《德昶安測：2025軟件供應鏈安全政策匯編（35頁）.pdf》由會員分享，可在線閱讀，更多相關《德昶安測：2025軟件供應鏈安全政策匯編（35頁）.pdf（35頁珍藏版）》請在三個皮匠報告上搜索。

1、供應鏈安全能力分中心（上海）軟件供應鏈安全政策匯編供應鏈安全能力分中心（上海）上海德昶安測技術服務有限公司2025 年 2 月供應鏈安全能力分中心（上海）I目目 錄錄1 背景背景.12 軟件供應鏈安全法規匯編軟件供應鏈安全法規匯編.32.1 國外政策法規.32.2 國內政策法規.72.3 行業標準.9附 1：GB/T 43698-2024網絡安全技術 軟件供應鏈安全要求附 1：GB/T 43698-2024網絡安全技術 軟件供應鏈安全要求.10供應鏈安全能力分中心（上海）供應鏈安全能力分中心（上海）.33供應鏈安全能力分中心（上海）第 1 頁1 背景背景數字化時代，軟件已成為支撐現代社會運行的

2、核心元素，并形成供、需方之間傳遞軟件產品及服務全過程的復雜軟件供應鏈結構。該網鏈系統從需求設計到開發、部署的全生命周期均可引入安全隱患，惡意代碼注入、第三方組件漏洞利用、供應鏈攻擊等威脅事件頻發，軟件供應鏈安全問題正呈現出復雜化、高?；膰谰B勢。2024 年 7 月，Gartner 發布Leaders Guide to Software Supply Chain Security并預測，軟件供應鏈攻擊造成的損失將從 2023 年的 460 億美元上升到2031 年的 1380 億美元。2024 中國軟件供應鏈安全分析報告顯示，針對調研的 1763 個國內企業軟件項目，開源軟件使用率達 100

3、%，平均每個軟件項目使用166 個開源軟件。監管層面同樣面臨重重挑戰：開源技術的泛在化應用模糊了責任邊界，第三方組件依賴導致供應鏈透明度不足，且現有政策法規對軟件開發、交付、運維等環節的約束機制尚未完全覆蓋。2024 年 7 月的微軟“藍屏”事件更是向全世界敲響軟件供應鏈安全防護的警鐘，在這種背景下，構建軟件供應鏈安全體系已成為維護網絡空間主權、保障數字經濟健康發展的戰略要務。面對嚴峻的軟件供應鏈安全威脅，我國高度重視，從國家戰略層面統籌推進防護體系建設。2016 年，國家互聯網信息辦公室發布 國家網絡空間安全戰略并提出“重視軟件安全，加快安全可信產品推廣應用”，將軟件安全納入網絡安全戰略任務

4、。2022 年，網絡安全審查辦法 和 關鍵信息基礎設施安全保護要求分別從頂層政策方面對關基行業軟件供應鏈安全提出要求，將軟件供應鏈安全提升至國家戰略高度。此后，中央網信辦牽頭建立“五個統籌”工作機制，從政策引導、標準制定、技術攻關等多維度發力，形成關基領域供應鏈安全防護的良好局面。此外，公安部還通過“護網”等專項行動強化軟件供應鏈攻擊應對能力，引導行業提升代碼審計、滲透測試等技術防護水平。2024 年 4 月，國內首個針對軟件供應鏈安全的國家標準 GB/T 43698-2024網絡安全技術 軟件供應鏈安全要求正式發布，標志著我國軟件供應鏈安全治理水平邁向新的高度。未來，我國將從被動防御轉向主動

5、治理，著力構建覆蓋“開發-交付-運行”軟供應鏈安全能力分中心（上海）第 2 頁件供應鏈全周期的動態防護體系，為數字中國建設筑牢安全根基。針對日益突出的軟件供應鏈安全問題，上海供應鏈安全能力分中心于 2024年 8 月成立軟件供應鏈安全標準專班，配合公安部推動軟件供應鏈安全標準體系的建立與完善。專班采用“扁平化+職能小組”模式，高效響應各類標準制定需求。專班由德昶安測總經理楊木超擔任組長，成員覆蓋多個供應鏈安全專業領域，通過協調配置各類行業資源，助力供應鏈標準體系建立工作穩步推進。專班自成立以來主要圍繞供應鏈安全標準研究與制定，行業標準貫標與推廣落地等兩個方面開展工作，其中：（1）標準研究與制定

