ICS35.240.01CCSL78T/CSACTestingmethodsforinformationandcommunicationtechnologyprodT/CSAC021—2025 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5概述 5.1總體框架 5.2總體流程 6軟件成分安全測(cè)試 6.1分析對(duì)象 6.2技術(shù)分析項(xiàng) 7二進(jìn)制軟件基因安全測(cè)試 7.1分析對(duì)象 7.2技術(shù)分析項(xiàng) 8容器鏡像安全測(cè)試 8.1分析對(duì)象 8.2技術(shù)分析項(xiàng) 9靜態(tài)應(yīng)用安全測(cè)試 9.1分析對(duì)象 9.2技術(shù)分析項(xiàng) 10動(dòng)態(tài)應(yīng)用安全測(cè)試 10.1分析對(duì)象 10.2技術(shù)分析項(xiàng) 11產(chǎn)品測(cè)試結(jié)果 11.1結(jié)果分析 11.2報(bào)告編制 附錄A（資料性）軟件物料清單必要字段 10參考文獻(xiàn) T/CSAC021—2025本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)提出并歸口。本文件起草單位：公安部第三研究所、中國(guó)太平洋保險(xiǎn)（集團(tuán)）股份有限公司、上海德昶安測(cè)技術(shù)服務(wù)有限公司、上海證券交易所、國(guó)泰君安證券股份有限公司、中國(guó)工商銀行數(shù)據(jù)中心、上海東航數(shù)字科技有限公司、核電運(yùn)行研究（上海）有限公司、國(guó)網(wǎng)江蘇省電力有限公司電力科學(xué)研究院、上海計(jì)算機(jī)軟件技術(shù)開(kāi)發(fā)中心、中國(guó)電信股份有限公司江蘇分公司、聯(lián)通（山西）產(chǎn)業(yè)互聯(lián)網(wǎng)有限公司、中電智安科技有限公司、南方電網(wǎng)數(shù)字電網(wǎng)集團(tuán)信息通信科技有限公司、中移（杭州）信息技術(shù)有限公司、四川中銳信息技術(shù)有限公司、中國(guó)交通信息科技集團(tuán)有限公司、廣東億迅科技有限公司、物產(chǎn)中大數(shù)字安全科技（浙江）有限公司、中國(guó)移動(dòng)通信集團(tuán)河北有限公司、大慶中基石油通信建設(shè)有限公司、山東省網(wǎng)安數(shù)字科技有限公司、廣西廣電大數(shù)據(jù)科技有限公司、華測(cè)檢測(cè)認(rèn)證集團(tuán)股份有限公司、墨菲未來(lái)科技（北京）有限公司、南京眾安信息科技有限公司、上海齊同信息科技有限公司、北京安普諾信息技術(shù)有限公司、浙江路為科技有限公司、杭州安恒信息技術(shù)股份有限公司、上海斗象信息科技有限公司。本文件主要起草人：丁建華、梁鎮(zhèn)遠(yuǎn)、王光澤、黃菊、李俊斌、高峰1、楊木超、魏東、樊芳、李佶、李進(jìn)明、鄭洲豪、成辰、聶智戈、楊萬(wàn)祿、朱宏亮、東明、曾崢、游江東、顧智敏、郭雅娟、吳建華、毛爭(zhēng)艷、徐倩華、俞少華、鮑亮、盛小寶、陳曉霖、張鶴、魏麗萍、夏卿、蔡倩楠、許敏、魏淵、殷正偉、霍建、劉藝、高磊、趙武清、高峰2、陳平、王楹、陳藝?yán)?、邵艾青、胡健、朱凌軍、姜博文、易劍光、楊為旭、王明璽、劉波、甘泉、徐江、章華鵬、苗葉、曹育生、張濤、黃廷嵩、袁明坤、鄭永強(qiáng)。