1ICS35.040CCSL80DB50重慶市市場監(jiān)督管理局發(fā)布IDB50/T1809—2025前言 III 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 15概述 25.1評價過程 25.2風(fēng)險框架 25.3評價模塊 25.4評價工作風(fēng)險規(guī)避 36評價準(zhǔn)備階段 36.1一般條件 36.2工作過程 46.3主要工作任務(wù) 46.4輸入/輸出文檔 57方案編制階段 67.1一般條件 67.2工作過程 67.3主要工作任務(wù) 77.4輸入/輸出文檔 88評價實施階段 88.1一般條件 88.2工作過程 98.3主要工作任務(wù) 98.4輸入/輸出文檔 9報告總結(jié)階段 9.1一般條件 9.2工作過程 9.3主要工作任務(wù) 9.4輸入/輸出文檔 附錄A（資料性）軟件供應(yīng)鏈安全技術(shù)評價活動流程 附錄B（資料性）軟件供應(yīng)鏈技術(shù)安全風(fēng)險 14附錄C（資料性）軟件供應(yīng)鏈安全技術(shù)評價要素 18DB50/T1809—2025附錄D（規(guī)范性）范圍與目標(biāo)確認(rèn)表 22附錄E（規(guī)范性）開源組件及源代碼調(diào)研表 附錄F（資料性）初步評價對象列表 附錄G（資料性）主要源代碼靜態(tài)分析技術(shù) 27附錄H（資料性）軟件供應(yīng)鏈安全評價方案 29附錄I（資料性）評價依據(jù) 附錄J（資料性）軟件供應(yīng)鏈安全評價報告 參考文獻(xiàn) DB50/T1809—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中共重慶市委網(wǎng)絡(luò)安全和信息化委員會辦公室提出、歸口并組織實施。本文件起草單位：數(shù)盾奇安（重慶）科技有限公司、重慶市質(zhì)量和標(biāo)準(zhǔn)化研究院、工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心（工業(yè)和信息化部信息中心）、中共重慶市委網(wǎng)絡(luò)安全和信息化委員會辦公室、重慶市地礦測繪院有限公司、重慶西算大數(shù)據(jù)有限公司、重慶市互聯(lián)網(wǎng)新聞研究中心、重慶若可網(wǎng)絡(luò)安全測評技術(shù)有限公司、中興通訊股份有限公司、重慶市璧山區(qū)黨政信息中心、重慶興農(nóng)融資擔(dān)保集團(tuán)有限公司、先進(jìn)操作系統(tǒng)創(chuàng)新中心（天津）有限公司、重慶依企萊科技發(fā)展有限公司、重慶數(shù)字城市科技有限公司、西南大學(xué)、重慶郵電大學(xué)、重慶理工大學(xué)、重慶交通大學(xué)、重慶中醫(yī)藥學(xué)院、重慶倍得林企業(yè)管理咨詢有限公司、重慶恒揚禾信息技術(shù)有限公司、中國汽車工程研究院股份有限公司、中國煙草總公司重慶市公司、重慶三峽銀行股份有限公司、馬上消費金融股份有限公司、重慶奇安信科技有限公司、重慶市中冉數(shù)字科技有限公司。本文件主要起草人：陳震宇、張彬哲、魏振國、郭威、李吉音、趙東、高二金、張波、毛艷、李蒙、馬淵、李坪芮、王旭鋼、王婷、陶永沛、何秋躍、胡濤、姜敏、黃建洪、高巍、王歡歡、陳雨陽、殷玲玲、楊先赟、雷劍梅、范開偉、宋海燕、劉家鑫、繆如燕、蔣洪志、韓熙、李寧、王悠悠、舒坤賢、劉穎、米波、盧軍、唐明、楊秀峰、田進(jìn)、馮欣、周洋、張力、陳闊、馬培月、顏潔、王慧維、王夢洲、陳青揚。DB50/T1809—20251軟件供應(yīng)鏈安全技術(shù)評價指南本文件提供了軟件供應(yīng)鏈安全技術(shù)評價工作的指導(dǎo)，給出了安全技術(shù)評價的概述、準(zhǔn)備階段、方案編制階段、實施階段和報告總結(jié)階段的相關(guān)信息。本文件適用于軟件規(guī)劃設(shè)計、開發(fā)實施及其運行維護(hù)過程中的安全技術(shù)評價工作，可為第三方機(jī)構(gòu)開展軟件供應(yīng)鏈安全技術(shù)測評或測試提供依據(jù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T34943C/C＋＋語言源代碼漏洞測試規(guī)范GB/T34944Java語言源代碼漏洞測試規(guī)范GB/T34946C#語言源代碼漏洞測試規(guī)范3術(shù)語和定義GB/T25069、GB/T34943、GB/T34944、GB/T34946界定的以及下列術(shù)語和定義適用于本文件。3.1軟件供應(yīng)鏈安全技術(shù)評價softwaresupplychainsecurityevaluation評價專業(yè)機(jī)構(gòu)根據(jù)評價委托單位的評價目標(biāo)、評價范圍等，按照國家與地方法律法規(guī)及有關(guān)標(biāo)準(zhǔn)，應(yīng)用風(fēng)險框架，對軟件生命周期過程中面臨的各類安全風(fēng)險，進(jìn)行測試評估的活動。注：本文件所指的軟件供應(yīng)鏈安全風(fēng)險主要包括編碼過程、開源組3.2評價對象targetofevaluation軟件供應(yīng)鏈安全評價工作涉及的業(yè)務(wù)軟件、APP應(yīng)用等。3.3評價模塊moduleofevaluation評價對象所包含的自建源代碼、開源組件及擴(kuò)展安全等具體評價工作模塊。4縮略語下列縮略語適用于本文件。