6、）標準研究與制定開展行業調研與分析，梳理軟件供應鏈安全現狀、痛點及法律法規要求，配合公安三所完成標準草案編制及申報工作。在標準制定過程中，經過充分的專家論證與意見征集，通過多輪評審修訂，確保標準的權威性與可落地性。（2）標準推廣與落地）標準推廣與落地構建“標準宣貫+工具賦能”雙輪驅動模式，通過報告和推文發布、行業峰會宣講及定制化培訓來提升標準認知度，同步開發“供應鏈安全評估系統（一企一檔）供應鏈安全評估系統（一企一檔）”自動化工具，提供軟件供應鏈安全合規檢測與治理的全流程支持，促進標準的廣泛應用和有效落地。專班自成立以來，協助公安部第三研究所編制并提報供應鏈安全相關標準16 項項，其中團標團標

7、 2 項，地標項，地標 1 項，行標項，行標 11 項，國標項，國標 2 項項。目前，標準制定和申請工作仍在穩步推進中。專班積極配合有關單位的執法檢查工作，協助公安三所深度參與公安部供應鏈安全專項檢查推廣、考核和總結的全流程，協助上海市局網安對全市供應鏈安全風險開展掃描檢測，從監管測推動軟件供應鏈安全業務推向深入。專班依托各大行業協會成立的供應鏈安全專委會，發布數字供應鏈安全行業倡議，并聯合市區兩級網安、網信部門及屬地企業多次舉辦技術交流沙龍活動。通過供應鏈安全相關標準解讀、技術分享及案例推廣等形式，構建可持續發展的軟件供應鏈安全生態。供應鏈安全能力分中心（上海）第 3 頁2 軟件供應鏈安全法

8、規匯編軟件供應鏈安全法規匯編本文梳理了截至 2025 年 1 月，國內外出臺的部分與軟件供應鏈安全相關的政策法規和標準規范，為行業同仁提供參考。2.1 國外政策法規國外政策法規序號序號發布時間發布時間政策或標準政策或標準關鍵內容關鍵內容12022 年年 3 月國際月國際ISO28000-2022供應鏈安全管理體系供應鏈安全管理體系從供應商角度入手，規定信息技術產品供應方的行為安全準則。22022 年年 6 月月ISO/IEC 27036-2:2022網絡安全網絡安全-供應商關系供應商關系對供應商的管理流程、風險評價提出相關安全要求。32023 年年 11 月月ISO/IEC 20243信息技術

9、信息技術-開放可信技術提供商標準（開放可信技術提供商標準（O-TTPS）針對信息通信技術硬件和軟件在產品生命周期內面臨的完整性威脅，特別是惡意和仿冒組件帶來的安全風險，提供了一套應對準則、方針和建議。42008 年年 1 月美國國家網絡安全綜合計劃（月美國國家網絡安全綜合計劃（CNCI）要求在產品、系統和服務的整個生命周期內綜合應對國內和全球供應鏈風險。52014 年年 12 月網絡供應鏈管理和透明度法案月網絡供應鏈管理和透明度法案確保為美國政府開發或購買的使用第三方或開源組件以及用于其他目的的任何軟件、固件或產品的完整性。62018 年年 9 月國家網絡戰略月國家網絡戰略要求改進聯邦供應鏈風

10、險管理過程，提出在聯邦機構采購和風險管理流程中整合供應供應鏈安全能力分中心（上海）第 4 頁序號序號發布時間發布時間政策或標準政策或標準關鍵內容關鍵內容鏈風險管理的要求。72018 年年 12 月聯邦采購供應鏈安全法案月聯邦采購供應鏈安全法案 2018設立了新的聯邦采購安全理事會，授權其為聯邦供應鏈安全制定規則，以增強聯邦采購和采購規則的網絡安全彈性。82019 年年 5 月第月第 13873 號 確保信息通信技術與服務供應鏈安全行政令號 確保信息通信技術與服務供應鏈安全行政令宣布美國進入受信息威脅的國家緊急狀態，禁止美國個人和各類實體購買和使用被美國認定為可能給美國帶來安全風險的外國設計制造

11、的 ICT 技術設備和服務。92021 年年 2 月第月第 14017 號美國供應鏈行政令號美國供應鏈行政令要求聯邦機構對關鍵領域和行業的全球供應鏈進行審查。102021 年年 5 月第月第 14028 號行政命令關于改善國家網絡安全號行政命令關于改善國家網絡安全明確要求美國聯邦政府加強軟件供應鏈安全管控，標志著美國正式啟動軟件供應鏈安全相關工作。112021 年年 7 月軟件物料清單（月軟件物料清單（SBOM）的最低要求）的最低要求NTIA 的 SBOM 最低要求通過結構化數據、自動化工具鏈和標準化流程，為軟件供應鏈安全提供了可操作的框架，其核心目標是實現組件的透明化追蹤與風險管控。1220