1T/CSAC021-2025信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試方法本文件規(guī)定了信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試的技術(shù)規(guī)范，包括開(kāi)展軟件成分安全測(cè)試、二進(jìn)制軟件基因安全測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試、靜態(tài)應(yīng)用安全測(cè)試、容器鏡像安全測(cè)試等。本文件適用于信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全技術(shù)檢查，適用于網(wǎng)絡(luò)運(yùn)營(yíng)者選擇信息與通信技術(shù)產(chǎn)品，開(kāi)展安全測(cè)試時(shí)提供參考，適用于信息與通信技術(shù)產(chǎn)品提供者為規(guī)避產(chǎn)品中開(kāi)源組件、后門(mén)、源代碼安全、安全漏洞等安全風(fēng)險(xiǎn)提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T36475-2018軟件產(chǎn)品分類(lèi)GB/T36637-2018信息安全技術(shù)ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南GB/T43698-2024網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求3術(shù)語(yǔ)和定義GB/T25069-2022、GB/T36475-2018、GB/T36637-2018以及GB/T43698-2024中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1軟件成分softwarecomposition軟件中包含的組件和代碼。3.2信息與通信技術(shù)informationandcommunicationstechnology，ICT為采集、表示、處理、傳輸、交換、描述、管理、組織、存儲(chǔ)、檢索、輸出數(shù)字信息而開(kāi)發(fā)、維護(hù)和使用的技術(shù)。T/CSAC021-2025[來(lái)源：GB/T25069-2022，3.692]3.3ICT產(chǎn)品informationandcommunicationstechnologyproducts基于信息與通信技術(shù)（ICT）開(kāi)發(fā)、生產(chǎn)或應(yīng)用的硬件設(shè)備、軟件工具及相關(guān)服務(wù)，其核心功能是支持信息的處理、傳輸、存儲(chǔ)、管理或交互。3.4軟件產(chǎn)品softwareproduct計(jì)算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件，或在提供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用服務(wù)等技術(shù)服務(wù)時(shí)提供的計(jì)算機(jī)軟件。[來(lái)源：GB/T36475-2018，3.1.1，有修改]3.5軟件物料清單softwarebillofmaterials軟件產(chǎn)品中所包含的所有組件、相關(guān)許可協(xié)議的清單，以及所有組件之間依賴(lài)關(guān)系的描述。[來(lái)源：GB/T43698-2024，3.8，有修改]3.6投毒poisoning軟件中被加入非預(yù)期邏輯，如執(zhí)行惡意代碼、輸出額外數(shù)據(jù)、創(chuàng)建與預(yù)期功能無(wú)關(guān)文件等。3.7容器container鏡像運(yùn)行的實(shí)例，容器可以被創(chuàng)建、啟動(dòng)、停止、刪除、暫停等。