2025软件供应链安全政策汇编报告

上海德昶安测技术服务有限公司 上海德昶安测技术服务有限公 软件供应链安全政策汇编 供应链安全能力分中心（上海） 上海德昶安测技术服务有限公司 2025年2月 上海德昶安测技术服务有限公司 上海德昶安测技术服务有限公 目录 1背景1 2软件供应链安全法规汇编3 21国外政策法规3 22国内政策法规7 23行业标准9 附1：GBT436982024《网络安全技术软件供应链安全要求》10 供应链安全能力分中心（上海）33 上海德昶安测技术服务有限公司 上海德昶安测技术服务有限公 1背景 数字化时代，软件已成为支撑现代社会运行的核心元素，并形成供、需方之间传递软件产品及服务全过程的复杂软件供应链结构。该网链系统从需求设计到开发、部署的全生命周期均可引入安全隐患，恶意代码注入、第三方组件漏洞利用、供应链攻击等威胁事件频发，软件供应链安全问题正呈现出复杂化、高危化的严峻态势。2024年7月，Gartner发布《Leader’sGuidetoSoftwareSupplyChainSecurity》并预测，软件供应链攻击造成的损失将从2023年的460亿美元上升到 2031年的1380亿美元。《2024中国软件供应链安全分析报告》显示，针对调研的1763个国内企业软件项目，开源软件使用率达100，平均每个软件项目使用166个开源软件。 监管层面同样面临重重挑战：开源技术的泛在化应用模糊了责任边界，第三方组件依赖导致供应链透明度不足，且现有政策法规对软件开发、交付、运维等环节的约束机制尚未完全覆盖。2024年7月的微软“蓝屏”事件更是向全世界敲响软件供应链安全防护的警钟，在这种背景下，构建软件供应链安全体系已成为维护网络空间主权、保障数字经济健康发展的战略要务。 面对严峻的软件供应链安全威胁，我国高度重视，从国家战略层面统筹推进防护体系建设。2016年，国家互联网信息办公室发布《国家网络空间安全战略》并提出“重视软件安全，加快安全可信产品推广应用”，将软件安全纳入网络安全战略任务。2022年，《网络安全审查办法》和《关键信息基础设施安全保护要求》分别从顶层政策方面对关基行业软件供应链安全提出要求，将软件供应链安全提升至国家战略高度。此后，中央网信办牵头建立“五个统筹”工作机制，从政策引导、标准制定、技术攻关等多维度发力，形成关基领域供应链安全防护的良好局面。此外，公安部还通过“护网”等专项行动强化软件供应链攻击应对能力，引导行业提升代码审计、渗透测试等技术防护水平。2024年4月，国内首个针对软件供应链安全的国家标准GBT436982024《网络安全技术软件供应链安全要求》正式发布，标志着我国软件供应链安全治理水平迈向新的高度。 未来，我国将从被动防御转向主动治理，着力构建覆盖“开发交付运行”软 上海德昶安测技术服务有限公司 上海德昶安测技术服务有限公 件供应链全周期的动态防护体系，为数字中国建设筑牢安全根基。 针对日益突出的软件供应链安全问题，上海供应链安全能力分中心于2024 年8月成立软件供应链安全标准专班，配合公安部推动软件供应链安全标准体系的建立与完善。专班采用“扁平化职能小组”模式，高效响应各类标准制定需求。专班由德昶安测总经理杨木超担任组长，成员覆盖多个供应链安全专业领域，通过协调配置各类行业资源，助力供应链标准体系建立工作稳步推进。 专班自成立以来主要围绕供应链安全标准研究与制定，行业标准贯标与推广落地等两个方面开展工作，其中： （1）标准研究与制定 开展行业调研与分析，梳理软件供应链安全现状、痛点及法律法规要求，配合公安三所完成标准草案编制及申报工作。在标准制定过程中，经过充分的专家论证与意见征集，通过多轮评审修订，确保标准的权威性与可落地性。 （2）标准推广与落地 构建“标准宣贯工具赋能”双轮驱动模式，通过报告和推文发布、行业峰会宣讲及定制化培训来提升标准认知度，同步开发“供应链安全评估系统（一企一档）”自动化工具，提供软件供应链安全合规检测与治理的全流程支持，促进标准的广泛应用和有效落地。 