API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）2APP:移動互聯(lián)網(wǎng)應(yīng)用程序(Application)GPL:通用公共授權(quán)(GeneralPublicLicense)LGPL:較寬松公共許可證(LesserGeneralPublicLicense)SBOM:軟件物料清單(SoftwareBillofMaterials)XSS:跨站腳本(Cross-SiteScripting)5.1評價過程包括評價準(zhǔn)備、方案編制、評價實施和報告總結(jié)等四個階段。技術(shù)評價過程宜根據(jù)評價專業(yè)機(jī)構(gòu)與評價委托單位之間協(xié)商結(jié)果，調(diào)整相應(yīng)工作階段及各階段的任務(wù)。各階段主要工作任務(wù)和詳細(xì)工作流程見附錄A。5.2風(fēng)險框架在軟件供應(yīng)鏈各個供應(yīng)活動中均可能引入安全隱患，導(dǎo)致軟件供應(yīng)鏈存在符合性風(fēng)險、技術(shù)風(fēng)險與管理風(fēng)險。如圖1所示，軟件供應(yīng)鏈符合性風(fēng)險主要包括軟件供應(yīng)鏈的長期支持、知識產(chǎn)權(quán)、信創(chuàng)工程等國家及各行業(yè)、各領(lǐng)域共同關(guān)注的風(fēng)險；軟件供應(yīng)鏈技術(shù)風(fēng)險可能會進(jìn)一步導(dǎo)致軟件漏洞、軟件后門、惡意篡改、信息泄露等安全風(fēng)險；軟件供應(yīng)鏈管理風(fēng)險主要關(guān)注流程、管理、人員、供應(yīng)商、環(huán)境等安全風(fēng)險。其他風(fēng)險見附錄B。軟件供應(yīng)鏈符合性風(fēng)險圖1軟件供應(yīng)鏈風(fēng)險框架5.3評價模塊包括源代碼安全評價、開源組件安全評價和擴(kuò)展安全評價(見圖2)。源代碼安全評價針對自開發(fā)軟件編寫代碼安全進(jìn)行評價(見附錄C.2)。開源組件安全評價針對開源平臺、開源組件進(jìn)行評價(見3圖2軟件供應(yīng)鏈安全技術(shù)評價模塊5.4評價工作風(fēng)險規(guī)避在軟件供應(yīng)鏈安全技術(shù)評價工作中，可能會引發(fā)業(yè)務(wù)中斷、業(yè)務(wù)服務(wù)能力下降、敏感信息泄露、商業(yè)秘密泄露以及惡意代碼植入等危害。宜通過采取如下措施規(guī)避上述風(fēng)險：a)簽署評價項目授權(quán)協(xié)議。在評價工作正式開始前，宜簽署評價項目授權(quán)協(xié)議，明確評價工作的目標(biāo)、范圍、人員安排、工作內(nèi)容、工作流程、工作時間等；b)簽署安全保密協(xié)議。根據(jù)評價工作接觸的信息，相關(guān)機(jī)構(gòu)及人員宜簽署安全保密協(xié)議，約束評價過程信息采集、傳輸、存儲、使用、發(fā)布等行為；c)在線評價風(fēng)險規(guī)避。評價機(jī)構(gòu)宜采取足夠的安全措施，保證評價委托單位的代碼元數(shù)據(jù)、代碼、業(yè)務(wù)數(shù)據(jù)及個人信息等的安全；d)現(xiàn)場評價風(fēng)險規(guī)避。對于重大風(fēng)險情形，評價雙方宜聯(lián)合制定應(yīng)急預(yù)案；對于模糊測試、滲透測試等動態(tài)安全評價，宜配置環(huán)境一致的模擬系統(tǒng)，在模擬環(huán)境下完成評價工作；e)評價信息安全保護(hù)。評價涉及開源組件、開源模塊、源代碼等原始數(shù)據(jù)，如無特別約定，在工作完成后評價機(jī)構(gòu)宜在評價委托單位監(jiān)督下，按照規(guī)范流程清除數(shù)據(jù)。6評價準(zhǔn)備階段6.1一般條件6.1.1評價機(jī)構(gòu)評價機(jī)構(gòu)宜滿足以下條件：a)組建軟件供應(yīng)鏈安全技術(shù)評價項目工作組；b)準(zhǔn)備被評價對象基本情況調(diào)查表格；c)向評價委托單位相關(guān)責(zé)任人介紹軟件供應(yīng)鏈安全技術(shù)評價方法及流程；d)向評價委托單位說明軟件供應(yīng)鏈安全技術(shù)評價過程中可能存在的風(fēng)險和規(guī)避方法；e)初步分析被評價對象的安全狀況；f)準(zhǔn)備用于評價工作的平臺與工具。6.1.2評價委托單位4評價委托單位宜滿足以下條件：a)為評價機(jī)構(gòu)提供評價授權(quán)；b)向評價機(jī)構(gòu)介紹被評價對象的基本情況；c)提供評價機(jī)構(gòu)需要的相關(guān)材料；d)為評價人員的信息收集工作提供支持和協(xié)調(diào)；e)填寫被評價對象的基本情況調(diào)查表；f)根據(jù)被評價對象的具體情況，為評價時間和評價工作安排適宜的建議；g)牽頭制定應(yīng)急預(yù)案。6.2工作過程宜包括以下內(nèi)容：a)確保項目在預(yù)定時間內(nèi)順利開始；b)建立有效的項目溝通機(jī)制；c)明確項目的具體范圍和界限；d)初步確定項目關(guān)鍵信息、平臺與工具。評價準(zhǔn)備階段包括評價工作啟動、范圍與目標(biāo)確定、信息收集和分析和平臺與工具準(zhǔn)備等四個主要任務(wù)，工作流程見圖3。圖3評價準(zhǔn)備階段工作流程6.3主要工作任務(wù)6.3.1評價工作啟動由評價機(jī)構(gòu)與評價委托單位雙方項目負(fù)責(zé)人、技術(shù)專家等相關(guān)人員舉行項目啟動會。