12、22 年年 2 月月NIST SP 800-218安全軟件開發框架（安全軟件開發框架（SSDF）v1.1提供安全軟件開發框架（SSDF），整合了緩解軟件漏洞風險的最佳實踐，涵蓋供應鏈風險管理和漏洞管理，支持行政令 14028，幫助開發者和采購方提升軟件安全。132022 年年 2 月根據月根據 EO 14028 第第 4e 節指定的軟件供應鏈安全指導節指定的軟件供應鏈安全指導是 NIST 在 EO 14028 框架下強化軟件供應鏈安全的核心措施之一，幫助聯邦機構工作人員在采購軟件時，向軟件生產商索取安全開發實踐的信息。與同期發布的安全供應鏈安全能力分中心（上海）第 5 頁序號序號發布時間發布時

13、間政策或標準政策或標準關鍵內容關鍵內容軟件開發框架（SSDF）v1.1共同構成技術標準。142022 年年 5 月月NIST SP 800-161 系統和組織的網絡安全供應鏈風險管理實踐指南系統和組織的網絡安全供應鏈風險管理實踐指南為 CII 運營者有效管理供應鏈安全風險提供了識別與評估風險以及選擇與實施控制措施的方法和流程，為組織提供了在建立供應鏈內外部網絡安全風險管理能力的實踐參考。152022 年年 9 月月M-22-18 號備忘錄通過安全軟件開發實踐增強軟件供應鏈安全號備忘錄通過安全軟件開發實踐增強軟件供應鏈安全白宮管理和預算辦公室要求供應商產品需提供以證明其符合安全軟件開發框架的文檔

14、。162022 年年 10 月保護軟件供應鏈的實操指南月保護軟件供應鏈的實操指南美國國家安全局（NSA）、網絡安全及基礎設施安全局（CISA）、國家情報總監辦公室（ODNI）攜手發布了該指南，主要提及軟件供應商在供應鏈中所需要承擔的責任和改進方法。172023 年年 3 月月2023 年國家網絡安全戰略年國家網絡安全戰略指出美國行政管理和預算局（OMB）將與美國網絡安全和基礎設施安全局（CISA）協調制定行動計劃，通過集體防御、擴大集中式共享服務的可用性和軟件供應鏈風險緩解來保護 FCEB 系統。182023 年年 6 月月M-23-16 號備忘錄通過安全軟件開發實踐增強軟件供應鏈安全號備忘錄

15、通過安全軟件開發實踐增強軟件供應鏈安全供應鏈安全能力分中心（上海）第 6 頁序號序號發布時間發布時間政策或標準政策或標準關鍵內容關鍵內容192024 年年 2 月月NIST 網絡安全框架（網絡安全框架（CSF）2.0重點關注治理和軟件供應鏈問題。CSF 2.0 框架圍繞六個關鍵功能（識別、保護、檢測、響應、恢復和治理）提供了豐富的資源以加速框架的實施與落地。202024 年年 3 月軟件供應鏈安全指南月軟件供應鏈安全指南國家標準與技術研究院（NIST）發布，指南強調安全軟件開發實踐應在整個軟件生命周期中進行整合，以減少已發布軟件中的漏洞數量，并解決造成脆弱性的根本原因。212024 年年 3

16、月軟件安全開發證明表月軟件安全開發證明表要求為聯邦部門提供服務的第三方軟件提供商，填報軟件安全開發證明表內容上報自我安全證明。222013 年年 2 月歐盟歐盟網絡安全戰略月歐盟歐盟網絡安全戰略要求采取措施確保用于關鍵服務和基礎設施的硬件和軟件值得信賴和安全可靠。232015 年年 8 月供應鏈完整性：月供應鏈完整性：ICT 供應鏈風險和挑戰概述和未來愿景供應鏈風險和挑戰概述和未來愿景ENISA 對供應鏈完整性：ICT 供應鏈風險和挑戰概述，以及發展方向愿景的更新，建議建立統一的 ICT 供應鏈安全風險評估框架來開展 ICT 供應鏈安全評估工作。242021 年年 7 月供應鏈攻擊威脅情景圖月

