ICS35.240.01 CCSL78 团 体 标 准 T/CSAC021-2025T/CSAC 信息与通信技术产品供应链安全测试方法 Testingmethodsforinformationandcommunicationtechnologyproductsupply chainsecurity 2025-07-08发布 2025-08-08实施 中国网络空间安全协会  发布 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC021—2025 I目  次 前  言..............................................................................II 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4缩略语...............................................................................3 5概述.................................................................................3 5.1总体框架.........................................................................3 5.2总体流程.........................................................................4 6软件成分安全测试.....................................................................4 6.1分析对象.........................................................................4 6.2技术分析项.......................................................................5 7二进制软件基因安全测试...............................................................5 7.1分析对象.........................................................................6 7.2技术分析项.......................................................................6 8容器镜像安全测试.....................................................................6 8.1分析对象.........................................................................6 8.2技术分析项.......................................................................6 9静态应用安全测试.....................................................................7 9.1分析对象.........................................................................7 9.2技术分析项.......................................................................7 10动态应用安全测试....................................................................8 10.1分析对象........................................................................8 10.2技术分析项......................................................................8 11产品测试结果........................................................................9 11.1结果分析........................................................................9 11.2报告编制........................................................................9 附录A（资料性）软件物料清单必要字段.................................................10 参考文献..............................................................................12 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC021—2025 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国网络空间安全协会提出并归口。 本文件起草单位：公安部第三研究所、中国太平洋保险（集团）股份有限公司、上海德昶安测技术 服务有限公司、上海证券交易所、国泰君安证券股份有限公司、中国工商银行数据中心、上海东航数字 科技有限公司、核电运行研究（上海）有限公司、国网江苏省电力有限公司电力科学研究院、上海计算 机软件技术开发中心、中国电信股份有限公司江苏分公司、联通（山西）产业互联网有限公司、中电智 安科技有限公司、南方电网数字电网集团信息通信科技有限公司、中移（杭州）信息技术有限公司、四 川中锐信息技术有限公司、中国交通信息科技集团有限公司、广东亿迅科技有限公司、物产中大数字安 全科技（浙江）有限公司、中国移动通信集团河北有限公司、大庆中基石油通信建设有限公司、山东省 网安数字科技有限公司、广西广电大数据科技有限公司、华测检测认证集团股份有限公司、墨菲未来科 技（北京）有限公司、南京众安信息科技有限公司、上海齐同信息科技有限公司、北京安普诺信息技术 有限公司、浙江路为科技有限公司、杭州安恒信息技术股份有限公司、上海斗象信息科技有限公司。 本文件主要起草人：丁建华、梁镇远、王光泽、黄菊、李俊斌、高峰1、杨木超、魏东、樊芳、李 佶、李进明、郑洲豪、成辰、聂智戈、杨万禄、朱宏亮、东明、曾峥、游江东、顾智敏、郭雅娟、吴建 华、毛争艳、徐倩华、俞少华、鲍亮、盛小宝、陈晓霖、张鹤、魏丽萍、夏卿、蔡倩楠、许敏、魏渊、 殷正伟、霍建、刘艺、高磊、赵武清、高峰2、陈平、王楹、陈艺坤、邵艾青、胡健、朱凌军、姜博文、 易剑光、杨为旭、王明玺、刘波、甘泉、徐江、章华鹏、苗叶、曹育生、张涛、黄廷嵩、袁明坤、郑永 强。 1高峰中国太平洋保险（集团）股份有限公司 2高峰四川中锐信息技术有限公司 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC021-2025 1信息与通信技术产品供应链安全测试方法 1范围 本文件规定了信息与通信技术产品供应链安全测试的技术规范，包括开展软件成分安全测试、二进 制软件基因安全测试、动态应用安全测试、静态应用安全测试、容器镜像安全测试等。 本文件适用于信息与通信技术产品供应链安全技术检查，适用于网络运营者选择信息与通信技术产 品，开展安全测试时提供参考，适用于信息与通信技术产品提供者为规避产品中开源组件、后门、源代 码安全、安全漏洞等安全风险提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069-2022信息安全技术术语 GB/T36475-2018软件产品分类 GB/T36637-2018信息安全技术ICT供应链安全风险管理指南 GB/T43698-2024网络安全技术软件供应链安全要求 3术语和定义 GB/T25069-2022、GB/T36475-2018、GB/T36637-2018以及GB/T43698-2024中界定的以及下列术 语和定义适用于本文件。 3.1 软件成分softwarec