主要工作任務(wù)a)評價機(jī)構(gòu)根據(jù)評價項目授權(quán)協(xié)議中的項目范圍、項目目標(biāo)和項目規(guī)模，組建評價項目工作團(tuán)隊，并編制項目計劃書；b)評價機(jī)構(gòu)對評價委托單位的項目干系人員，進(jìn)行項目流程、評價手段、評價指標(biāo)的詳細(xì)講解，并對評價委托單位在項目中的配合工作開展簡單培訓(xùn)。5DB50/T1809—20256.3.2范圍與目標(biāo)確定包括評價范圍確定與評價目標(biāo)確定，評價范圍明確評價工作的對象范圍、模塊類型及規(guī)模，評價目標(biāo)確定評價工作的價值。主要工作任務(wù)宜包括：a)根據(jù)約定范圍，評價機(jī)構(gòu)按照《范圍與目標(biāo)確認(rèn)表》（見附錄D）收集并分析軟件、APP應(yīng)用、開發(fā)平臺、源代碼、開源組件等基本信息；b)由評價委托單位確定整體評價目標(biāo)，評價機(jī)構(gòu)根據(jù)整體評價目標(biāo)，編制各評價模塊目標(biāo)，各評價模塊目標(biāo)界限宜在整體評價目標(biāo)界限內(nèi)；c)評價雙方根據(jù)收集的基本信息，結(jié)合項目進(jìn)度、目標(biāo)、風(fēng)險等因素，確定最終評價范圍。6.3.3信息收集與分析評價機(jī)構(gòu)根據(jù)確定的評價目標(biāo)和評價范圍，詳細(xì)收集相應(yīng)信息，進(jìn)一步明確工作內(nèi)容的組成，主要工作任務(wù)宜包括：a)評價機(jī)構(gòu)明確評價對象信息，包括業(yè)務(wù)軟件、APP等使用情況、開發(fā)及維護(hù)文檔等信息；b)評價委托單位根據(jù)評價機(jī)構(gòu)提供的《開源組件及源代碼調(diào)研表》（見附錄E填寫開源組件、源代碼等信息；c)評價機(jī)構(gòu)分析調(diào)研表格后評價工作難易程度，參考軟件開發(fā)文檔，形成《初步評價對象列表》（見附錄F）；d)評價委托單位確認(rèn)《初步評價對象列表》。6.3.4平臺與工具準(zhǔn)備宜采取自動化評價與人工驗證相結(jié)合的方式，采用靜態(tài)分析技術(shù)進(jìn)行，評價方法主要為在線評價與現(xiàn)場評價。主要工作任務(wù)宜包括：a)評價機(jī)構(gòu)依據(jù)初步確定的評價對象列表、開源組件列表、自建代碼統(tǒng)計信息等確定評價方法；b)評價機(jī)構(gòu)根據(jù)確定的評價方法，選擇合適的評價平臺、評價工具、評價輔助工具與提供配套文檔等；c)評價機(jī)構(gòu)就評價方法、評價平臺使用中可能存在的風(fēng)險進(jìn)行提示，對評價委托單位相關(guān)人員開展評價平臺、評價工具的使用與風(fēng)險規(guī)避培訓(xùn)。6.4輸入/輸出文檔評價準(zhǔn)備階段主要輸入與輸出文檔見表1。表1評價準(zhǔn)備階段主要輸入/輸出文檔定析6DB50/T1809—2025表1評價準(zhǔn)備階段主要輸入/輸出文檔（續(xù)）注：文檔未包含應(yīng)急響應(yīng)相關(guān)文檔，必要時，評價雙方可參考GB/T24363—2009第6章，編制應(yīng)急預(yù)案。評價雙方也可根據(jù)項目實際情況，增減相應(yīng)的輸入/輸出文檔，簡7方案編制階段7.1一般條件7.1.1評價機(jī)構(gòu)評價機(jī)構(gòu)宜滿足以下條件：a)系統(tǒng)分析評價對象的組成、規(guī)模及工程難度；b)驗證評價工作平臺、評價相關(guān)工具的有效性、安全性；c)建議最終評價對象、評價模塊、評價方法；d)編制包含風(fēng)險規(guī)避計劃的評價實施方案。7.1.2評價委托單位評價委托單位宜滿足以下條件：a)為評價機(jī)構(gòu)分析提供資源支持；b)決定最終評價對象、評價模塊、評價方法；c)審核與確定評價實施方案。7.2工作過程宜包括以下內(nèi)容：a)界定評價的具體內(nèi)容；b)確定評價方法；c)明確評價的重難點與流程；d)識別評價過程中潛在的風(fēng)險點及規(guī)避方法。7.2.2流程包括評價對象確定、評價模塊確定、評價方法確定、評價方案編制和評價過程指南開發(fā)等五個主要任務(wù)，工作流程見圖4。7根據(jù)《初步評價對象列表》,分析評價對象的規(guī)模、構(gòu)成、特點，結(jié)合項目工作目標(biāo)等因素，確定b)分析初步評價對象列表的自建代碼規(guī)模、開源組件情況；b)按照識別的開源組件名稱、版本號等信息標(biāo)識開源組件；宜采用靜態(tài)分析技術(shù)對源代碼、開源組件等進(jìn)行評價評開源組件評價可提取軟件中開源組件的開源軟件標(biāo)識、維護(hù)a)確定是否完全采用靜態(tài)分析技術(shù)，如涉及動態(tài)分析技術(shù)，DB50/T1809—20258a)根據(jù)確定的評價模塊、評價方法，結(jié)合雙方協(xié)商風(fēng)險模型（見附錄B）及安全評價要素（見附錄C），確定評價內(nèi)容；b)估算在線評價、現(xiàn)場評價、報告編制及其配套后續(xù)活動工作難度和工作量；c)進(jìn)一步完善評價團(tuán)隊專業(yè)人員配置；d)編制評價工作計劃，包括：人員安排、進(jìn)度安排、評價內(nèi)容安排等；e)編制風(fēng)險規(guī)避計劃；f)雙方共同評審a）～e）內(nèi)容，匯總形成評價實施方案。7.3.5評價過程指南開發(fā)宜結(jié)合評價實施流程、風(fēng)險規(guī)避計劃編寫，宜直觀、詳實及具有可操作性。