3.8鏡像image一個(gè)特殊的文件系統(tǒng)，除了提供容器運(yùn)行時(shí)所需的程序、庫(kù)、資源、配置等文件外，還包含了一些為運(yùn)行時(shí)準(zhǔn)備的配置參數(shù)。鏡像不包含任何動(dòng)態(tài)數(shù)據(jù)，其內(nèi)容在構(gòu)建之后也不會(huì)被改變。3.9供應(yīng)連續(xù)性風(fēng)險(xiǎn)supplycontinuityrisk供應(yīng)鏈安全威脅利用供應(yīng)鏈管理中存在的脆弱性導(dǎo)致供應(yīng)中斷事件的可能性，及其由此對(duì)組織造成的影響。[來(lái)源：36637-2018，3.5，有修改]T/CSAC021-20254縮略語(yǔ)下列縮略語(yǔ)適用于本文件。HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）TCP：傳輸控制協(xié)議（TransmissionControlProtocol）UDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）API：應(yīng)用編程接口（ApplicationProgrammingInterface）VPN：虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetwork）SQL：結(jié)構(gòu)化查詢語(yǔ)言（StructuredQueryLanguage）5概述5.1總體框架本文件從軟件成分安全、二進(jìn)制軟件基因安全、動(dòng)態(tài)應(yīng)用安全、靜態(tài)應(yīng)用安全、容器鏡像安全五類(lèi)安全測(cè)試技術(shù)項(xiàng)對(duì)信息與通信技術(shù)產(chǎn)品開(kāi)展供應(yīng)鏈安全測(cè)試，信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試框架如圖1所示。圖1信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試框架圖信息與通信技術(shù)產(chǎn)品供應(yīng)鏈安全測(cè)試的架構(gòu)由以下三個(gè)維度組成。a)安全測(cè)試要素ICT產(chǎn)品供應(yīng)鏈安全測(cè)試要素包含分析對(duì)象和技術(shù)分析項(xiàng)，分析對(duì)象是指通過(guò)供應(yīng)鏈安全測(cè)試技術(shù)測(cè)試ICT產(chǎn)品時(shí)，針對(duì)的具體測(cè)試對(duì)象類(lèi)型。技術(shù)分析項(xiàng)是指根據(jù)供應(yīng)鏈安全測(cè)試技術(shù)的不同技術(shù)點(diǎn)，T/CSAC021-2025分析目標(biāo)對(duì)象，形成不同安全風(fēng)險(xiǎn)。b)安全測(cè)試技術(shù)ICT產(chǎn)品供應(yīng)鏈安全測(cè)試技術(shù)包括軟件成分安全、二進(jìn)制軟件基因安全、動(dòng)態(tài)應(yīng)用安全、靜態(tài)應(yīng)用安全、容器鏡像安全五類(lèi)，通過(guò)這五類(lèi)技術(shù)分析ICT產(chǎn)品的安全性。c)安全測(cè)試流程ICT產(chǎn)品供應(yīng)鏈安全測(cè)試流程包括技術(shù)分析準(zhǔn)備、技術(shù)分析實(shí)施、技術(shù)分析報(bào)告編制、技術(shù)分析報(bào)告審核四個(gè)環(huán)節(jié)，通過(guò)這四個(gè)環(huán)節(jié)完成ICT產(chǎn)品供應(yīng)鏈安全測(cè)試工作。5.2總體流程技術(shù)分析過(guò)程包括技術(shù)分析準(zhǔn)備、技術(shù)分析實(shí)施、技術(shù)分析報(bào)告編制以及技術(shù)分析報(bào)告審核四個(gè)階段，如圖2所示。