信息与通信技术产品供应链安全测试技术要求编制说明

信息与通信技术产品供应链安全测试技术要求编制说明标准起草工作组2025年3月

目的意义数字经济时代，软件已成为保障社会正常运转的基本组件。政府机构、企业组织及个人用户，都离不开软件应用。由于软件设计工作复杂、软件开发过程安全缺失、软件漏洞数量和漏洞的严重程度不断增加，对软件系统的稳定运行和信息数据的安全性都造成严重影响。攻击者采用多种新型复杂的攻击手段如供应链污染、恶意代码混淆、零日漏洞利用等对软件系统进行攻击，影响极大。例如，针对PHP/JAVA部署工具OneinStack和Linux服务器部署工具LNMP的供应链投毒攻击事件，Darkhotel（APT-C-06）利用某邮件系统0day投递载荷，BadBox安卓僵尸网络等供应链产品攻击事件。建立明确的信息与通信技术产品供应链技术检测要求，包括软件成分分析、二进制软件基因分析、动态应用程序安全测试、静态应用程序安全测试、容器镜像安全测试等，以规避信息与通信技术产品中开源组件、后门、源代码安全、Web漏洞安全等风险，保障产品的质量和安全性，是实现供应链安全治理的首要任务。研究并编制信息与通信技术产品供应链安全测试技术规范，其主要目的包括几点。一是规范信息与通信技术产品的供应链安全测试要素、测试流程、测试技术；二是加强对信息与通信技术产品的安全监管；三是推动信息与通信技术供应链产品安全认证体系发展。本项目成功实施的意义重大，在国家网络安全、供应链及企业发展等方面发挥关键作用，具体如下。一是强化网络安全与主权保障。明确信息与通信技术产品供应链安全测试技术规范，能够有效提高对信息与通信技术产品的安全性评估。这不仅有助于构建安全可靠的信息与通信技术产品供应链，还能够增强国家在信息技术领域的自主可控能力。通过确保关键技术和产品的安全性，国家将能够更好地应对外部网络攻击和潜在风险，维护国家利益与主权安全，促进社会的和谐稳定发展。二是优化供应链产品质量管理体系。质量是供应链管理的核心要素，而有效的质量管理体系是保障产品安全与可靠性的基础。本项目旨在建立健全的供应链产品质量管理体系，通过制定标准化的流程和规范，提升供应链各环节的透明度与可追溯性。这样不仅能够提高产品的整体质量，还能减少因质量问题带来的安全隐患。同时，通过对供应链的持续监控与评估，能够及时发现潜在问题，确保产品在生产、运输和销售过程中的高标准管理，最终实现客户满意度的提升，增强市场竞争力。三是促进信息与通信技术产品检测标准化进程。标准化是提高行业整体技术水平的重要手段，特别是在快速发展的信息与通信技术领域。本项目通过推动信息与通信技术产品检测标准的统一与规范，有助于提升行业内各企业的技术水平与市场竞争力。通过建立统一的检测标准，不仅能够为企业提供可靠的检测依据，还能提高消费者对产品质量的信任度。此外，标准化进程的推进还将促进行业内的技术交流与合作，加速技术创新的步伐，从而为整个信息与通信技术行业的可持续发展奠定坚实基础。四是提升企业对信息与通信技术产品的创新力。创新是企业持续发展的动力，而技术规范的实施与标准化的推进将为企业的创新活动提供良好的环境和基础。本项目通过明确技术规范与标准，激励企业加大研发投入，推动技术创新。这不仅能够提升企业在信息与通信技术领域的核心竞争力，还将促进新技术、新产品的不断涌现，满足市场日益变化的需求。任务来源在为供应链的需求方和供应商开展信息与通信技术产品供应链安全检测的过程中，发现现有的标准无法满足需求方和供应商的安全需求，没有相关的标准化检测方法，在同众多需求方及供应商沟通交流后，形成了彼此认可的信息与通信技术产品供应链安全测试技术规范。编制过程1) 2024年6月，成立编制工作组，启动标准编制工作，公安部第三研究所开始筹备起草组成立会议，分别向行业内知名的企业、从事相关研究的单位发出邀请并开展起草工作。2）2024年12月，形成标准草案。3）2024年12月5日，提交标准项目建议书4）2024年12月30日，经过多次内部征求意见，形成标准草案修改版。5）2025年1月7日，形成标准草案第一版。2025年1月17日，召开立项评审会，邀请专家对草案给出建议。