主要工作任務(wù)宜包括：a)根據(jù)評價目標(biāo)、評價模塊、評價方法等，確定具體評價單元；b)驗證評價模塊、評價單元劃分的合理性、可實施性；c)開發(fā)評價結(jié)果記錄表單模板；d)培訓(xùn)相關(guān)人員。7.4輸入/輸出文檔方案編制階段輸入與輸出文檔見表2。表2方案編制階段主要輸入/輸出文檔//注：本表的輸入文檔內(nèi)容中，省略了上一階段或上8評價實施階段8.1一般條件8.1.1評價機(jī)構(gòu)評價機(jī)構(gòu)宜滿足以下條件：a)實施安全評價，并記錄、分析結(jié)果；b)按照約定保護(hù)源代碼、開源組件等安全，并在評價完成后按要求處置相關(guān)資源；c)必要時，啟動并實施應(yīng)急預(yù)案；d)以正式會議形式，向評價委托單位匯報評價初步結(jié)論。9a)提供評價環(huán)境(搭建模擬環(huán)境)、評價資源(如最新代碼等)及評價配合人員；不會在系統(tǒng)中保留任何敏感信息),按需決定是否啟動應(yīng)急預(yù)案；包括實施準(zhǔn)備、評價執(zhí)行和初步結(jié)論等三個主要任務(wù)，工作流程見圖5。a)召開評價實施會議，雙方確認(rèn)風(fēng)險告知書，評價委托單位簽發(fā)評價實施開工授權(quán)；c)評價委托機(jī)構(gòu)搭建業(yè)務(wù)軟件或APP應(yīng)用模擬平臺，授權(quán)d)雙方確認(rèn)評價環(huán)境、軟件模擬環(huán)境、軟件代DB50/T1809—2025通過互聯(lián)網(wǎng)進(jìn)行安全評價，主要用于開源組件類模塊評價，在雙方確認(rèn)安全的情況下，也可用于源代碼安全評價。主要工作任務(wù)宜包括：a)使用評價平臺或評價輔助工具提取開源組件特征信息，并將特征信息上傳到評價平臺；b)根據(jù)評價實施方案、評價過程指南通過評價平臺實施在線評價；c)根據(jù)雙方約定處置開源特征碼；d)在確保安全前提下，提取源代碼，通過安全通道上傳平臺，對源代碼實施在線評價，并按照約定處置源代碼信息?，F(xiàn)場評價在評價委托單位指定場所實施評價活動，在指定場所搭建評價平臺，可用于所有模塊實施評價。主要工作任務(wù)宜包括：a)搭建評價平臺；b)測試評價平臺有效性；c)根據(jù)評價實施方案、評價過程指南通過評價平臺實施現(xiàn)場評價；d)根據(jù)雙方約定處置開源特征碼、源代碼；e)必要時，通過動態(tài)評價技術(shù)進(jìn)一步評價軟件安全性。8.3.3形成初步結(jié)論主要工作任務(wù)宜包括：a)雙方確定評價工作結(jié)束，并簽訂評價結(jié)束確認(rèn)書；b)匯總在線評價、現(xiàn)場評價所有評價結(jié)果；c)召開正式會議交換評價過程、初步結(jié)論信息。8.4輸入/輸出文檔評價實施階段輸入與輸出文檔見表3。表3評價實施階段主要輸入/輸出文檔//9報告總結(jié)階段9.1一般條件9.1.1評價機(jī)構(gòu)評價機(jī)構(gòu)宜滿足以下條件：a)分析并評價評價單元、模塊風(fēng)險等級；b)關(guān)聯(lián)分析并評價評價對象安全風(fēng)險；c)編制包含安全改進(jìn)建議的評價報告。9.1.2評價委托單位評價委托單位宜滿足以下條件：a)確認(rèn)評價單元、模塊、對象評價結(jié)果；b)審核并簽收評價報告；c)召開總結(jié)會議，確認(rèn)安全改進(jìn)風(fēng)險點。9.2工作過程宜包括以下內(nèi)容：a)形成全面、準(zhǔn)確的評價結(jié)論；b)匯報并溝通評價過程及結(jié)論。報告總結(jié)階段包括模塊風(fēng)險判定、整體風(fēng)險分析、評價報告編制和總結(jié)與建議等四個主要任務(wù)，工作流程見圖6。圖6報告總結(jié)工作流程9.3主要工作任務(wù)9.3.1模塊風(fēng)險判定根據(jù)模塊的各單元評價結(jié)論，客觀、準(zhǔn)確地綜合判定模塊風(fēng)險，并分析風(fēng)險的活動。判定可全程人工完成，也可借助一定工具輔助。主要工作任務(wù)宜包括：a)根據(jù)模塊，匯總評價單元記錄、漏洞列表等信息，綜合分析模塊風(fēng)險情況；b)雙方確認(rèn)各模塊風(fēng)險判定結(jié)果。DB50/T1809—20259.3.2整體風(fēng)險分析風(fēng)險分析過程可聘請有關(guān)專家參與。主要工作任務(wù)宜包括：a)對風(fēng)險進(jìn)行關(guān)聯(lián)分析，識別其相互關(guān)系和影響，根據(jù)分析結(jié)果得出整體風(fēng)險結(jié)論，并修正各模塊和單元的高中低風(fēng)險級別；b)確認(rèn)風(fēng)險之間依賴、耦合關(guān)系，對風(fēng)險進(jìn)行必要排序；c)必要時，根據(jù)風(fēng)險分析結(jié)果及約定的評價依據(jù)（參考附錄I），給出評價結(jié)論。9.3.3評價報告編制根據(jù)各類過程文檔與評價結(jié)論，編制報告，報告格式見附錄J。主要工作任務(wù)宜包括：a)報告編制，編寫詳細(xì)的報告草稿，確保所有相關(guān)信息和數(shù)據(jù)完整且準(zhǔn)確；b)組織報告評審，對評審意見進(jìn)行整理和反饋，修改并完善報告內(nèi)容；c)和評價委托單位確認(rèn)報告內(nèi)容，確保報告準(zhǔn)確反映評價結(jié)論。確認(rèn)無誤后，正式發(fā)布最終報告。