在数字化浪潮席卷全球的当下,软件已深度融入社会生活的每一处角落,成为推动各行业发展的关键力量。然而,随着软件供应链的结构愈发复杂,其安全问题也日益凸显,恶意代码注入、第三方组件漏洞利用等威胁层出不穷,给数字经济的稳健发展带来了严峻挑战。在此背景下,GB/T 43698-2024《网络安全技术 软件供应链安全要求》于 2024 年 4 月正式发布,并于同年 11 月 1 日起开始实施,为软件供应链安全防护体系的建设提供了重要支撑。
标准下载地址
标准诞生的背景与意义
数字化时代,软件供应链从需求设计伊始,历经开发、部署等多个环节,每一步都存在安全隐患。开源技术的广泛应用以及对第三方组件的高度依赖,在提升软件开发效率的同时,也让监管难度大幅增加。一旦软件供应链遭受攻击,不仅会导致数据泄露、系统瘫痪等严重后果,还可能引发连锁反应,影响整个行业乃至社会的正常运转。我国高度重视软件供应链安全问题,陆续出台了一系列政策法规,开展专项行动,并发布相关国家标准,GB/T 43698 - 2024 便是其中的重要一环。该标准的诞生,旨在建立起一套完善的软件供应链安全风险管理能力体系,增强软件供应链各参与方在风险管理、组织管理和供应活动管理等方面的能力,为保障软件供应链安全提供坚实的规范依据。
标准目录
标准文档包含以下内容
标准的核心内容剖析
确立软件供应链安全目标
该标准首要任务便是确立清晰且全面的软件供应链安全目标,力求确保软件在整个生命周期内的安全性、完整性与可用性。这意味着从软件的开发构思阶段,到最终停止使用的废止环节,每个阶段都必须满足严格的安全要求,杜绝安全漏洞与隐患的出现,保障软件系统稳定可靠地运行,防止因软件问题导致的各类风险。
软件供应链安全风险管理要求
软件供应链安全风险管理是保障软件安全的核心环节。标准要求软件供应链中的供需双方需全面识别、评估和应对在软件供应链各个环节可能出现的安全风险。在开发环节,要警惕开发工具被污染、代码中存在漏洞或后门等风险;交付环节则需防范软件在传输过程中被篡改、数据泄露等问题;使用环节要注意软件是否存在兼容性风险,以及可能遭受的外部攻击等。通过系统性的风险识别,运用科学的评估方法量化风险等级,并据此制定切实可行的风险应对策略,将风险控制在可接受范围内。
供需双方的组织管理安全要求
- 机构管理:无论是软件的需方还是供方,都要明确管理机构或人员的具体职责,为软件供应链安全管理工作提供充足的资源支持,构建详细且合理的管理图谱。在一些对安全要求极高的重要场景下,宜设立专职的安全管理机构,确保安全管理工作的专业性与持续性。
- 制度管理:需制定涵盖资产管理、风险识别与处置、监测评估、供应活动安全、人员管理、供应商管理、知识产权管理等多方面的总体方针与制度策略。完善的制度体系是软件供应链安全管理的基础,它为各项管理工作提供明确的指导原则与操作规范,使管理活动有章可循。
- 人员管理:对参与软件供应链的人员,要明确其所需具备的专业能力,合理划分职责权限,定期开展全面的安全培训,提高人员的安全意识与专业素养。同时,建立规范的人员交接清理机制,在涉及核心业务的场景中,宜配备专业的安全保障团队,并对关键人员进行背景调查,确保人员具备良好的风险防范能力,防止因人员失误或违规操作引发安全问题。
- 供应商管理:需对供应商进行分类分级,建立详细的供应商目录并实施有效管理。优先选择符合软件供应链安全要求的供应商,对其进行全面的风险分析,要求供应商配合安全检测评估工作,接受审查。在供应商发生变更时,要及时评估变更可能带来的风险,并提前制定替代方案,保障软件供应链的稳定运行。
- 知识产权管理:软件行业知识产权问题尤为重要。供需双方都要积极防范知识产权法律风险,深入了解并妥善管理软件相关的知识产权。在核心业务场景中,宜对知识产权进行全面分析识别,制定相应的应对方案,避免因知识产权纠纷影响软件项目的推进与软件供应链的安全。
供需双方的供应活动管理安全要求
- 基本流程:软件供需双方建立供应关系之初,就要明确具体的安全要求,并签订具有法律效力的保密协议。在后续的合作过程中,严格按照约定开展各项管理工作,确保双方在软件供应链活动中的行为符合安全规范。
- 软件采购:软件需方在进行软件采购时,应邀请行业专家参与招标过程,明确软件的功能与安全图谱要求,制定科学合理的安全需求基线,确定软件的授权使用期限。同时,要确保软件来源的多样性,降低对单一供应商的依赖,并要求供方提供软件安全性的验证途径,保障采购软件的质量与安全。
- 软件获取:软件获取阶段,需方要对软件进行端到端的完整性验证,开展全面的安全检测评估,确保软件不存在未修复的漏洞。对于定制研发的软件,要掌握其关键信息,获取相关的授权和必要资料,确保软件的合法合规使用,避免潜在的安全风险。
- 软件运维:软件运维是保障软件长期稳定运行的关键环节。需确定详细的运维方案,保障软件的稳定可用,建立完整的可追溯台账,对软件资产进行有效管理,合理配置运维人员权限。定期评估处置授权超期风险,检测运维过程中的相关安全风险,及时收集并报告风险信息,制定完善的恢复策略,同时做好数据安全工作,对软件的外联网络进行实时检测分析,确保软件运行环境的安全。
- 软件废止:当软件达到使用寿命或因其他原因需要废止时,要制定科学的处理规程,移除软件相关的敏感信息,保障软件废止后的安全性。要求供方支持数据迁移工作,按照相关标准妥善销毁数据,在软件废止完成后,进行全面检测,确保软件废止工作彻底到位,防止因软件废止不当引发的数据泄露等安全问题。
标准带来的广泛影响
GB/T 43698 - 2024 作为国内首个面向软件供应链安全领域的国家标准,具有极其重要的影响力。它为软件供应链中的供需双方开展风险管理、组织管理和供应活动管理提供了明确且细致的指导,使得软件供应链安全管理工作有了统一的规范与标准,有助于提升整个软件行业的安全管理水平。对于第三方机构而言,该标准为其开展软件供应链安全检测和评估提供了权威依据,促进了软件供应链安全检测与评估市场的规范化发展。同时,主管监管部门也可依据此标准,对软件供应链安全工作进行更有效的监督管理,及时发现并解决软件供应链中的安全问题,为我国数字经济的健康发展保驾护航。
GB/T 43698 - 2024《网络安全技术 软件供应链安全要求》标准的发布与实施,是我国在软件供应链安全领域的重要举措。它将有力推动软件供应链安全防护体系的建设与完善,提高软件供应链各参与方的安全意识与管理能力,有效防范软件供应链安全风险,为我国软件产业的高质量发展以及数字经济的繁荣稳定奠定坚实基础。在未来的数字化发展进程中,该标准必将持续发挥重要作用,助力我国在全球软件供应链安全竞争中占据有利地位。
通过使用软件成分分析和同源漏洞检测工具可以帮助企业保障软件供应链安全,符合GB/T 43698-2024标准提到的内容。