【团体标准】 软件供应链安全技术检测规范

数字化时代，软件定义万物，软件已成为支撑社会正常运转的最基本元素之一。随着软件产业和软件工程的不断发展，软件包含的程序文件、动态库越来越多，访问的IP、URL等各种元素越来越丰富，相互之间的依赖关系也越来越普遍，复杂的供应关系可能引发一系列安全问题，一旦软件供应链环节的某一个元素出现问题，很可能直接影响软件供应链链条上的全部软件，复杂的软件供应链正导致信息系统的整体安全防护难度越来越大。早在2016年国家互联网信息办公室发布的《国家网络空间安全战略》中，就已经提出“夯实网络安全基础，坚持创新驱动发展，尽快在核心技术上取得突破。重视软件安全，加快安全可信产品推广应用”，将软件安全纳入网络安全战略任务，开启软件供应链安全时代，软件供应链安全成为一个单独的安全细分领域逐步被社会认可。为进一步明确软件供应链安全目标，指导产业良性、快速发展，2021年，工业和信息化部在印发《“十四五”软件和信息技术服务业发展规划》的通知中，在保障措施章节提出“开展软件数据安全、内容安全评估审查，加强软件源代码检测和安全漏洞管理能力，提升开源代码、第三方代码使用的安全风险防控能力。鼓励第三方服务机构，积极提升软件安全咨询、培训、测试、认证、审计、运维等服务能力。”软件供应链安全应是组织安全文化的一部分，有效的安全检测机制可推动软件供应链安全体系化发展。本文件综合实用性与扩展性，定义了软件供应链安全技术检测流程、风险框架、检测模块，并对检测流程中可能涉及的风险规避措施进行充分阐述，为尽快推动安全技术检测提供参考。在软件供应链安全检测工程中，本文件提供技术检测流程性规范与检测要素指导，具体检测内容还可结合GB/T39412—2020、GB/T30998—2014等国家标准、行业标准、行业规范个性化定制。虽然本文件重点定义并推荐采用自动化工具静态检测方式，但对可能存在的人工检测、动态检测，在流程中也做了充分的规范、说明。本文件是“软件供应链安全”检测系列标准之一，该系列标准的结构和名称预计如下：--《软件供应链安全技术检测规范》（本标准）--《软件供应链安全管理检测规范》--《软件供应链安全综合检测指引》--《软件供应链安全开源组件安全检测平台技术要求》--《软件供应链安全源代码检安全测环境搭建指南》--《软件供应链安全检测高风险判断指引》--《软件供应链安全检测机构要求》--《软件供应链安全检测过程指南》