专班自成立以来，协助公安部第三研究所编制并提报供应链安全相关标准16项，其中团标2项，地标1项，行标11项，国标2项。目前，标准制定和申请工作仍在稳步推进中。专班积极配合有关单位的执法检查工作，协助公安三所深度参与公安部供应链安全专项检查推广、考核和总结的全流程，协助上海市局网安对全市供应链安全风险开展扫描检测，从监管测推动软件供应链安全业务推向深入。专班依托各大行业协会成立的供应链安全专委会，发布数字供应链安全行业倡议，并联合市区两级网安、网信部门及属地企业多次举办技术交流沙龙活动。通过供应链安全相关标准解读、技术分享及案例推广等形式，构建可持续发展的软件供应链安全生态。 上海德昶安测技术服务有限 昶安测技术服务有限公司 2软件供应链安全法规汇编 本文梳理了截至2025年1月，国内外出台的部分与软件供应链安全相关的政策法规和标准规范，为行业同仁提供参考。 21国外政策法规 序号 发布时间 政策或标准 关键内容 1 2022年3月 国际 ISO280002022《供应链安全管理体系》 从供应商角度入手，规定信息技术产品供应方的行为安全准则。 2 2022年6月 ISOIEC2703622022《网络安全供应商关系》 对供应商的管理流程、风险评价提出相关安全要求。 3 2023年11月 ISOIEC20243《信息技术开放可信技术提供商标准（OTTPS）》 针对信息通信技术硬件和软件在产品生命周期内面临的完整性威胁，特别是恶意和仿冒组件带来的安全风险，提供了一套应对准则、方针和建议。 4 2008年1月 美国 《国家网络安全综合计划（CNCI）》 要求在产品、系统和服务的整个生命周期内综合应对国内和全球供应链风险。 5 2014年12月 《网络供应链管理和透明度法案》 确保为美国政府开发或购买的使用第三方或开源组件以及用于其他目的的任何软件、固件或产品的完整性。 6 2018年9月 《国家网络战略》 要求改进联邦供应链风险管理过程，提出在联邦机构采购和风险管理流程中整合供应 上海德昶安测技术服务有限 昶安测技术服务有限公司 序号 发布时间 政策或标准 关键内容 链风险管理的要求。 7 2018年12月 《联邦采购供应链安全法案2018》 设立了新的联邦采购安全理事会，授权其为联邦供应链安全制定规则，以增强联邦采购和采购规则的网络安全弹性。 8 2019年5月 第13873号《确保信息通信技术与服务供应链安全行政令》 宣布美国进入受信息威胁的国家紧急状态，禁止美国个人和各类实体购买和使用被美国认定为可能给美国带来安全风险的外国设计制造的ICT技术设备和服务。 9 2021年2月 第14017号《美国供应链行政令》 要求联邦机构对关键领域和行业的全球供应链进行审查。 10 2021年5月 第14028号行政命令《关于改善国家网络安全》 明确要求美国联邦政府加强软件供应链安全管控，标志着美国正式启动软件供应链安全相关工作。 11 2021年7月 《软件物料清单（SBOM）的最低要求》 NTIA的SBOM最低要求通过结构化数据、自动化工具链和标准化流程，为软件供应链安全提供了可操作的框架，其核心目标是实现组件的透明化追踪与风险管控。 12 2022年2月 NISTSP800218《安全软件开发框架（SSDF）v11》 提供安全软件开发框架（SSDF），整合了缓解软件漏洞风险的最佳实践，涵盖供应链风险管理和漏洞管理，支持行政令14028，帮助开发者和采购方提升软件安全。 13 2022年2月 《根据EO14028第4e节指定的软件供应链安全指导》 是NIST在EO14028框架下强化软件供应链安全的核心措施之一，帮助联邦机构工作人员在采购软件时，向软件生产商索取安全开发实践的信息。与同期发布的《安全 上海德昶安测技术服务有限 昶安测技术服务有限公司 序号 发布时间 政策或标准 关键内容 软件开发框架（SSDF）v11》共同构成技术标准。 