新闻详情

News

软件开发安全、供应链安全系列国家政策和标准解读
行业动态
2022-06-29

软件开发安全、供应链安全系列国家政策和标准解读


数字化时代,是“软件定义一切”的时代,软件已然成为人类社会基础设施的一部分,与个人生活、社会民生、国家发展高度融合。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为了保障软件开发安全、供应链安全,国家和行业出台了诸多政策、标准,来规范和落地相关软件安全要求。


一、国家政策规划

1、《国家网络空间安全战略》

提出夯实网络安全基础坚持创新驱动发展,尽快在核心技术上取得突破。重视软件安全,加快安全可信产品推广应用。

2、《新时期促进集成电路产业和软件产业高质量发展若干政策》

提出鼓励软件企业执行软件质量、信息安全、开发管理等国家标准。提高集成电路和软件质量,增强行业竞争力。

3、《网络安全产业高质量发展三年行动计划(2021-2023年)》

提出加强共性基础支撑。加快发展源代码分析、组件成分分析等软件供应链安全工具,提升网络安全产品安全开发水平。

4、《“十四五”软件和信息技术服务业发展规划》

提出深入实施国家软件发展战略,强化国家软件重大工程引领作用,补齐短板、锻造长板,提升关键软件供给能力,加快繁荣开源生态,夯实产业发展基础,提高产业链供应链现代化水平。 


二、国家法律条例

1、《网络安全审查办法》

要求为了确保关键信息基础设施供应链安全,维护国家安全,对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应进行网络安全审查。

2、《关键信息基础设施安全保护条例》

明确指出运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。


三、国家标准体系

1、《信息安全技术-网络安全等级保护基本要求GB/T 22239-2019

该标准针对第二、三、四级别保护对象的安全建设管理要求所涵盖的“自行软件开发”和“外包软件开发”分等级提出明确要求。自行软件开发要求包含开发环境、安全性测试、软件开发管理制度、代码编写安全规范、软件设计文档和使用指南、程序资源库管理、开发人员管理要求;外包软件开发要求包含软件交付前恶意代码检测、开发单位提供软件设计文档和使用指南、开发单位提供软件源代码,并审查软件中可能存在的后门和隐藏信道。

2、《应用软件安全编程指南》GB/T 38674-2020

该标准提出了应用软件安全编程的通用框架,从提升软件安全性的角度对应用软件编程过程进行指导。

3、《代码安全审计规范》GB/T 39412-2020

该标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。

4、《信息安全技术-ICT 供应链安全风险管理指南》GB/T 36637—2018

标准在通用风险管理模型基础上,提出了ICT 供应链风险管理过程,细化风险管理的步骤和实施细则,提出了供应链完整性保护、可追溯性等技术安全措施,以及制度和人员管理、供应链生命周期管理、采购外包与供应商管理等管理安全措施。

5、《信息安全技术-信息技术产品供应方行为安全准则》GB/T 32921—2016

标准规定了信息技术产品供应方在提供信息技术产品过程中,为保护用户相关信息,维护用户信息安全应遵守的基本准则,分别从用户相关信息收集和处理的安全、远程控制用户产品的安全和其他行为安全等方面提出相关安全要求。

6、《信息安全技术-政府部门信息技术服务外包信息安全管理规范》GB/T 32926—2016

标准建立了政府部门信息技术服务外包信息安全管理模型,明确了服务外包信息安全管理角色和责任,将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段,提出具体信息安全管理要求。

7、《信息安全技术-云计算服务安全能力要求》GB/T 31168—2014

标准提出了云服务商应具备的技术能力,适用于对政府部门使用的云计算服务进行安全管理。标准从重要设备安全检测情况,重要信息系统、组件获服务的供应链保护措施情况,供应商情况等方面对云服务商的供应链安全提出要求。

8、《信息安全技术-信息技术产品供应链安全要求(报批稿)

标准规定了信息技术产品在供应链方面的安全要求包括产品供应方在产品运维、用户数据保护等方面的安全要求产品在设计、研发、生产、运维等方面的安全要求。

9、《信息安全技术-软件供应链安全要求(草案)

标准通过对软件供应链的特殊性及其所面临的安全风险进行分析,制定软件供应链安全要求,规定软件产品供应链所涉及的相关要素安全要求,包括软件供应链组织管理要求及开发、交付、使用等环节的安全要求。