圖2ICT產(chǎn)品供應(yīng)鏈安全測(cè)試流程圖a)技術(shù)分析準(zhǔn)備階段，包括保密協(xié)議簽署、技術(shù)分析調(diào)研、技術(shù)分析條款制定、技術(shù)分析環(huán)境準(zhǔn)b)技術(shù)分析實(shí)施階段，包括工具技術(shù)分析、人工分析審核技術(shù)分析結(jié)果，若需對(duì)技術(shù)分析出的問(wèn)題進(jìn)行修復(fù)，還包括修復(fù)后的復(fù)測(cè)；c)技術(shù)分析報(bào)告編制階段，針對(duì)技術(shù)分析結(jié)果進(jìn)行匯總，編寫(xiě)技術(shù)分析報(bào)告；d)技術(shù)分析報(bào)告審核階段，針對(duì)編制的報(bào)告內(nèi)容進(jìn)行審計(jì)，確保所述內(nèi)容符合相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)。6軟件成分安全測(cè)試軟件成分安全測(cè)試是一種針對(duì)軟件的安全性測(cè)試，其通過(guò)掃描代碼庫(kù)及編譯依賴(lài)文件，測(cè)試軟件中所使用的開(kāi)源代碼的組件，識(shí)別所使用的軟件組件版本，以檢測(cè)安全漏洞、許可證合規(guī)沖突等風(fēng)險(xiǎn)，同時(shí)具備生成軟件物料清單等功能。6.1分析對(duì)象應(yīng)支持以下ICT產(chǎn)品類(lèi)型分析，分析內(nèi)容包括：a)支持多種開(kāi)發(fā)語(yǔ)言，開(kāi)發(fā)語(yǔ)言包括C/C++、Java、Python等；b)支持SPDX、CycloneDX等多種通用格式軟件物料清單的導(dǎo)入識(shí)別，軟件物料清單必要字段詳見(jiàn)附錄A；c)支持從配置文件、代碼文件、代碼片段識(shí)別源代碼中引入的軟件成分識(shí)別；d)支持RAR、ZIP、7Z等多種壓縮文件格式。5T/CSAC021-20256.2技術(shù)分析項(xiàng)6.2.1開(kāi)源組件成分分析應(yīng)對(duì)目標(biāo)ICT產(chǎn)品中的開(kāi)源組件進(jìn)行成分分析，測(cè)試方法包括：a)檢測(cè)目標(biāo)軟件源碼中包含的開(kāi)源組件；b)分析結(jié)果應(yīng)包含組件名稱(chēng)、版本信息、許可證類(lèi)型、已知漏洞、使用情況等。6.2.2組件依賴(lài)關(guān)系分析應(yīng)對(duì)目標(biāo)ICT產(chǎn)品中的開(kāi)源組件依賴(lài)關(guān)系進(jìn)行梳理分析，測(cè)試方法包括：a)開(kāi)源組件依賴(lài)關(guān)系分析，構(gòu)建完整組件依賴(lài)樹(shù)，清晰地展現(xiàn)出每個(gè)組件與其他組件之間的依賴(lài)關(guān)系；b)開(kāi)源組件依賴(lài)層級(jí)分析，能夠識(shí)別并且表明組件依賴(lài)層級(jí)以及組件引入路徑等信息。6.2.3漏洞風(fēng)險(xiǎn)分析應(yīng)分析目標(biāo)軟件源碼中包含的漏洞風(fēng)險(xiǎn)，分析結(jié)果包含漏洞編號(hào)、漏洞名稱(chēng)、漏洞級(jí)別、漏洞詳情、修復(fù)建議等。