重庆市地方标 准
DB50/T1809-2025
软件供应链安全技术评价指南
重庆市市场监督管理局 发布
目 次
前言1范围. II2规范性引用文件3术语和定义.4缩略语..5概述 2 15.1评价过程 .25.2风险框架 25.3评价模块. 25.4评价工作风险规避 36评价准备阶段 36.1一般条件 6.2工作过程. c.6.3主要工作任务. 4 46.4输入/输出文档.7方案编制阶段 .67.1一般条件 67.2工作过程.. 7.3主要工作任务. 67.4输入/输出文档 .7 88评价实施阶段 8′8.1一般条件..8.2工作过程 6“8.3主要工作任务8.4输入/输出文档 .109报告总结阶段 -109.2工作过程.. 9.1一般条件 -11 -119.3主要工作任务. .119.4输入/输出文档 12附录A(资料性) 软件供应链安全技术评价活动流程, 13附录B(资料性) 软件供应链技术安全风险.. .14附录C(资料性) 软件供应链安全技术评价要素. 81
附录D(规范性) 范围与目标确认表 .22附录E(规范性) 开源组件及源代码调研表 .23附录F(资料性) 初步评价对象列表 25附录G(资料性) 主要源代码静态分析技术 .27附录H(资料性) 软件供应链安全评价方案- .29附录I(资料性) 评价依据 31附录J(资料性) 软件供应链安全评价报告. -32参考文献. 34
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由中共重庆市委网络安全和信息化委员会办公室提出、归口并组织实施.
本文件起草单位:数盾奇安(重庆)科技有限公司、重庆市质量和标准化研究院、工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)、中共重庆市委网络安全和信息化委员会办公室、重庆技术有限公司、中兴通讯股份有限公司、重庆市璧山区党政信息中心、重庆兴农融资担保集团有限公司、 市地矿测绘院有限公司、重庆西算大数据有限公司、重庆市互联网新闻研究中心、重庆若可网络安全测评先进操作系统创新中心(天津)有限公司、重庆依企莱科技发展有限公司、重庆数字城市科技有限公司、西南大学、重庆邮电大学、重庆理工大学、重庆交通大学、重庆中医药学院、重庆倍得林企业管理咨询有限公司、重庆恒扬禾信息技术有限公司、中国汽车工程研究院股份有限公司、中国烟草总公司重庆市公司、重庆三峡银行股份有限公司、马上消费金融股份有限公司、重庆奇安信科技有限公司、重庆市中冉数字科 技有限公司.
本文件主要起草人:陈震宇、张彬哲、魏振国、郭威、李吉音、赵东、高二金、张波、毛艳、李蒙、马渊、李坪芮、王旭钢、王婷、陶永沛、何秋跃、胡涛、姜敏、黄建洪、高巍、王欢欢、陈雨阳、股玲玲、杨先赞、雷剑梅、范开伟、宋海燕、刘家鑫、缪如燕、蒋洪志、韩熙、李宁、王悠悠、舒坤贤、刘颖、米 波、卢军、唐明、杨秀峰、田进、冯欣、周洋、张力、陈阔、马培月、颜洁、王慧维、王梦洲、陈青扬.
软件供应链安全技术评价指南
1范围
本文件提供了软件供应链安全技术评价工作的指导,给出了安全技术评价的概述、准备阶段、方案编制阶段、实施阶段和报告总结阶段的相关信息.
开展软件供应链安全技术测评或测试提供依据. 本文件适用于软件规划设计、开发实施及其运行维护过程中的安全技术评价工作,可为第三方机构
2规范性引用文件
仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款,其中,注日期的引用文件,文件.
GB/T25069信息安全技术术语GB/T34943C/C语言源代码漏洞测试规范GB/T34944Java语言激代码漏润测试规范 GB/T34946C#语言源代码漏洞测试规范
3术语和定义
GB/T25069、GB/T34943、GB/T34944、GB/T34946界定的以及下列术语和定义适用于本文件.
3. 1
软件供应链安全技术评价software supply chain security evaluation
应用风险框架,对软件生命周期过程中面临的各类安全风险,进行测试评估的活动. 评价专业机构根据评价委托单位的评价目标、评价范围等,按照国家与地方法律法规及有关标准,
注:本文件所指的软件供应链安全风险主要包括编码过程、开源组件、工具等技术性风险.
3. 2
评价对象targetofevaluation
软件供应链安全评价工作涉及的业务软件、APP应用等.
评价模块moduleofevaluation
评价对象所包含的自建源代码、开源组件及扩展安全等具体评价工作模块.
4缩略语
下列缩略语适用于本文件.API:应用程序编程接口(Application Programming Interface)