9.3.4總結(jié)與建議根據(jù)評價過程與評價報告，總結(jié)評價工作，并對安全問題做簡要改進(jìn)建議，主要工作宜包括：a)以正式會議形式總結(jié)評價過程、評價結(jié)論，評價中的重點問題；b)對評價中必要的問題做改進(jìn)建議：包括改進(jìn)順序、改進(jìn)依賴、必須改進(jìn)內(nèi)容建議等；c)結(jié)束評價活動。9.4輸入/輸出文檔報告總結(jié)階段輸入與輸出文檔如見表4。表4報告總結(jié)階段主要輸入/輸出文檔//(資料性)軟件供應(yīng)鏈安全技術(shù)評價活動流程圖A.1給出了軟件供應(yīng)鏈安全技術(shù)評價四個階段涉及的活動流程。評價工作啟動評評價準(zhǔn)備階段范圍與目標(biāo)確定信息收集與分析平臺與工具準(zhǔn)備方方案編制階段評價實施階段報告總結(jié)階段評價模塊確定評價方法確定立評價方案編制評價過程指南開發(fā)實施準(zhǔn)備評價執(zhí)行正形成初步結(jié)論模塊風(fēng)險判定整體風(fēng)險分析豆評價報告編制立總結(jié)與建議圖A.1軟件供應(yīng)鏈安全技術(shù)評價活動流程DB50/T1809—2025（資料性）軟件供應(yīng)鏈技術(shù)安全風(fēng)險B.1概述主要包括軟件漏洞、軟件后門、惡意篡改、信息泄露和其他風(fēng)險，為方案編制提供參考。B.2輸入驗證和表示主要包括以下內(nèi)容：a)緩沖區(qū)溢出。通過使用計算機(jī)向緩沖區(qū)內(nèi)填充超過緩沖區(qū)本身的容量的數(shù)據(jù)位數(shù)，造成溢出數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。緩沖區(qū)溢出攻擊能導(dǎo)致程序運行失敗、系統(tǒng)宕機(jī)、重新啟動等。攻擊者甚至能利用緩沖區(qū)溢出執(zhí)行非授權(quán)指令，獲取系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。b)XSS。通過利用網(wǎng)頁開發(fā)時留下的漏洞，將惡意指令代碼注入應(yīng)用程序的響應(yīng)中，使用戶加載并執(zhí)行攻擊者惡意制造的程序。這些惡意程序可能包括病毒、蠕蟲、木馬等，它們會損害用戶的計算機(jī)和數(shù)據(jù)安全，或者執(zhí)行一些未經(jīng)授權(quán)的操作，如竊取用戶信息、破壞系統(tǒng)文件等。c)格式化字符串。格式化字符串漏洞發(fā)生的原因通常是格式化字符串中的占位符與實際提供的參數(shù)不匹配。攻擊者能通過構(gòu)造包含特定格式說明符的輸入字符串，來讀取和修改程序內(nèi)存中的敏感數(shù)據(jù)。格式化字符串漏洞的危害包括但不限于：信息泄露、代碼執(zhí)行、拒絕服務(wù)攻擊。d)日志偽造。系統(tǒng)后臺輸出的日志中包含前端用戶輸入的內(nèi)容時，用戶能輸入特定的符號或代碼，從而篡改日志中原本應(yīng)輸出的正常內(nèi)容。攻擊者可能向日志文件中注入代碼或其他命令，利用日志處理來執(zhí)行惡意行為。e)路徑操縱。攻擊者能通過用戶輸入來控制文件系統(tǒng)操作所用的路徑來訪問或修改其他受保護(hù)的系統(tǒng)資源，達(dá)到攻擊的目的。f)SQL注入。攻擊者在應(yīng)用程序的輸入字段中插入或注入惡意的SQL代碼，控制或操縱原本由應(yīng)用程序執(zhí)行的SQL查詢，繞過應(yīng)用程序的安全機(jī)制，直接與數(shù)據(jù)庫進(jìn)行交互。g)不安全的反射。攻擊者使用具有反射功能的外部輸入來選擇不正確的類或代碼，創(chuàng)建開發(fā)人員不想要的邏輯路徑，這些路徑可能會繞過身份驗證或訪問控制檢查，導(dǎo)致系統(tǒng)執(zhí)行未經(jīng)授權(quán)的代碼或命令、改變執(zhí)行邏輯、崩潰、退出或重啟。h)XML驗證。XML文件在處理過程中未經(jīng)過充分或正確的驗證，攻擊者利用未經(jīng)驗證的XML輸入來執(zhí)行惡意操作，如代碼注入、數(shù)據(jù)竊取或拒絕服務(wù)攻擊等。B.3API濫用主要包括以下內(nèi)容：a)危險函數(shù)。可能帶來安全風(fēng)險或潛在漏洞的函數(shù)，不當(dāng)使用可能導(dǎo)致系統(tǒng)安全漏洞。b)堆檢查。堆檢查不當(dāng)或未進(jìn)行，導(dǎo)致內(nèi)存逐漸積累，系統(tǒng)資源耗盡，程序性能下降，甚至系統(tǒng)崩潰。B.4安全特征DB50/T1809—2025主要包括以下內(nèi)容：a)不安全隨機(jī)數(shù)。使用不安全的隨機(jī)數(shù)生成算法或函數(shù)，帶來的安全問題包括但不限于：易于猜測的密碼、可預(yù)測的加密密鑰、會話劫持攻擊以及DNS欺騙等，可能導(dǎo)致敏感信息的泄露、未經(jīng)授權(quán)的訪問或系統(tǒng)資源的濫用等。b)最小權(quán)限。違反最小權(quán)限原則，攻擊者能執(zhí)行更高權(quán)限的操作，如讀取或修改敏感數(shù)據(jù)、執(zhí)行系統(tǒng)命令等。同時擁有過多權(quán)限的用戶或進(jìn)程可能訪問和泄露不應(yīng)公開的數(shù)據(jù)，帶來的安全問題包括但不限于隱私泄露、商業(yè)機(jī)密泄露。c)密碼管理。明文密碼、空密碼、硬編碼密碼、弱密碼削弱了系統(tǒng)安全性，可能導(dǎo)致個人隱私信息泄漏和財產(chǎn)損失。d)配置管理。配置管理貫穿于整個軟件生命周期，為軟件研發(fā)提供一套管理辦法和活動原則。不合規(guī)的配置管理可能導(dǎo)致敏感信息泄漏、重要數(shù)據(jù)丟失等危害。