ICS 35. 240. 01 CCS L78 TCSAO 中华人民共和国 团体标准 T/CSAC004—2024 软件供应链安全要求测评方法 Testing and evaluating method for software supply chain security requirements 2024 - 7 - 31 发布 2024－7－31实施 中国网络空间安全协会 发布 T/CSAC004—2024 软件供应链安全要求测评方法 1范围 本文件确定了供需双方组织管理和供应活动管理安全要求的测评指标、测评对象和测评流程。 本文件适用于指导软件供应链中的供需双方开展软件供应链安全测评，可为第三方机构提供测评依 据，也可为主管监管部门提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069—2022 信息安全技术术语 GB/T43698一2024网络安全技术软件供应链安全要求 3术语和定义 GB/T25069一2022和GB/T43698一2024中界定的以及下列术语和定义适用于本文件。 3. 1 供应关系supplier relation 需方和供方之间为开展业务、提供软件产品而建立的协议、合同等契约关系。 注：在供应链中，上游的需方同时也是下游的供方。 ［来源：GB/T43698-2024,3.5] 3. 2 供应活动supply activity 需方和供方为维持日常生产基于供应关系进行的软件采购、开发、获取、交付、运维、废止等活动 的总称。 ［来源：GB/T 43698-2024,3.6] 3. 3 软件供应链 E software supply chain 需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形 成的网链结构。 [来源：GB/T43698-2024,3.7] 3. 4 软件供应链安全图谱software supply chain security graph 1 T/CSAC004—2024 软件产品信息、软件物料清单、安全信息等内容及其关联关系的描述和表示。 注：一般以文本形式存储，支持通过知识图谱方式展示。 ［来源：GB/T 43698-2024,3.9] 4概述 4.1测评指标 GB/T43698-2024中供需双方组织管理和供应活动管理的每条安全要求。 4.2测评对象 测评指标涉及的人员、机构、制度、文件、软件产品等。 4.3测评方法 测评方法主要包括以下三种： a）访谈：测评人员通过引导软件供应链安全保护能力测评相关人员进行有目的的交流，帮助测评 人员理解、澄清或取得证据，从而判定是否满足指标要求； b）核查：测评人员通过对测评对象，如制度、文件、软件产品等进行观察、查验和分析、帮助测 评人员理解、澄清或取得证据，从而判定是否满足指标要求； c）检测：测评人员使用完整性校验、访问控制分析、源代码安全缺陷检测、二进制代码漏洞分析 以及软件成分分析等技术使测评对象产生特定的结果，通过结果与预期结果比对，从而判定是否满足测 评指标要求。 4.4测评结果 测评结果包括： a）完全符合：通过对测评对象的访谈、核查或检测，满足所有预期结果； b）部分符合：通过对测评对象的访谈、核查或检测，满足部分预期结果； c）不符合：通过对测评对象的访谈、核查或检测，不满足任何预期结果； d）不涉及：与测评指标的所有内容不相关， 4.5测评流程 采用测评方法对测评对象实施访谈、核查或检测并给出测评结果的过程。 4.6测评结论 参考GB/T43698-2024附录D对软件供应链安全图谱级别的划分，汇总测评结果给出如下测评结论： 不少于测评总项数的80%，软件供应链安全图谱符合基础级图谱要求； b）软件供应链安全保障能力达到通用级：组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%，软件供应链安全图谱符合通用级要求； c）软件供应链安全保障能力达到增强级：组织管理和供应活动安全要求完全符合及部分符合项数 不少于测评总项数的80%，软件供应链安全图谱符合增强级要求。 5需方软件供应链安全要求测评方法 2