论坛前瞻 一文读懂软件供应链和开源安全系列标准

头像
思否编辑部
     日本
    阅读 3 分钟
    中国信息通信研究院云计算与大数据研究所自 2019 年,以安全开发为切入点,开展软件供应链和开源安全相关研究工作并搭建标准体系。截至目前,由中国信息通信研究院牵头,广泛邀请包括金融、互联网、运营商、软件厂商、安全厂商、工具厂商等个行业领域专家参与,共同编制了 1 项国家标准、3 项行业标准和 7 项团体标准,具体如下图。同时依托标准展开测试评估工作,目前已有累计 50 余家企业的产品通过测试评估。

    软件供应链和开源安全系列标准将于 10 月 28 日 2025 OSCAR 开源产业大会 软件供应链与开源安全论坛上进行解读。同时,欢迎对软件供应链和开源安全系列评估的企业与我们联系!
    image.png

    国家标准

    【1】GB/T 43848-2024 网络安全技术 软件产品开源代码安全评价方法

    标准范围覆盖软件产品中开源代码成分安全的评价要素和评价规程,评价要素涵盖开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理。标准的实施将帮助企业系统化地评估和管理开源代码的安全风险,提升软件产品的整体安全性,降低由于开源代码漏洞引发的安全事件的风险。

    行业标准

    【1】可信研发运营安全能力成熟度模型

    标准规定了可信研发运营安全能力成熟度模型参考框架,分为管理制度以及涉及软件应用服务全生命周期的要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段和下线阶段九大部分,每个部分提取了关键安全要素,规范了企业研发运营安全能力的成熟度水平。

    【2】静态应用程序安全测试工具能力要求

    标准规定了静态应用程序安全测试工具的基本能力要求,涵盖扫描分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分。

    【3】交互式应用程序安全测试工具能力要求

    标准规定了交互式应用程序安全测试工具的基本能力要求,涵盖检测分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分。

    团体标准

    【1】软件供应链安全管理要求

    标准从供需双方视角出发,针对软件供应链全生命周期,围绕软件供应链引入安全管控及交付应用安全管控两大环节,从软件来源、软件安全合规、软件资产管理、服务支持、安全应急响应五大维度梳理关键要素,进行安全管理要求规范。

    【2】软件物料清单总体能力要求

    软件物料清单指软件成分列表,通过明确识别和详细记录软件组件及其相互关系以提升软件透明度,从而增强软件供应链的安全管理能力。标准明确了软件物料清单构建数据层、生成层、交付层、应用层四大维度。

    【3】软件物料清单配套工具能力要求

    软件物料清单工具用于生成、管理和转译软件物料清单,有助于提高软件项目的可维护性、可靠性和安全性,是提升软件供应链管理能力的重要工具之一。标准涵盖生成能力要求、管理分析能力要求、转译能力要求、基本能力要求四大部分。

    【4】面向供应链的信息技术产品通用安全能力要求

    标准聚焦保护软件供应链安全目标,面向具体信息技术产品及服务,从安全功能要求、安全保障要求两大维度,针对供应链场景下信息技术产品安全能力要求进行规范。

    【5】软件供应链制品管理平台能力要求

    软件供应链制品管理平台确保了制品的一致性和可追溯性,是测试和生产部署的可信来源,在软件开发生命周期中发挥着至关重要的作用。标准从制品库管理、制品动态管理、制品安全管理、制品信息管理、通用安全能力要求、扩展能力要求六大维度,对软件供应链制品管理平台能力要求进行规范。

    【6】研发运营安全平台能力要求

    研发运营安全(DevSecOps)平台及工具秉承安全前置理念,将安全工作融入软件开发的各个阶段,标准从平台管理、安全开发、安全交付、安全运营四个维度,提取关键通用安全能力,对研发运营安全(DevSecOps)平台及工具能力要求进行规范。

    【7】运行时应用程序自我保护工具能力要求

    运行时应用程序自我保护工具可注入到应用程序中,与应用程序融为一体,进行实时监测、阻断攻击,使程序自身拥有自保护的能力,标准从检验分析能力要求、工具灵活性能力要求、分析辅助能力要求、工具扩展性能力要求、部署能力要求、安全性能力要求、服务支持能力要求对运行时应用程序自我保护工具能力要求进行规范。

    【8】智能化安全测试工具系列标准

    基于原有安全测试工具标准,除功能层面和性能层面外,针对智能化能力进行具体规范,涵盖《智能化静态应用程序安全测试(AI SAST)工具能力要求》、《智能化运行时应用程序自我保护(AI RASP)工具能力要求》等。

    会议概况

    大会精心策划了主论坛及多场专题分论坛,内容覆盖央国企实践、开源商业化、开源项目及社区、软件供应链与开源安全、人工智能开源等热点议题,发布多项行业标准与权威报告。大会议程现已正式发布,八大亮点全面揭晓,诚邀您携手参与,共绘开源发展新蓝图。

    会议时间:2025 年 10 月 28 日
    主办单位:中国通信标准化协会
    承办单位:中国信息通信研究院
    会议形式:线下会议
    会议地点:北京·中关村国家自主创新示范区展示交易中心-会议中心

    开源开源项目介绍
    思否编辑部
    4.8k 声望117k 粉丝

    思否编辑部官方账号,欢迎私信投稿、提供线索、沟通反馈。

    « 上一篇
    2025 OSCAR 分论坛抢先看!工业软件、具身智能开源探索、AI 时代开源商业运营……你想知道的都在这里!
    下一篇 »
    Dexmal 原力灵机:开源 Dexbotic,落下具身智能的“第三十七手”

    引用和评论

    推荐阅读
    头像
    鸿蒙人物志 x 秦骏:从分布式能力到用户体验

    思否编辑部12阅读 55.4k评论 4

    头像
    2025 中国技术先锋年度评选正式启动!

    SegmentFault思否1阅读 11.7k评论 1

    头像
    VeloxCon China 2025 议程抢先看

    思否编辑部2阅读 10.3k评论 1

    头像
    VeloxCon 2025 完整议程发布!

    思否编辑部阅读 8.9k

    头像
    2025 年度 OSCAR “开源+”开源商业化专题典型案例征集工作进行中!

    思否编辑部阅读 5.5k

    头像
    良心产品- Mac 上最强卸载清理工具(开源) Mole 小鼹鼠

    冉冉同学阅读 3.7k

    头像
    GitHub Star 排名靠前的 AI 开源项目推荐(Java 版)

    JEECG低代码平台1阅读 1.7k

    0 条评论
    得票最新