En la era digital, el software lo define todo y se ha convertido en uno de los elementos más básicos que sustentan el funcionamiento normal de la sociedad. Con el desarrollo continuo de la industria del software y la ingeniería de software, el software contiene cada vez más archivos de programa y bibliotecas dinámicas, las IP, URL y otros elementos a los que se accede son cada vez más abundantes, y las dependencias mutuas son cada vez más comunes. puede causar una serie de problemas de seguridad. Una vez que ocurre un problema en un determinado elemento de la cadena de suministro de software, es probable que afecte directamente a todo el software en la cadena de suministro de software. Las cadenas de suministro de software complejas dificultan la protección de la seguridad general de sistemas de información cada vez más grandes. Ya en 2016, la Estrategia Nacional de Seguridad del Ciberespacio emitida por la Administración del Ciberespacio de China ya había propuesto "solidificar las bases de la seguridad de la red, adherirse al desarrollo impulsado por la innovación y lograr avances en las tecnologías centrales lo antes posible". seguridad del software y acelerar el desarrollo de productos seguros y confiables". "Promover aplicaciones", incorporar la seguridad del software en las tareas estratégicas de seguridad de la red y abrir una era de seguridad de la cadena de suministro de software. La seguridad de la cadena de suministro de software se ha convertido en una subdivisión de seguridad separada y gradualmente reconocido por la sociedad. Con el fin de aclarar aún más los objetivos de seguridad de la cadena de suministro de software y orientar el desarrollo sano y rápido de la industria, en 2021, el Ministerio de Industria y Tecnología de la Información emitió el aviso del "14º Plan Quinquenal para el Desarrollo de Software y la industria de servicios de tecnología de la información" en el capítulo sobre medidas de salvaguardia. "Llevar a cabo evaluaciones y revisiones de la seguridad de los datos y del contenido del software, fortalecer la detección del código fuente del software y las capacidades de gestión de vulnerabilidades de seguridad, y mejorar las capacidades de control y prevención de riesgos de seguridad en el uso de tecnologías abiertas. código fuente y código de terceros. Alentar a las agencias de servicios de terceros a mejorar activamente la consultoría y capacitación en seguridad del software, pruebas, certificación, auditoría, operación y mantenimiento y otras capacidades de servicio". La seguridad de la cadena de suministro de software debe ser parte de la cultura de seguridad de la organización Y un mecanismo eficaz de detección de seguridad puede promover el desarrollo sistemático de la seguridad de la cadena de suministro de software. Este documento combina practicidad y escalabilidad, define el proceso de detección de tecnología de seguridad de la cadena de suministro de software, el marco de riesgo y los módulos de detección, y explica completamente las medidas para evitar riesgos que pueden estar involucradas en el proceso de detección, proporcionando una referencia para promover la detección de tecnología de seguridad lo antes posible. como sea posible. En el proyecto de pruebas de seguridad de la cadena de suministro de software, este documento proporciona orientación sobre las especificaciones del proceso de pruebas técnicas y los elementos de prueba. El contenido de las pruebas específicas también se puede personalizar según los estándares nacionales, los estándares de la industria y las especificaciones de la industria, como GB/T39412-2020, GB. /T30998-2014, etc. hecho a medida. Aunque este documento se centra en definir y recomendar el uso de métodos de detección estática con herramientas automatizadas, la posible detección manual y la detección dinámica también están completamente estandarizadas y explicadas en el proceso. Este documento es uno de los estándares de la serie de pruebas "Seguridad de la cadena de suministro de software". Se espera que la estructura y el nombre de esta serie de estándares sean los siguientes:
——"Especificaciones de pruebas técnicas de seguridad de la cadena de suministro de software" (este estándar) -- " Especificaciones de pruebas de gestión de seguridad de la cadena de suministro de software" 》 - "Pautas de prueba integrales para la seguridad de la cadena de suministro de software" - "Requisitos técnicos para plataformas de prueba de seguridad para componentes de código abierto de seguridad de la cadena de suministro de software" - "Pautas para crear un entorno de pruebas de seguridad para Pruebas de código fuente de seguridad de la cadena de suministro de software" - "Directrices de seguridad de la cadena de suministro de software para juicios de detección de alto riesgo" - "Requisitos para las instituciones de pruebas de seguridad de la cadena de suministro de software" - "Directrices para los procesos de prueba de seguridad de la cadena de suministro de software"
T/CQCIO 001-2023 Historia
2023T/CQCIO 001-2023 Especificaciones de prueba de tecnología de seguridad de la cadena de suministro de software
2022T/CQCIO 001-2022 Lineamientos para servicios de consultoría de todo el proceso para proyectos de informatización gubernamental.
2021T/CQCIO 001-2021 Estándares para la evaluación del desempeño de proyectos de informatización gubernamental. Parte 1: Demanda común