近年来,针对开源组件的供应链安全攻击急剧增加,开源组件供应链安全事件造成的影响更加广泛和严重,因此掌握应用软件使用的组件底数,摸清组件关联关系、组件漏洞和风险隐患情况变得至关重要。软件成分分析系统能够分析软件成分,形成软件物料清单,检测软件许可合规问题,发现开源组件漏洞情况,降低由软件成分带来的安全和合规风险,提升供应链整体安全防护水平。软件成分分析系统已成为保障关键信息基础设施、重要网络和信息系统软件供应链安全的重要工具。
《软件成分分析系统技术规范》从安全功能要求、自身安全要求、环境适应性要求、安全保障要求四大维度出发,围绕软件物料清单管理、软件成分风险分析、数据安全、通信安全等核心能力指标展开。主要包括:软件成分识别、漏洞风险分析、投毒风险分析、开源许可合规风险分析、供应链连续性分析、集成配置、自身安全和安全保障等内容。本规范的指标分为基本级和增强级,可用于软件成分分析系统的分级检测评估。
为验证《软件成分分析系统技术规范》内容的科学性、合理性和可用性,等保中心对第一批软件成分分析系统进行了检测评估,通过软件成分分析系统检测评估工作,衡量了各种软件成分分析系统的检测能力,规范了软件成分分析系统的检测功能,提升了软件成分分析系统的整体安全技术能力。
等保中心将继续推进供应链安全检测评估工作,进一步完善检测标准和评估体系,欢迎更多企业积极参与,共同构建安全、可信的软件供应链环境。
证书查询网站:
https://www.cspec.org.cn/
服务地址:北京市海淀区阜成路58号新洲商务大厦701B
联系人:马思远,电话:18612539896。
供应链安全检测系列技术规范介绍之二|应用软件供应链安全
关注我们
原文始发于微信公众号(公安部网络安全等级保护中心):供应链安全检测系列技术规范介绍之一|软件成分分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论