14 2022年5月 NISTSP800161《系统和组织的网络安全供应链风险管理实践指南》 为CII运营者有效管理供应链安全风险提供了识别与评估风险以及选择与实施控制措施的方法和流程，为组织提供了在建立供应链内外部网络安全风险管理能力的实践参考。 15 2022年9月 M2218号备忘录《通过安全软件开发实践增强软件供应链安全》 白宫管理和预算办公室要求供应商产品需提供以证明其符合安全软件开发框架的文档。 16 2022年10月 《保护软件供应链的实操指南》 美国国家安全局（NSA）、网络安全及基础设施安全局（CISA）、国家情报总监办公室（ODNI）携手发布了该指南，主要提及软件供应商在供应链中所需要承担的责任和改进方法。 17 2023年3月 《2023年国家网络安全战略》 指出美国行政管理和预算局（OMB）将与美国网络安全和基础设施安全局（CISA）协调制定行动计划，通过集体防御、扩大集中式共享服务的可用性和软件供应链风险缓解来保护FCEB系统。 18 2023年6月 M2316号备忘录《通过安全软件开发实践增强软件供应链安全》 上海德昶安测技术服务有限 昶安测技术服务有限公司 序号 发布时间 政策或标准 关键内容 19 2024年2月 《NIST网络安全框架（CSF）20》 重点关注治理和软件供应链问题。CSF20框架围绕六个关键功能（识别、保护、检测、响应、恢复和治理）提供了丰富的资源以加速框架的实施与落地。 20 2024年3月 《软件供应链安全指南》 国家标准与技术研究院（NIST）发布，指南强调安全软件开发实践应在整个软件生命周期中进行整合，以减少已发布软件中的漏洞数量，并解决造成脆弱性的根本原因。 21 2024年3月 《软件安全开发证明表》 要求为联邦部门提供服务的第三方软件提供商，填报《软件安全开发证明表》内容上报自我安全证明。 22 2013年2月 欧盟 《欧盟网络安全战略》 要求采取措施确保用于关键服务和基础设施的硬件和软件值得信赖和安全可靠。 23 2015年8月 《供应链完整性：ICT供应链风险和挑战概述和未来愿景》 ENISA对《供应链完整性：ICT供应链风险和挑战概述，以及发展方向愿景》的更新，建议建立统一的ICT供应链安全风险评估框架来开展ICT供应链安全评估工作。 24 2021年7月 《供应链攻击威胁情景图》 ENISA对供应链攻击进行了分类，并对从2020年1月到7月初的24起供应链攻击事件进行了研究，对供应链攻击者来源、攻击手段、攻击目标以及应对措施进行分析。 25 2023年1月 《关于在欧盟范围内实现高水平共同网络安全措施的指令》（NIS2指令） 欧洲议会通过NIS2指令提案，强化关键信息和通信技术的供应链网络安全。成员国可与委员会和ENISA合作，对关键供应链进行风险评估。 26 2024年10月 《网络弹性法案》 欧盟委员会发布，法案要求所有出口欧洲的数字化产品都必须提供安全保障、软件物料清单SBOM、漏洞报告机制，以及提供安全补丁和更新。 上海德昶安测技术服务有限 昶安测技术服务有限公司 22国内政策法规 序号 发布时间 政策或标准 关键内容 1 2016年11月 法律法规 《网络安全法》 分别从网络审查、网络产品和服务安全角度对供应链安全提出要求。 2 2019年7月 《云计算服务安全评估办法》 要求重点评估云平台技术、产品和服务供应链安全情况，申请安全评估的云服务商应提交业务连续性和供应链安全报告。 3 2020年4月 《网络安全审查办法》 要求对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应进行网络安全审查。 4 2021年7月 《关键信息基础设施安全保护条例》 运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。 5 2009年9月 相关标准 GBT244202009《供