软件供应链是一个全球分布的、具有供应商多样性、产品服务复杂性、全流程覆盖等诸多特点的复杂系统,在软件供应链各个供应活动中均可能引入安全隐患,导致软件漏洞、软件后门、恶意篡改、假冒伪劣、知识产权风险、供应中断、信息泄露等安全风险。
随着软件的复杂度不断提高,软件产品内部开发过程中产生的以及从上游继承的软件漏洞无法避免,这些软件漏洞可能被攻击者利用,对软件以及计算机系统造成严重的安全风险。
在此背景下,近日,全国信息安全标准化技术委员会发布了《信息安全技术 软件供应链安全要求》(征求意见稿)(以下简称《安全要求》)。
《安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
《安全要求》指出,软件供应链安全目标是识别和防范供应关系和供应活动中面临的安全风险,提升软件供应链安全保障能力,主要包括:
针对组织管理,《安全要求》提出相应的安全要求。
机构管理:
制度管理:
点击下方阅读原文,获取《信息安全技术 软件供应链安全要求》全文。