6.2.4開(kāi)源許可風(fēng)險(xiǎn)分析應(yīng)對(duì)目標(biāo)ICT產(chǎn)品的開(kāi)源許可風(fēng)險(xiǎn)進(jìn)行分析，測(cè)試方法包括：a)分析目標(biāo)軟件源碼自身聲明的許可證與開(kāi)源軟件成分許可證之間、開(kāi)源軟件成分之間的許可證不兼容風(fēng)險(xiǎn)，分析結(jié)果包括不兼容的開(kāi)源組件名稱(chēng)和版本等；b)基于開(kāi)源代碼的引用方式，分析目標(biāo)軟件源碼不滿足開(kāi)源軟件成分許可證互惠性約束的風(fēng)險(xiǎn)；c)分析目標(biāo)軟件源碼中刪除或篡改依賴(lài)開(kāi)源軟件成分許可證信息的風(fēng)險(xiǎn)。6.2.5投毒風(fēng)險(xiǎn)分析應(yīng)分析目標(biāo)軟件源碼中組件存在的被投毒風(fēng)險(xiǎn)，分析結(jié)果包括投毒類(lèi)型、投毒組件、投毒版本等。6.2.6篡改風(fēng)險(xiǎn)分析應(yīng)分析目標(biāo)軟件源碼中組件存在的被篡改風(fēng)險(xiǎn)，分析結(jié)果包括篡改類(lèi)型、篡改組件、篡改版本等。6.2.7供應(yīng)連續(xù)性風(fēng)險(xiǎn)分析應(yīng)對(duì)目標(biāo)ICT產(chǎn)品開(kāi)源軟件成分中存在的供應(yīng)連續(xù)性風(fēng)險(xiǎn)進(jìn)行分析，包括所依賴(lài)軟件停止維護(hù)、使用許可變更、版權(quán)變更等導(dǎo)致的供應(yīng)中斷。7二進(jìn)制軟件基因安全測(cè)試二進(jìn)制軟件基因安全測(cè)試是一種針對(duì)二進(jìn)制軟件的安全性測(cè)試，其通過(guò)對(duì)二進(jìn)制文件的結(jié)構(gòu)、代碼片段及依賴(lài)關(guān)系進(jìn)行解析，以檢測(cè)安全漏洞、許可證合規(guī)沖突、軟件投毒等風(fēng)險(xiǎn)。6T/CSAC021-20257.1分析對(duì)象應(yīng)支持以下二進(jìn)制產(chǎn)品類(lèi)型分析，分析內(nèi)容包括：a)支持多種編譯器二進(jìn)制文件，編譯器包括GCC、Clang等；b)支持多種格式安裝包，包括DEB、MSI、DMG等。7.2技術(shù)分析項(xiàng)7.2.1開(kāi)源組件成分分析應(yīng)對(duì)二進(jìn)制軟件產(chǎn)品的開(kāi)源組件進(jìn)行成分分析，分析目標(biāo)二進(jìn)制軟件中包含的開(kāi)源組件，分析結(jié)果包含組件名稱(chēng)、版本信息、許可證類(lèi)型、已知漏洞、使用情況等。7.2.2漏洞風(fēng)險(xiǎn)分析應(yīng)分析目標(biāo)二進(jìn)制軟件中包含的漏洞風(fēng)險(xiǎn)，分析結(jié)果包含漏洞編號(hào)、漏洞名稱(chēng)、漏洞級(jí)別、漏洞詳情、修復(fù)建議等。7.2.3開(kāi)源許可風(fēng)險(xiǎn)分析應(yīng)對(duì)二進(jìn)制軟件產(chǎn)品的開(kāi)源許可風(fēng)險(xiǎn)進(jìn)行分析，測(cè)試方法包括：a)分析目標(biāo)二進(jìn)制軟件自身聲明的許可證與開(kāi)源軟件成分許可證之間、開(kāi)源軟件成分之間的許可證不兼容風(fēng)險(xiǎn)，分析結(jié)果包括不兼容的開(kāi)源組件名稱(chēng)和版本等；b)基于開(kāi)源代碼的引用方式，分析目標(biāo)二進(jìn)制軟件不滿足開(kāi)源軟件成分許可證互惠性約束的風(fēng)險(xiǎn)；c)分析目標(biāo)二進(jìn)制軟件中刪除或篡改依賴(lài)開(kāi)源軟件成分許可證信息的風(fēng)險(xiǎn)。7.2.4投毒風(fēng)險(xiǎn)分析應(yīng)對(duì)二進(jìn)制軟件產(chǎn)品的投毒風(fēng)險(xiǎn)進(jìn)行分析，測(cè)試方法包括：a)分析目標(biāo)二進(jìn)制軟件中組件存在的被投毒風(fēng)險(xiǎn)，分析結(jié)果包括投毒類(lèi)型、投毒組件、投毒版本b)分析目標(biāo)二進(jìn)制軟件成分代碼中存在的被投毒風(fēng)險(xiǎn)。