B.5代碼質(zhì)量主要包括以下內(nèi)容：a)雙重釋放。通過偽造整個內(nèi)存塊并欺騙操作系統(tǒng)，攻擊者利用這種漏洞來修改內(nèi)存內(nèi)容，進(jìn)而執(zhí)行惡意代碼或獲取敏感信息。b)實現(xiàn)不一致。同一功能或特性在不同地方或不同版本的軟件中有不同的實現(xiàn)方式或結(jié)果，帶來的安全問題包括但不限于：錯誤和缺陷、安全漏洞、兼容性問題。c)內(nèi)存泄漏。程序中已動態(tài)分配的堆內(nèi)存由于某種原因未釋放或無法釋放，造成系統(tǒng)內(nèi)存的浪費，導(dǎo)致程序運行速度減慢甚至系統(tǒng)崩潰等嚴(yán)重后果。d)空指針引用。攻擊者能通過構(gòu)造特定的輸入或請求，觸發(fā)程序中的空指針引用錯誤，使程序無法正常響應(yīng)其他請求或提供服務(wù)，或利用這種錯誤來訪問未授權(quán)的資源或篡改系統(tǒng)狀態(tài)。e)未初始化變量。未初始化變量可能包含敏感信息，如內(nèi)存中的殘留數(shù)據(jù)。如果這些變量被錯誤地暴露，攻擊者可能利用這些信息來進(jìn)一步攻擊系統(tǒng)或竊取數(shù)據(jù)。B.6惡意篡改主要包括以下內(nèi)容：a)惡意代碼植入。在需方不知情的情況下，在軟件產(chǎn)品或供應(yīng)鏈中的組件中植入具有惡意邏輯的可執(zhí)行文件、代碼模塊或代碼片段。b)開發(fā)工具植入。使用被惡意篡改的開發(fā)工具，導(dǎo)致開發(fā)的軟件或組件存在惡意代碼。c)供應(yīng)信息篡改。在供方不知情的情況下，篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息，如銷售信息、商品信息、軟件構(gòu)成信息等。B.7軟件后門植入主要包括以下內(nèi)容：a)供方預(yù)留。供方出于軟件維護(hù)的目的，在軟件產(chǎn)品中預(yù)置后門，如果預(yù)置后門被泄露，攻擊者會通過預(yù)置后門獲得軟件或操作系統(tǒng)的訪問權(quán)限。b)攻擊者惡意植入。攻擊者入侵軟件開發(fā)環(huán)境，污染軟件供應(yīng)鏈中的組件，劫持軟件交付升級鏈路，攻擊軟件運行環(huán)境植入惡意后門，獲得軟件或操作系統(tǒng)的訪問權(quán)限。DB50/T1809—2025B.8供應(yīng)鏈劫持供應(yīng)鏈劫持是普遍存在的一種供應(yīng)鏈污染，安全風(fēng)險突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫持、物流鏈劫持、升級劫持等。B.9其他風(fēng)險B.9.1開源許可違規(guī)使用主要包括以下內(nèi)容：a)無開源許可證。軟件產(chǎn)品發(fā)布時缺少開源許可證類型，包括但不限于LGPL、GPL、BSD、Ap等許可證。b)使用不規(guī)范。軟件產(chǎn)品發(fā)布時不符合相應(yīng)許可協(xié)議的規(guī)范和要求，包括但不限于沒有遵循開源許可證協(xié)議。開源組件使用或修改過程中，存在許可證不合規(guī)、不兼容或丟失等風(fēng)險。B.9.2假冒偽劣供方提供未經(jīng)產(chǎn)品認(rèn)證、評價的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。B.9.3供應(yīng)中斷主要包括以下內(nèi)容：a)突發(fā)事件中斷。因自然等不可抗力、政治、外交、國際經(jīng)貿(mào)等原因造成上游軟件、使用許可、知識產(chǎn)權(quán)授權(quán)的中斷。b)不正當(dāng)競爭。軟件供方利用需方對產(chǎn)品和服務(wù)的依賴，實施不正當(dāng)競爭或損害用戶利益的行為。B.9.4源代碼管理主要包括以下內(nèi)容：a)版本控制。利用源代碼文件不同版本的差異性，進(jìn)行惡意包裝，實現(xiàn)對源代碼的控制。b)源代碼權(quán)限管理。對源代碼文件的權(quán)限或者安全進(jìn)行威脅，從而實現(xiàn)源代碼泄露或者利用。c)源代碼來源管理。利用開源代碼規(guī)模占比、源代碼編碼語言占比情況，實現(xiàn)對源代碼的來源管d)源代碼質(zhì)量管理。利用源代碼漏洞率、源代碼漏洞嚴(yán)重性、源代碼漏洞影響程度、源代碼漏洞利用復(fù)雜程度、源代碼漏洞修復(fù)率、源代碼版本更新情況，實現(xiàn)對源代碼的質(zhì)量管理。e)源代碼知識產(chǎn)權(quán)管理。利用開源許可證規(guī)范性、開源許可證互惠性、開源許可證兼容性、開源許可證專利及授權(quán)情況、開源許可證適用范圍，實現(xiàn)對源代碼知識產(chǎn)權(quán)管理。B.9.5開發(fā)安全管理主要包括以下內(nèi)容：a)軟件包元數(shù)據(jù)篡改風(fēng)險。攻擊者可能篡改軟件包的元數(shù)據(jù)，誤導(dǎo)用戶安裝含有惡意代碼的軟件包，對用戶的系統(tǒng)和數(shù)據(jù)安全造成潛在危害。b)包管理工具安全風(fēng)險。使用不受信任的包源或不進(jìn)行包的安全檢查和驗證，無法保障包管理工具的安全性，可能導(dǎo)致軟件引入潛在的安全漏洞。c)容器鏡像安全風(fēng)險。容器鏡像中可能包含已知漏洞或惡意組件，導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷等風(fēng)DB50/T1809—2025d)CI/CD集成環(huán)境安全風(fēng)險。