17、供應鏈攻擊威脅情景圖ENISA 對供應鏈攻擊進行了分類，并對從 2020 年 1 月到 7 月初的 24 起供應鏈攻擊事件進行了研究，對供應鏈攻擊者來源、攻擊手段、攻擊目標以及應對措施進行分析。252023 年年 1 月關于在歐盟范圍內實現高水平共同網絡安全措施的指令（月關于在歐盟范圍內實現高水平共同網絡安全措施的指令（NIS 2 指令）指令）歐洲議會通過 NIS 2 指令提案，強化關鍵信息和通信技術的供應鏈網絡安全。成員國可與委員會和 ENISA 合作，對關鍵供應鏈進行風險評估。262024 年年 10 月網絡彈性法案月網絡彈性法案歐盟委員會發布，法案要求所有出口歐洲的數字化產品都必須提供安

18、全保障、軟件物料清單 SBOM、漏洞報告機制，以及提供安全補丁和更新。供應鏈安全能力分中心（上海）第 7 頁2.2 國內政策法規國內政策法規序號序號發布時間發布時間政策或標準政策或標準關鍵內容關鍵內容12016 年年 11 月法律法規網絡安全法月法律法規網絡安全法分別從網絡審查、網絡產品和服務安全角度對供應鏈安全提出要求。22019 年年 7 月云計算服務安全評估辦法月云計算服務安全評估辦法要求重點評估云平臺技術、產品和服務供應鏈安全情況，申請安全評估的云服務商應提交業務連續性和供應鏈安全報告。32020 年年 4 月網絡安全審查辦法月網絡安全審查辦法要求對關鍵信息基礎設施運營者采購網絡產品和

19、服務，影響或可能影響國家安全的，應進行網絡安全審查。42021 年年 7 月關鍵信息基礎設施安全保護條例月關鍵信息基礎設施安全保護條例運營者應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。52009 年年 9 月相關標準月相關標準GB/T 24420-2009供應鏈風險管理指南供應鏈風險管理指南給出了供應鏈風險管理的通用指南，適用于各類組織保護其在供應鏈上進行的產品的采購活動。62016 年年 8 月月GB/T 32921-2016 信息安全技術信息安全技術 信息技術信息技術 產品供應方行為安全準則產品供應方行為安全準則從供應商

20、角度入手，規定了信息技術產品供應方的行為安全準則。72018 年年 10 月月GB/T 36637-2018信息安全技術信息安全技術 ICT 供應鏈安全風險管理指南供應鏈安全風險管理指南規定了信息通信技術（ICT）供應鏈的安全風險管理過程和控制措施，適用于 ICT 供方和需方、第三方測評機構等。供應鏈安全能力分中心（上海）第 8 頁序號序號發布時間發布時間政策或標準政策或標準關鍵內容關鍵內容82019 年年 5 月月GB/T 22239-2019 信息安全技術信息安全技術 網絡安全等級保護基本要求網絡安全等級保護基本要求要求把供應商關系和供應鏈安全作為安全保護的重要項，著重強調供應鏈安全的管理

21、。9/信息安全技術信息安全技術 關鍵信息基礎設施信息技術產品供應鏈安全要求（報批稿）關鍵信息基礎設施信息技術產品供應鏈安全要求（報批稿）提出了關鍵信息基礎設施、政務信息系統信息技術產品供應鏈在設計、開發、采購、生產、交付和運維等環節的安全要求，主要從安全漏洞缺陷的防范、安全運營維護、供應商管理、供應來源多樣性等方面提出安全要求。102022 年年 10 月月GB/T 39204-2022 信息安全技術信息安全技術 關鍵信息基礎設施安全保護要求關鍵信息基礎設施安全保護要求明確提出供應鏈安全保護，包括網絡產品和服務清單、網絡安全審查、合格供應方目錄、來源的穩定或多樣性、知識產權、源代碼安全檢測、網

22、絡產品和服務風險隱患處理。112023 年年 5 月月GB/T 31168-2023 信息安全技術信息安全技術 云計算服務安全能力要求云計算服務安全能力要求對云服務商的供應鏈從采購過程、外部服務提供商、開發商、防篡改、組件真實性、不被支持的系統組件、供應鏈保護等方面提出了安全要求。122024 年年 4 月月GB/T 43698-2024 網絡安全技術網絡安全技術 軟件供應鏈安全要求軟件供應鏈安全要求通過對軟件供應鏈的特殊性及其所面臨的安全風險進行分析，制定軟件供應鏈安全要求，規定軟件產品供應鏈所涉及的相關要素安全要求，包括軟件供應鏈組織管理要求及開發、交付、使用等環節的安全要求。132024