8容器鏡像安全測(cè)試容器鏡像安全測(cè)試是一種針對(duì)容器鏡像的安全性測(cè)試，其通過(guò)掃描容器鏡像各層結(jié)構(gòu)，包括基礎(chǔ)鏡像、應(yīng)用代碼、第三方依賴(lài)庫(kù)與配置文件，以檢測(cè)安全漏洞、許可證合規(guī)沖突等風(fēng)險(xiǎn)。8.1分析對(duì)象應(yīng)支持接入主流的鏡像倉(cāng)庫(kù)類(lèi)型，分析內(nèi)容包括DockerRegsitry、Harbor、JFrogArtifactory等。8.2技術(shù)分析項(xiàng)8.2.1鏡像成分分析T/CSAC021-2025應(yīng)對(duì)容器鏡像中的成分進(jìn)行分析，測(cè)試方法包括：a)分析鏡像中DEB、RPM、NPM等軟件包；b)分析鏡像中應(yīng)用程序所依賴(lài)的開(kāi)源成分；c)分析識(shí)別鏡像中每一層的信息；d)分析開(kāi)源成分對(duì)應(yīng)的開(kāi)源許可證信息。8.2.2鏡像漏洞分析應(yīng)分析容器鏡像中成分對(duì)應(yīng)的已知漏洞，提供漏洞對(duì)應(yīng)的漏洞編號(hào)、漏洞名稱(chēng)、漏洞級(jí)別、漏洞詳情、修復(fù)建議等。8.2.3鏡像投毒分析應(yīng)分析容器鏡像中成分對(duì)應(yīng)的投毒風(fēng)險(xiǎn)，提供被投毒類(lèi)型、投毒組件、投毒版本等信息。8.2.4組件篡改分析應(yīng)分析容器鏡像中開(kāi)源組件篡改風(fēng)險(xiǎn)，提供被篡改的文件路徑、名稱(chēng)和版本號(hào)等信息。9靜態(tài)應(yīng)用安全測(cè)試靜態(tài)應(yīng)用安全測(cè)試是一種靜態(tài)安全性測(cè)試，其通過(guò)分析應(yīng)用程序的源代碼、二進(jìn)制代碼或字節(jié)代碼來(lái)發(fā)現(xiàn)和識(shí)別應(yīng)用中安全漏洞的技術(shù)。9.1分析對(duì)象應(yīng)能夠支持多種開(kāi)發(fā)語(yǔ)言ICT產(chǎn)品的源代碼、二進(jìn)制代碼或字節(jié)代碼等非運(yùn)行態(tài)的文件格式，分析內(nèi)容包括：a)支持C/C++、Java、Python等主流開(kāi)發(fā)語(yǔ)言；b)支持直接對(duì)目標(biāo)軟件的源代碼文件進(jìn)行分析；c)支持對(duì)目標(biāo)軟件的源代碼編譯后的二進(jìn)制或字節(jié)碼文件進(jìn)行分析；d)支持本地上傳源碼包（包括RAR、ZIP、7Z等壓縮文件格式）；e)支持代碼倉(cāng)庫(kù)（包括GIT、SVN等）拉取源碼。9.2技術(shù)分析項(xiàng)9.2.1靜態(tài)代碼分析應(yīng)分析目標(biāo)ICT產(chǎn)品代碼中的基本信息，包括代碼語(yǔ)言、代碼文件數(shù)量、文件大小、代碼行數(shù)、注釋行數(shù)等。9.2.2源代碼漏洞測(cè)試應(yīng)對(duì)目標(biāo)ICT產(chǎn)品進(jìn)行源代碼漏洞測(cè)試，源代碼類(lèi)型包括C/C++、Java、Python等。T/CSAC021-20259.2.3缺陷審計(jì)分析應(yīng)對(duì)檢測(cè)目標(biāo)ICT產(chǎn)品的缺陷進(jìn)行審計(jì)分析，審計(jì)內(nèi)容包含污點(diǎn)數(shù)據(jù)流的傳遞過(guò)程、缺陷代碼行及上下文、相關(guān)缺陷驗(yàn)證信息（污點(diǎn)參數(shù)、缺陷路徑等）。