動態

詳情 返回 返回

論壇前瞻 一文讀懂軟件供應鏈和開源安全系列標準 - 動態 詳情

中國信息通信研究院雲計算與大數據研究所自 2019 年,以安全開發為切入點,開展軟件供應鏈和開源安全相關研究工作並搭建標準體系。截至目前,由中國信息通信研究院牽頭,廣泛邀請包括金融、互聯網、運營商、軟件廠商、安全廠商、工具廠商等個行業領域專家參與,共同編制了 1 項國家標準、3 項行業標準和 7 項團體標準,具體如下圖。同時依託標準展開測試評估工作,目前已有累計 50 餘家企業的產品通過測試評估。

軟件供應鏈和開源安全系列標準將於 10 月 28 日 2025 OSCAR 開源產業大會 軟件供應鏈與開源安全論壇上進行解讀。同時,歡迎對軟件供應鏈和開源安全系列評估的企業與我們聯繫!
image.png

國家標準

【1】GB/T 43848-2024 網絡安全技術 軟件產品開源代碼安全評價方法

標準範圍覆蓋軟件產品中開源代碼成分安全的評價要素和評價規程,評價要素涵蓋開源代碼來源、開源代碼安全質量、開源代碼知識產權和開源代碼管理。標準的實施將幫助企業系統化地評估和管理開源代碼的安全風險,提升軟件產品的整體安全性,降低由於開源代碼漏洞引發的安全事件的風險。

行業標準

【1】可信研發運營安全能力成熟度模型

標準規定了可信研發運營安全能力成熟度模型參考框架,分為管理制度以及涉及軟件應用服務全生命週期的要求階段、安全需求分析階段、設計階段、研發階段、驗證階段、發佈階段、運營階段和下線階段九大部分,每個部分提取了關鍵安全要素,規範了企業研發運營安全能力的成熟度水平。

【2】靜態應用程序安全測試工具能力要求

標準規定了靜態應用程序安全測試工具的基本能力要求,涵蓋掃描分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分。

【3】交互式應用程序安全測試工具能力要求

標準規定了交互式應用程序安全測試工具的基本能力要求,涵蓋檢測分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分。

團體標準

【1】軟件供應鏈安全管理要求

標準從供需雙方視角出發,針對軟件供應鏈全生命週期,圍繞軟件供應鏈引入安全管控及交付應用安全管控兩大環節,從軟件來源、軟件安全合規、軟件資產管理、服務支持、安全應急響應五大維度梳理關鍵要素,進行安全管理要求規範。

【2】軟件物料清單總體能力要求

軟件物料清單指軟件成分列表,通過明確識別和詳細記錄軟件組件及其相互關係以提升軟件透明度,從而增強軟件供應鏈的安全管理能力。標準明確了軟件物料清單構建數據層、生成層、交付層、應用層四大維度。

【3】軟件物料清單配套工具能力要求

軟件物料清單工具用於生成、管理和轉譯軟件物料清單,有助於提高軟件項目的可維護性、可靠性和安全性,是提升軟件供應鏈管理能力的重要工具之一。標準涵蓋生成能力要求、管理分析能力要求、轉譯能力要求、基本能力要求四大部分。

【4】面向供應鏈的信息技術產品通用安全能力要求

標準聚焦保護軟件供應鏈安全目標,面向具體信息技術產品及服務,從安全功能要求、安全保障要求兩大維度,針對供應鏈場景下信息技術產品安全能力要求進行規範。

【5】軟件供應鏈製品管理平台能力要求

軟件供應鏈製品管理平台確保了製品的一致性和可追溯性,是測試和生產部署的可信來源,在軟件開發生命週期中發揮着至關重要的作用。標準從製品庫管理、製品動態管理、製品安全管理、製品信息管理、通用安全能力要求、擴展能力要求六大維度,對軟件供應鏈製品管理平台能力要求進行規範。

【6】研發運營安全平台能力要求

研發運營安全(DevSecOps)平台及工具秉承安全前置理念,將安全工作融入軟件開發的各個階段,標準從平台管理、安全開發、安全交付、安全運營四個維度,提取關鍵通用安全能力,對研發運營安全(DevSecOps)平台及工具能力要求進行規範。

【7】運行時應用程序自我保護工具能力要求

運行時應用程序自我保護工具可注入到應用程序中,與應用程序融為一體,進行實時監測、阻斷攻擊,使程序自身擁有自保護的能力,標準從檢驗分析能力要求、工具靈活性能力要求、分析輔助能力要求、工具擴展性能力要求、部署能力要求、安全性能力要求、服務支持能力要求對運行時應用程序自我保護工具能力要求進行規範。

【8】智能化安全測試工具系列標準

基於原有安全測試工具標準,除功能層面和性能層面外,針對智能化能力進行具體規範,涵蓋《智能化靜態應用程序安全測試(AI SAST)工具能力要求》、《智能化運行時應用程序自我保護(AI RASP)工具能力要求》等。

會議概況

大會精心策劃了主論壇及多場專題分論壇,內容覆蓋央國企實踐、開源商業化、開源項目及社區、軟件供應鏈與開源安全、人工智能開源等熱點議題,發佈多項行業標準與權威報告。大會議程現已正式發佈,八大亮點全面揭曉,誠邀您攜手參與,共繪開源發展新藍圖。

會議時間:2025 年 10 月 28 日
主辦單位:中國通信標準化協會
承辦單位:中國信息通信研究院
會議形式:線下會議
會議地點:北京·中關村國家自主創新示範區展示交易中心-會議中心

開源 , 開源項目介紹
user avatar u_16776161 頭像 ting_61d6d9790dee8 頭像 u_15316473 頭像 ospo 頭像 shuirong1997 頭像 junyidepingpangqiu 頭像 yunzhihuijishushequ 頭像
點贊 7 用戶, 點贊了這篇動態!
點贊

Add a new 評論

Some HTML is okay.