若CI/CD管道未得到妥善保護(hù)，攻擊者可能在編譯、測試、發(fā)布階段注入惡意代碼，對軟件開發(fā)和發(fā)布流程構(gòu)成嚴(yán)重威脅。e)代碼托管平臺風(fēng)險。選擇不受信任的代碼托管平臺或未實施嚴(yán)格的訪問控制和安全審計，可能導(dǎo)致代碼和資產(chǎn)遭受未經(jīng)授權(quán)的訪問和篡改，進(jìn)而引發(fā)安全風(fēng)險。f)云平臺安全風(fēng)險。使用云平臺時，若云平臺本身存在安全漏洞或受到攻擊，這些漏洞和攻擊可能直接影響軟件的安全性，導(dǎo)致軟件遭受未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露等風(fēng)險。g)軟件下載過程風(fēng)險。軟件下載過程中若未采用安全協(xié)議（如HTTPS），下載捆綁軟件或惡意組件，無法保障軟件的完整性和安全性。h)交付范圍風(fēng)險。隨著交付范圍的擴(kuò)大，新增組件和功能可能未經(jīng)充分的安全測試和驗證，進(jìn)而引入新的安全風(fēng)險，對整體軟件的安全性構(gòu)成潛在威脅。DB50/T1809—2025（資料性）軟件供應(yīng)鏈安全技術(shù)評價要素C.1概述本附錄提供編制評價要素時的參考要素，為評價工作提供依據(jù)。C.2源代碼安全技術(shù)評價要素本部分不涉及特定語言的特定評價內(nèi)容，僅提供評價的通用要素，實際評價中宜根據(jù)實際語言情況，進(jìn)一步參考GB/T34943、GB/T34944、GB/T34946等標(biāo)準(zhǔn)，對要素做適當(dāng)?shù)募舨没驍U(kuò)充，最終形成組合的評價單元，表C.1給出了源代碼安全評價要素所涉及的評價要素、要素內(nèi)容、評價要點的內(nèi)容。表C.1源代碼安全技術(shù)評價要素提供有益的注釋和文檔，解釋代碼的意圖、實現(xiàn)采用一致的代碼格式化規(guī)則和縮進(jìn)風(fēng)格，使代碼將代碼塊細(xì)分為較小的邏輯單元，避免過長的將代碼分解為模塊或類，每個模塊或類僅負(fù)責(zé)一個清能快速識別語法性錯誤，遵循良好編寫規(guī)則按規(guī)則將上傳文件重命名或嚴(yán)格評價文件名使用異常評價等機(jī)制，及時發(fā)現(xiàn)或終止向前、向密文存儲密碼等敏感信息，通過變換算法或者配置等方式DB50/T1809—2025表C.1源代碼安全技術(shù)評價要素（續(xù)）代碼對利用外部輸入來構(gòu)造命令或部分命令時，對其中的特殊對配置文件進(jìn)行審計和監(jiān)控，檢查是否存在未經(jīng)授權(quán)的變更或C.3開源組件安全技術(shù)評價要素表C.2給出了開源組件安全評價要素所涉及的評價要素、要素內(nèi)容和評價要點的內(nèi)容。表C.2開源組件安全技術(shù)評價要素開發(fā)者可回滾到先前的版本，以恢復(fù)到穩(wěn)定狀態(tài)管理對代碼庫的訪問權(quán)限，并為不同的用戶或用解析依賴項及其依賴樹，從而確定每個依賴項所依賴的確定每個依賴項所使用的版本，并處理依賴DB50/T1809—2025表C.2開源組件安全技術(shù)評價要素（續(xù)）組件保持兼容。緩存已下載的依賴項，以便在多個不同的依賴項要求使用不同版本的相同庫或組件時，能通過提取源代碼工程中完整的代碼片段特征與開源項目或?qū)νㄟ^分析源代碼中文件中包含的開源許可協(xié)議聲明內(nèi)容以及Li容器鏡像中開源組件成分，包含基礎(chǔ)鏡像中的開源組件C.4擴(kuò)展安全技術(shù)評價要素表C.3給出了擴(kuò)展安全評價要素所涉及的評價要素、要素內(nèi)容和評價要點的內(nèi)容。表C.3擴(kuò)展安全技術(shù)評價要素軟件產(chǎn)品包含的各開源代碼模塊字節(jié)數(shù)在軟DB50/T1809—2025表C.3擴(kuò)展安全技術(shù)評價要素（續(xù)）源代碼是否存在互惠性開源許可證，對自由互惠的開源許可證進(jìn)行軟件產(chǎn)品包含的開源許可證兼容性情況，判斷源代軟件產(chǎn)品包含的開源許可證的適用范圍和出C.5技術(shù)評價要素與風(fēng)險對應(yīng)關(guān)系表C.4給出附錄C.2～C.4評價要素與附錄B的簡略對應(yīng)關(guān)系。表C.4評價要素與風(fēng)險對應(yīng)關(guān)系B.2輸入驗證與表示B.3API濫用B.4安B.2輸入驗證與表示B.3APIB.2輸入驗證與表示B.3API/B.9.4源代碼管理b）源代碼權(quán)限管理e）源代碼知DB50/T1809—2025（規(guī)范性）范圍與目標(biāo)確認(rèn)表表D.1給出了范圍與目標(biāo)確認(rèn)表。表D.1范圍與目標(biāo)確認(rèn)表DB50/T1809—2025（規(guī)范性）開源組件及源代碼調(diào)研表E.1開源組件調(diào)研表表E.1給出了開源組件調(diào)研表示例。表E.1開源組件調(diào)研表E.2源代碼調(diào)研表表E.2給出了源代碼調(diào)研表示例。表E.2源代碼調(diào)研表DB50/T1809—2025表E.2源代碼調(diào)研表（續(xù)）DB50/T1809—2025（資料性）初步評價對象列表F.1概述本附錄提供了初步評價對象列表的示例，幫助評價委托單位和評價機(jī)構(gòu)明確評價的范圍和對象。F.2基本信息基本信息宜包括：a)項目名稱；b)委托單位；c)項目負(fù)責(zé)人；d)聯(lián)系方式；e)評價日期范圍。