共享给需方。在软件安装过程中，语料库标签不会安装在设备上。语料库标签可用于验证可安装产品的完整性，并在执行安装程序之前验证安装包的发行者。6T/CSAC002—2024语料库标签中包含安装文件清单，如果标签中的清单与安装包中的实际文件不匹配，则检测到安装包被篡改。当与其他许可数据相结合时，语料库标签可以帮助消费者在安装产品之前确认他们是否拥有产品的有效许可。8.3主标识标签8.3.1功能主标识标签包含对软件名称、版本、软件供方等的核心识别数据元素（例如，产品命名信息、预期包含的文件列表）。理想情况下，软件供方也是该产品主标识标签的创建者；然而，其他方（包括自动化工具）在软件供方拒绝为产品创建标签或将此责任委托给另一方的情况下也可为产品创建标记。标签创建者的替代角色包括聚合、分发和许可软件产品的组织和个人。主标识标签与其所标识的已安装软件之间存在一对一映射的关系。8.3.2数据元素每个标记产品的主标识标签需要提供“强制性”的所有数据元素的值。最小主标识标签提供软件名称（作为字符串）、标签的唯一标识符以及标识标签创建者的基本信息。8.3.3处理主标识标签与软件产品一起安装（或随后创建），以唯一地标识和描述软件产品。当产品升级时，与旧版本关联的主标识标签将被删除，并替换为新版本的主标识标签。当产品从设备中移除时，其主标识标签也会被移除。通过严格维护已安装软件和相关标签之间的一对一关联，可以使用软件标识标签数据持续监控已安装软件库存并跟踪软件更新。8.4补丁标签8.4.1功能补丁标签提供有关软件补丁的特定信息，软件补丁一般被用于纠正产品中的错误或为产品添加新功能，应引用所应用的软件产品及其版本。8.4.2数据元素补丁标签提供有关补丁对软件产品所做的更改的信息，包括添加、删除或更改的文件。补丁标签中包含的数据元素用于标识和描述补丁，而不是应用补丁的产品。例如，补丁标签中记录的软件名称和版本不需要与补丁程序的主标识标签中所记录的产品名和版本匹配。相反，这些属性可用来记录软件供方分配的补丁的名称和版本。8.4.3处理软件供方可以发布补丁来纠正软件中的缺陷或为产品添加新功能。在设备上安装补丁程序时，会对产品的安装足迹进行更改。由于补丁程序扩充了现有安装，因此需要单独跟踪这些更改。补丁标签能够7T/CSAC002—2024识别和描述补丁。安装补丁程序后，将在设备上与修补产品相关的位置放置补丁标签。当软件供方未提供补丁标签时，需方可创建补丁标签以指示补丁的存在。与补丁不同，升级被定义为完全替换产品的安装痕迹。升级通常会更改产品的版本号和/或发布详细信息，因此升级会更新主标识标签。8.5补充标签8.5.1功能补充标签提供了描述与其他标签相关的附加信息的机制，如可提供额外的许可或安装信息，应包含对所扩展的原标签的引用。任何实体都可创建补充标签，例如，可通过自动化工具创建补充标签，以便用附加的特定网站信息（例如许可证密钥和本地负责方的联系信息）来扩充现有的主标识标签。8.5.2数据元素补充标签可提供补充的数据值，该数据值与主标识标签的及任何其他补充标签提供的数据值不应存在冲突。如果检测到冲突，则主标识标签中的数据（由软件供方提供）被认为是最可靠的。例如，记录在补充标签中的软件名称应与记录在产品主标识标签中的软件名称相匹配；如果它们不同，则记录在主标识标签中的名称被视为首选名称。8.5.3处理软件产品升级后，与产品升级前版本相关的所有主标识标签、补丁和补充标签都将被删除。如果需要，可部署与升级版本相关联的新补充标签。删除软件产品后，将删除与该产品相关的所有主标识标签、补丁标签和补充标签。软件标识标签还可通过“标签类型”特性进行扩展，用于表示自定义的标签类型。9标签相关性9.1相关性描述软件产品通常由多个相互相关的组件组成。相关软件组件可通过不同的软件标识标签进行标识。为了描述组件之间的相关性，软件标识标签将相关性信息描述为依赖关系、组成关系和补丁关系。9.2依赖关系标识标签所描述软件依赖的其它软件，应包含对依赖软件标签的引用。9.3组成关系标识标签描述的软件是由哪些组件软件组成的，应包含对组件软件标签的引用。9.4补丁关系标识标签描述的补丁或修复应用于哪个软件，应包含对所应用软件标签的引用。通过相关性描述，可以构建出软件系统的完整层次关系模型。8T/CSAC002—202410