23、 年年 4 月月GB/T 43848-2024 網絡安全技術網絡安全技術 軟件產品開源代碼安全評價方法軟件產品開源代碼安全評價方法規定了軟件產品中的開源代碼成分安全評價要素和評價流程，適用于對軟件產品包含的開源代碼進行靜態安全評價，為軟件產品中的開源代碼成分進行安全性自評提供依據。供應鏈安全能力分中心（上海）第 9 頁2.3 行業標準行業標準行業標準行業標準發布時間發布時間標準名稱標準名稱金融行業金融行業2023 年年 8 月月GB/T 42927-2023金融行業開源軟件測評規范2024 年年 1 月月JR/T 0290-2024金融業開源軟件應用 管理指南2024 年年 1 月月JR/T

24、0291-2024金融業開源軟件應用 評估規范公安行業公安行業/安全工具標準（在途）：安全工具標準（在途）：信息安全技術 動態應用安全測試系統安全技術要求與測試評價方法信息安全技術 靜態應用安全測試系統安全技術要求與測試評價方法信息安全技術 容器鏡像安全檢測工具安全技術要求與測試評價方法信息安全技術 模糊測試系統安全技術要求與測試評價方法信息安全技術 軟件成分分析系統安全技術要求與測試評價方法信息安全技術 應用軟件供應鏈安全技術規范供應商安全能力標準（在途）：供應商安全能力標準（在途）：供應鏈安全 軟硬件供應商網絡安全能力評價方法供應鏈安全 軟硬件供應商網絡安全能力基本要求供應鏈安全能力分中心

25、（上海）第 10 頁附 1：GB/T 43698-2024網絡安全技術 軟件供應鏈安全要求附 1：GB/T 43698-2024網絡安全技術 軟件供應鏈安全要求GB/T 43698-2024網絡安全技術 軟件供應鏈安全要求于 2024 年 4 月 25日發布，2024 年 11 月 1 日實施。該標準確立了軟件供應鏈安全目標，規定了軟件供應鏈安全風險管理要求和供需雙方的組織管理和供應活動管理安全要求。適用于指導軟件供應鏈中的供需雙方開展風險管理、組織管理和供應活動管理，可為第三方機構開展軟件供應鏈安全檢測和評估提供依據，也可為主管監管部門提供參考。供應鏈安全能力分中心（上海）第 11 頁供應鏈

26、安全能力分中心（上海）第 12 頁供應鏈安全能力分中心（上海）第 13 頁供應鏈安全能力分中心（上海）第 14 頁供應鏈安全能力分中心（上海）第 15 頁供應鏈安全能力分中心（上海）第 16 頁供應鏈安全能力分中心（上海）第 17 頁供應鏈安全能力分中心（上海）第 18 頁供應鏈安全能力分中心（上海）第 19 頁供應鏈安全能力分中心（上海）第 20 頁供應鏈安全能力分中心（上海）第 21 頁供應鏈安全能力分中心（上海）第 22 頁供應鏈安全能力分中心（上海）第 23 頁供應鏈安全能力分中心（上海）第 24 頁供應鏈安全能力分中心（上海）第 25 頁供應鏈安全能力分中心（上海）第 26 頁供應鏈

27、安全能力分中心（上海）第 27 頁供應鏈安全能力分中心（上海）第 28 頁供應鏈安全能力分中心（上海）第 29 頁供應鏈安全能力分中心（上海）第 30 頁供應鏈安全能力分中心（上海）第 31 頁供應鏈安全能力分中心（上海）第 32 頁供應鏈安全能力分中心（上海）第 33 頁供應鏈安全能力分中心（上海）供應鏈安全能力分中心（上海）2024 年 5 月 8 日，上海供應鏈安全能力分中心正式揭牌。由全資子公司上海德昶安測技術服務有限公司（簡稱上海德昶安測技術服務有限公司（簡稱“德昶安測德昶安測”）承接分中心的日常運營業務，統籌上海區域各方需求，整合各方能力，驅動需求落地，全面提升供應鏈安全風險發現及治理能力，完善供應鏈安全體系建設。分中心提供供應鏈安全制度設計、供應鏈檢測評估、供應鏈威脅情報、供應鏈人員培訓供應鏈安全制度設計、供應鏈檢測評估、供應鏈威脅情報、供應鏈人員培訓等服務，憑借專業的技術團隊和嚴謹的服務態度致力于深入剖析軟件供應鏈中的技術風險，為客戶提供定制化的供應鏈安全檢測與評估解決方案，確保數字化轉型的安全性和可靠性。未來，分中心將聚焦金融、關鍵基礎設施、車聯網、醫療、大數據中心等重點行業聚焦金融、關鍵基礎設施、車聯網、醫療、大數據中心等重點行業，助力企業實現供應鏈安全的體系化、規范化和法律合規化供應鏈安全的體系化、規范化和法律合規化，成為供應鏈安全領域的權威服務提供商。