F.3評價對象概述F.3.1業(yè)務(wù)軟件/APP信息業(yè)務(wù)軟件/APP信息宜包括：a)名稱；b)版本號；c)描述（簡要說明軟件的功能和用途d)運行環(huán)境（如操作系統(tǒng)、瀏覽器兼容性等e)部署位置（本地、云服務(wù)等）。F.3.2開發(fā)及維護(hù)文檔開發(fā)及維護(hù)文檔宜包括：a)是否可用：是/否；b)文檔類型（如設(shè)計文檔、架構(gòu)圖、API文檔、用戶手冊等c)文檔鏈接/存放位置。F.3.3開發(fā)平臺/工具開發(fā)平臺/工具宜包括：a)主要編程語言；b)開發(fā)框架；c)版本控制系統(tǒng)（如Git、SVN等d)CI/CD工具（如Jenkins、GitLabCI等）。DB50/T1809—2025F.4源代碼與組件信息F.4.1源代碼源代碼信息宜包括：a)是否開源：是/否；b)源代碼庫地址（如GitHub、GitLab等）。F.4.2第三方開源組件開源組件列表（按照表格形式填寫，宜包括組件名稱、版本、許可證類型、關(guān)聯(lián)系統(tǒng)等）。F.4.3安全評價目標(biāo)安全評價目標(biāo)根據(jù)實際調(diào)研結(jié)果填寫。F.5評價委托單位確認(rèn)評價委托單位確認(rèn)宜包括：a)確認(rèn)人；b)確認(rèn)日期；c)備注（如有需要特別說明的事項）。DB50/T1809—2025（資料性）主要源代碼靜態(tài)分析技術(shù)G.1概述靜態(tài)分析技術(shù)采用的方法主要包括規(guī)則檢查、約束分析、數(shù)據(jù)流分析、符號執(zhí)行、內(nèi)存精確建模和控制流分析等。G.2規(guī)則檢查程序本身的安全性可由安全規(guī)則描述。程序本身存在一些編程規(guī)則，即一些通用的安全規(guī)則，也稱之為漏洞模式。規(guī)則檢查方法將這些規(guī)則以特定語法描述，由規(guī)則處理器接收，并將其轉(zhuǎn)換為分析器能接受的內(nèi)部表示，然后再將程序行為進(jìn)行比對、評價。G.3約束分析將程序分析過程分為約束產(chǎn)生和約束求解兩個階段，前者利用約束產(chǎn)生規(guī)則建立變量類型或分析狀態(tài)之間的約束系統(tǒng)，后者對這些約束系統(tǒng)進(jìn)行求解。約束系統(tǒng)可分為等式約束、集合約束和混合約束三種形式。等式約束的約束項之間只存在相等關(guān)系，集合約束把每個程序變量看成一個值集，變量賦值被解釋為集合表達(dá)式之間的包含關(guān)系，混合約束系統(tǒng)由部分等式約束和部分集合約束組成。G.4數(shù)據(jù)流分析數(shù)據(jù)流分析技術(shù)是一種在不運行程序的條件下，從程序中獲取數(shù)據(jù)流信息的技術(shù)，數(shù)據(jù)流信息最終被傳遞給缺陷評價分析引擎進(jìn)行進(jìn)一步缺陷分析。在數(shù)據(jù)流信息獲取方面，分析的精度問題至關(guān)重要，主要從流不敏感、流敏感和路徑敏感三個方面來增加分析的精度。G.5符號執(zhí)行假設(shè)程序的所有輸入值都是符號值，根據(jù)程序中的每條路徑對程序進(jìn)行符號模擬執(zhí)行，在程序分支處，記錄程序?qū)ψ兞康募s束信息，同時求解約束條件，判斷該條路徑是否可執(zhí)行，從而可剪除不可執(zhí)行路徑。采用這種方式有如下優(yōu)點：——最大可能地評價了程序的所有路徑；——避免了虛假路徑帶來的誤報問題。G.6內(nèi)存精確建模通過對內(nèi)存建模，可對指針表達(dá)式的值進(jìn)行精確分析，并區(qū)分指向同一個對象內(nèi)部的指針各自不同的偏移量，使得針對指針的評價更加精確。DB50/T1809—2025G.7控制流分析對程序執(zhí)行時可能經(jīng)過的路徑進(jìn)行圖形化表示，根據(jù)不同語句之間的關(guān)系，尤其是由“條件轉(zhuǎn)移”“循環(huán)”等引入的分支關(guān)系，通過對這些語句的處理，得到關(guān)于程序結(jié)構(gòu)的圖形化分析，可評價潛在危險的操作執(zhí)行順序。DB50/T1809—2025（資料性）軟件供應(yīng)鏈安全評價方案H.1概述本附錄給出了軟件供應(yīng)鏈安全評價方案簡要示例，包含正文和附件的要素信息。H.2正文H.2.1項目概述項目概述包含但不限于：a)項目背景；b)項目目標(biāo)；c)項目依據(jù)；d)項目范圍。H.2.2評價對象信息評價對象信息宜包括：a)軟件或APP情況；b)開源組件清單；c)自建代碼統(tǒng)計；d)上次評價主要問題；e)上次評價整改情況。H.2.3評價流程評價流程主要包括評價涉及主要工作，宜包括：a)評價實施階段主要工作；b)報告總結(jié)階段主要工作；c)主要輸出物。H.2.4評價方法評價方法包括如下方法的一種或多種：a)在線評價；b)現(xiàn)場評價。H.2.5評價內(nèi)容可參考附錄C的內(nèi)容編制評價內(nèi)容，包括：a)源代碼安全評價；b)開源組件安全評價；DB50/T1809—2025c)擴(kuò)展安全評價。H.2.6評價項目管理評價項目管理宜包括：a)評價平臺與工具；b)評價進(jìn)度計劃；c)評價人員安排；d)評價風(fēng)險規(guī)避；e)評價配合資源要求，指對委托機(jī)構(gòu)的人員、代碼等要求。H.3附件附件宜包括：a)過程輸入、輸出的表單模板；b)源代碼評價示例；c)開源組件評價示例。DB50/T1809—2025評價依據(jù)本附錄給出了評價依據(jù)，幫助評價單位出具最終評價結(jié)論。I.2判定依據(jù)評價結(jié)論根據(jù)附錄C或約定的評