GB/T 43698-2024《网络安全技能 软件供应链安全要求》先容 ...

在数字化浪潮席卷环球的当下，软件已深度融入社会生活的每一处角落，成为推动各行业发展的关键气力。然而，随着软件供应链的结构愈发复杂，其安全问题也日益凸显，恶意代码注入、第三方组件弊端利用等威胁层出不穷，给数字经济的稳健发展带来了严峻挑战。在此背景下，GB/T 43698-2024《网络安全技能 软件供应链安全要求》于 2024 年 4 月正式发布，并于同年 11 月 1 日起开始实施，为软件供应链安全防护体系的建立提供了重要支持。​

尺度下载地址

国家尺度|GB/T 43698-2024

尺度诞生的背景与意义​

数字化时代，软件供应链从需求设计伊始，历经开辟、部署等多个环节，每一步都存在安全隐患。开源技能的广泛应用以及对第三方组件的高度依赖，在提拔软件开辟效率的同时，也让监管难度大幅增加。一旦软件供应链遭受攻击，不仅会导致数据泄漏、体系瘫痪等严峻后果，还可能引发连锁反应，影响整个行业乃至社会的正常运转。我国高度重视软件供应链安全问题，陆续出台了一系列政策法规，开展专项行动，并发布相关国家尺度，GB/T 43698 - 2024 便是其中的重要一环。该尺度的诞生，旨在创建起一套完善的软件供应链安全风险管理本领体系，加强软件供应链各到场方在风险管理、组织管理和供应活动管理等方面的本领，为保障软件供应链安全提供坚固的规范依据。​
尺度目次

尺度文档包罗以下内容

尺度的焦点内容分析​

确立软件供应链安全目标​
该尺度首要任务便是确立清晰且全面的软件供应链安全目标，力求确保软件在整个生命周期内的安全性、完备性与可用性。这意味着从软件的开辟构思阶段，到终极停止使用的废止环节，每个阶段都必须满足严格的安全要求，杜绝安全弊端与隐患的出现，保障软件体系稳定可靠地运行，防止因软件问题导致的各类风险。​
软件供应链安全风险管理要求​
软件供应链安全风险管理是保障软件安全的焦点环节。尺度要求软件供应链中的供需双方需全面识别、评估和应对在软件供应链各个环节可能出现的安全风险。在开辟环节，要鉴戒开辟工具被污染、代码中存在弊端或后门等风险；交付环节则需防范软件在传输过程中被篡改、数据泄漏等问题；使用环节要注意软件是否存在兼容性风险，以及可能遭受的外部攻击等。通过体系性的风险识别，运用科学的评估方法量化风险等级，并据此订定切实可行的风险应对策略，将风险控制在可接受范围内。​
供需双方的组织管理安全要求​

• 机构管理：无论是软件的需方还是供方，都要明确管理机构或人员的详细职责，为软件供应链安全管理工作提供富足的资源支持，构建详细且公道的管理图谱。在一些对安全要求极高的重要场景下，宜设立专职的安全管理机构，确保安全管理工作的专业性与持续性。​
  
• 制度管理：需订定涵盖资产管理、风险识别与处置、监测评估、供应活动安全、人员管理、供应商管理、知识产权管理等多方面的总体方针与制度策略。完善的制度体系是软件供应链安全管理的底子，它为各项管理工作提供明确的指导原则与操作规范，使管理活动有章可循。​
  
• 人员管理：对到场软件供应链的人员，要明确其所需具备的专业本领，公道划分职责权限，定期开展全面的安全培训，提高人员的安全意识与专业素养。同时，创建规范的人员交接清理机制，在涉及焦点业务的场景中，宜配备专业的安全保障团队，并对关键人员进行背景调查，确保人员具备良好的风险防范本领，防止因人员失误或违规操作引发安全问题。​
  
• 供应商管理：需对供应商进行分类分级，创建详细的供应商目次并实施有效管理。优先选择符合软件供应链安全要求的供应商，对其进行全面的风险分析，要求供应商配合安全检测评估工作，接受审查。在供应商发生变更时，要及时评估变更可能带来的风险，并提前订定替代方案，保障软件供应链的稳定运行。​
  

• 知识产权管理：软件行业知识产权问题尤为重要。供需双方都要积极防范知识产权法律风险，深入相识并妥善管理软件相关的知识产权。在焦点业务场景中，宜对知识产权进行全面分析识别，订定相应的应对方案，制止因知识产权纠纷影响软件项目的推进与软件供应链的安全。​
  

供需双方的供应活动管理安全要求​

• 基本流程：软件供需双方创建供应关系之初，就要明确详细的安全要求，并签订具有法律效力的保密协议。在后续的合作过程中，严格按照约定开展各项管理工作，确保双方在软件供应链活动中的行为符合安全规范。​
  
• 软件采购：软件需方在进行软件采购时，应邀请行业专家到场招标过程，明确软件的功能与安全图谱要求，订定科学公道的安全需求基线，确定软件的授权使用期限。同时，要确保软件泉源的多样性，降低对单一供应商的依赖，并要求供方提供软件安全性的验证途径，保障采购软件的质量与安全。​
  
• 软件获取：软件获取阶段，需方要对软件进行端到端的完备性验证，开展全面的安全检测评估，确保软件不存在未修复的弊端。对于定制研发的软件，要掌握其关键信息，获取相关的授权和须要资料，确保软件的合法合规使用，制止潜在的安全风险。​
  
• 软件运维：软件运维是保障软件恒久稳定运行的关键环节。需确定详细的运维方案，保障软件的稳定可用，创建完备的可追溯台账，对软件资产进行有效管理，公道设置运维人员权限。定期评估处置授权超期风险，检测运维过程中的相关安全风险，及时收集并报告风险信息，订定完善的规复策略，同时做好数据安全工作，对软件的外联网络进行及时检测分析，确保软件运行环境的安全。​
  

• 软件废止：当软件达到使用寿命或因其他缘故原由须要废止时，要订定科学的处理规程，移除软件相关的敏感信息，保障软件废止后的安全性。要求供方支持数据迁移工作，按照相关尺度妥善销毁数据，在软件废止完成后，进行全面检测，确保软件废止工作彻底到位，防止因软件废止不当引发的数据泄漏等安全问题。​
  

尺度带来的广泛影响​

GB/T 43698 - 2024 作为国内首个面向软件供应链安全领域的国家尺度，具有极其重要的影响力。它为软件供应链中的供需双方开展风险管理、组织管理和供应活动管理提供了明确且过细的指导，使得软件供应链安全管理工作有了统一的规范与尺度，有助于提拔整个软件行业的安全管理程度。对于第三方机构而言，该尺度为其开展软件供应链安全检测和评估提供了权威依据，促进了软件供应链安全检测与评估市场的规范化发展。同时，主管监管部门也可依据此尺度，对软件供应链安全工作进行更有效的监视管理，及时发现并办理软件供应链中的安全问题，为我国数字经济的康健发展保驾护航。​
GB/T 43698 - 2024《网络安全技能 软件供应链安全要求》尺度的发布与实施，是我国在软件供应链安全领域的重要办法。它将有力推动软件供应链安全防护体系的建立与完善，提高软件供应链各到场方的安全意识与管理本领，有效防范软件供应链安全风险，为我国软件产业的高质量发展以及数字经济的繁荣稳定奠定坚固底子。在未来的数字化发展历程中，该尺度必将持续发挥重要作用，助力我国在环球软件供应链安全竞争中占据有利地位。​

通过使用软件成分分析和同源弊端检测工具可以帮助企业保障软件供应链安全，符合GB/T 43698-2024尺度提到的内容。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。