2025年2月8日至2025年2月25日，期间进行了多次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。2025年3月1日，形成征求意见稿。主要内容技术指标确立本标准适用于信息与通信技术产品供应链安全测试，用于发现信息与通信技术产品中开源组件、后门、源代码安全、Web漏洞安全等风险。本标准规定了信息与通信技术产品供应链安全测试技术的应用方法，包括软件成分安全技术分析、二进制软件基因技术分析、动态应用程序安全测试、静态应用程序安全测试、容器镜像安全技术分析等。详情如下：1、软件成分分析：软件成分分析工具是旨在对软件源代码进行成分和风险分析的工具，其通过对开源组件成分、组件依依赖关系、漏洞风险、开源许可风险、投毒风险、篡改风险及供应连续性风险进行分析。2、二进制软件基因安全测试：二进制软件基因安全测试工具是旨在对软件制品进行成分和风险分析的工具，其通过对开源组件成分、漏洞风险、开源许可风险、投毒风险及静态代码进行分析。3、容器镜像安全测试：容器镜像安全测试工具是深度融合云原生特性，将安全能力左移到构建阶段，针对交付物是容器镜像或依赖容器镜像的产品，主动持续开展风险分析，其通过对镜像成分、镜像漏洞、镜像投毒及组件篡改进行分析。4、静态应用安全测试：静态应用安全测试通过分析应用程序的源代码、二进制代码或字节代码来发现和识别应用中常见安全漏洞的技术，分析项对静态代码、缺陷漏洞及缺陷审计进行分析。5、动态应用安全测试：动态应用安全测试工具是通过扫描软件应用程序，无需了解应用的内部交互或设计，也无需访问或查看源程序，即可在系统层面检查正在运行的应用，发现安全漏洞或开放漏洞的工具，其通过对程序依赖、会话管理、请求响应及漏洞风险进行分析。与相关法律法规和国家标准的关系（1）GB/T24420-2009供应链风险管理指南该标准仅针对传统供应链，本标准则明确对ICT产品开展软件成分分析、二进制软件基因安全、容器镜像安全、静态应用安全及动态应用安全测试的供应链安全测试技术规范。该标准由TC260提出并归口。（2）GB/T30279-2020信息安全技术网络安全漏洞分类分级指南该标准提供了网络安全漏洞的分类方式、分级指标和分级方法的建议。本标准在编写时，参考了漏洞分类相关部分的内容。（3）GB/T32921-2016信息安全技术信息技术产品供应方行为安全准则该标准从供应商的角度对保护用户相关信息、维护用户信息安全提出要求，限制供应商对用户相关信息收集和处理及远程控制用户产品的安全准则。本标准参考了对供应方产品的相关内容。（4）GB/T36637-2018信息安全技术ICT供应链安全风险管理指南该标准着重于风险管理方面，对供应链生命周期几个阶段中的脆弱性进行风险管理。本标准参考供应链生命周期脆弱性相关内容。（5）GB/T36643-2018信息安全技术网络安全威胁信息格式规范该标准规定了网络安全威胁信息模型和网络安全威胁信息组件，包括网络安全威胁信息中格组件的属性和属性值格式等信息。本标准参考了网络安全威胁信息格式相关内容。（6）GB/T39204-2022信息安全技术关键信息基础设施安全保护要求该标准分别对供应商与需求方提出简要的基础要求，围绕供应链中各供应商根据自身的产品或服务而形成的供应关系展开。该标准涉及供应链安全内容较少。（7）JR-T0290-2024金融业开源软件应用管理指南该标准聚焦于金融机构在应用开源软件时的全流程管理，主要针对金融机构规范自身对开源软件引入、使用及退出的过程管理以及风险管控。本标准参考开源软件安全风险相关内容。（8）T/TAF073-2020网络产品供应链安全要求该标准针对网络产品在采购环节的安全管理、组织机构和人员、信息系统等不同等级的安全要求，包括了产品认证和供应商管理的安全要求。其适用于网络产品的提供者对供应链采购过程进行安全管理。本标准参考了网络产品相关安全要求。本标准：主要针对开展ICT产品供应链安全测试的技术规范，包括软件成分分析、二进制软件基因安全、容器镜像安全、静态应用安全及动态应用安全测试提出了规范化要求。从适用对象上看，本标准是针对ICT产品的测试流程、测试方法提出了技术规范措施。从描述粒度上看，本标准对软件成分分析、二进制软件基因安全、容