В эпоху цифровых технологий программное обеспечение определяет все, и оно стало одним из самых основных элементов, поддерживающих нормальное функционирование общества. Благодаря постоянному развитию индустрии программного обеспечения и разработки программного обеспечения программное обеспечение содержит все больше и больше программных файлов и динамических библиотек, IP-адреса, URL-адреса и другие элементы, к которым осуществляется доступ, становятся все более и более многочисленными, а взаимные зависимости становятся все более распространенными. может вызвать ряд проблем с безопасностью. Как только проблема возникает в определенном элементе цепочки поставок программного обеспечения, она, вероятно, напрямую затрагивает все программное обеспечение в цепочке поставок программного обеспечения. Сложные цепочки поставок программного обеспечения затрудняют защиту общей безопасности информационные системы становятся больше. Еще в 2016 году в Национальной стратегии безопасности киберпространства, опубликованной Администрацией киберпространства Китая, уже предлагалось «укрепить основу сетевой безопасности, придерживаться инновационного развития и как можно скорее совершить прорыв в основных технологиях». Обратите внимание на безопасность программного обеспечения и ускорить разработку безопасных и надежных продуктов». «Продвигать приложения», включить безопасность программного обеспечения в стратегические задачи сетевой безопасности и открыть эпоху безопасности цепочки поставок программного обеспечения. Безопасность цепочки поставок программного обеспечения стала отдельным подразделением безопасности и постепенно признан обществом. В целях дальнейшего уточнения целей безопасности цепочки поставок программного обеспечения и направления здорового и быстрого развития отрасли в 2021 году Министерство промышленности и информационных технологий выпустило уведомление о «14-й пятилетке развития программного обеспечения». и индустрии услуг информационных технологий» в главе, посвященной мерам безопасности. «Проводить оценку и анализ безопасности данных программного обеспечения и безопасности контента, укреплять возможности обнаружения исходного кода программного обеспечения и управления уязвимостями безопасности, а также улучшать возможности предотвращения и контроля рисков безопасности при использовании открытых исходный код и сторонний код. Поощряйте сторонние сервисные агентства активно совершенствовать возможности консультирования и обучения, тестирования, сертификации, аудита, эксплуатации и обслуживания по безопасности программного обеспечения, а также других услуг. Безопасность цепочки поставок программного обеспечения должна быть частью культуры безопасности организации. , а эффективный механизм обнаружения безопасности может способствовать систематическому развитию безопасности цепочки поставок программного обеспечения. Этот документ сочетает в себе практичность и масштабируемость, определяет процесс обнаружения технологий безопасности цепочки поставок программного обеспечения, структуру рисков и модули обнаружения, а также полностью объясняет меры по предотвращению рисков, которые могут быть задействованы в процессе обнаружения, предоставляя справочную информацию для содействия обнаружению технологий безопасности в кратчайшие сроки. насколько это возможно. В проекте тестирования безопасности цепочки поставок программного обеспечения этот документ содержит рекомендации по спецификациям процесса технического тестирования и элементам тестирования.Конкретное содержание тестирования также может быть персонализировано на основе национальных стандартов, отраслевых стандартов и отраслевых спецификаций, таких как GB/T39412-2020, GB. /T30998-2014 и т. д. на заказ. Хотя в этом документе основное внимание уделяется определению и рекомендациям по использованию методов статического обнаружения с помощью автоматизированных инструментов, возможное ручное обнаружение и динамическое обнаружение также полностью стандартизированы и объяснены в процессе. Этот документ является одним из стандартов серии испытаний «Безопасность цепочки поставок программного обеспечения». Ожидается, что структура и название этой серии стандартов будут следующими:
——«Технические спецификации тестирования безопасности цепочки поставок программного обеспечения» (настоящий стандарт) -- " Спецификации тестирования управления безопасностью цепочки поставок программного обеспечения» 》 — «Комплексные рекомендации по тестированию безопасности цепочки поставок программного обеспечения» — «Технические требования к платформам тестирования безопасности для компонентов с открытым исходным кодом безопасности цепочки поставок программного обеспечения» — «Руководство по созданию среды тестирования безопасности для Тестирование исходного кода безопасности цепочки поставок программного обеспечения" -- "Безопасность цепочки поставок программного обеспечения "Руководство по вынесению решений по обнаружению высокого риска" -- "Требования к учреждениям по тестированию безопасности цепочки поставок программного обеспечения" -- "Руководство по процессам тестирования безопасности цепочки поставок программного обеспечения"
T/CQCIO 001-2023 История
2023T/CQCIO 001-2023 Спецификации тестирования технологий безопасности цепочки поставок программного обеспечения
2022T/CQCIO 001-2022 Руководство по предоставлению комплексных консультационных услуг для государственных проектов информатизации
2021T/CQCIO 001-2021 Стандарты оценки эффективности государственных проектов по информатизации. Часть 1: Общий спрос.