10動(dòng)態(tài)應(yīng)用安全測(cè)試動(dòng)態(tài)應(yīng)用安全測(cè)試是一種動(dòng)態(tài)安全性測(cè)試，其通過(guò)應(yīng)用程序協(xié)議識(shí)別、功能點(diǎn)識(shí)別、數(shù)據(jù)解析能力等功能，識(shí)別和評(píng)估網(wǎng)絡(luò)應(yīng)用程序中存在的安全漏洞。10.1分析對(duì)象應(yīng)支持多種ICT產(chǎn)品入口識(shí)別，分析內(nèi)容包括：a)應(yīng)用程序使用的各種協(xié)議，包括HTTP、HTTPS、TCP、UDP等；b)對(duì)應(yīng)用程序各個(gè)功能點(diǎn)的識(shí)別能力，包括Web界面、目錄、API、文件上傳、表單提交、數(shù)據(jù)庫(kù)連接等功能點(diǎn)。10.2技術(shù)分析項(xiàng)10.2.1應(yīng)用程序流量收集應(yīng)對(duì)應(yīng)用程序流量進(jìn)行收集，測(cè)試方法包括：a）通過(guò)流量鏡像等方式收集網(wǎng)絡(luò)設(shè)備端流量；b）通過(guò)代理、VPN、日志導(dǎo)入等方式收集PC端流量；c）通過(guò)代理、VPN、日志導(dǎo)入等方式收集移動(dòng)端流量。10.2.2程序依賴(lài)分析應(yīng)識(shí)別目標(biāo)ICT產(chǎn)品所依賴(lài)的外部組件、庫(kù)、框架和服務(wù)，包括數(shù)據(jù)庫(kù)引擎、開(kāi)發(fā)框架、緩存以及應(yīng)用程序所使用的第三方API。10.2.3客戶端與服務(wù)端交互解析應(yīng)以樹(shù)型目錄結(jié)構(gòu)解析并呈現(xiàn)客戶端與服務(wù)端的交互接口，通過(guò)樹(shù)型目錄展示任務(wù)掃描命中的漏洞所對(duì)應(yīng)的網(wǎng)頁(yè)地址及整體站點(diǎn)結(jié)構(gòu)。10.2.4會(huì)話管理分析應(yīng)檢測(cè)目標(biāo)ICT產(chǎn)品的用戶會(huì)話管理機(jī)制，包括會(huì)話標(biāo)識(shí)、過(guò)期時(shí)間、注銷(xiāo)等。10.2.5請(qǐng)求響應(yīng)分析應(yīng)分析運(yùn)行時(shí)的請(qǐng)求和響應(yīng)，測(cè)試方法包括：a)對(duì)運(yùn)行時(shí)的請(qǐng)求詳情與響應(yīng)詳情進(jìn)行分析；b)分析結(jié)果包含漏洞編號(hào)、漏洞名稱(chēng)、漏洞級(jí)別、漏洞詳情、修復(fù)建議等。T/CSAC021-202510.2.6漏洞風(fēng)險(xiǎn)分析應(yīng)對(duì)目標(biāo)ICT產(chǎn)品中應(yīng)用程序漏洞風(fēng)險(xiǎn)進(jìn)行分析，測(cè)試方法包括：a)對(duì)已知和未知漏洞的檢測(cè)，包括代碼問(wèn)題（如命令注入、代碼注入、SQL注入等）、配置錯(cuò)誤、環(huán)境問(wèn)題等漏洞類(lèi)型；b)分析結(jié)果應(yīng)包含漏洞編號(hào)、漏洞名稱(chēng)、漏洞級(jí)別、漏洞詳情、修復(fù)建議等。11產(chǎn)品測(cè)試結(jié)果11.1結(jié)果分析11.1.1人工復(fù)核應(yīng)對(duì)工具分析的整個(gè)過(guò)程進(jìn)行人工復(fù)核，各技術(shù)分析項(xiàng)應(yīng)能夠清晰溯源查找，技術(shù)分析過(guò)程應(yīng)符合技術(shù)分析流程相關(guān)規(guī)范化技術(shù)準(zhǔn)則。11.1.2總結(jié)應(yīng)對(duì)目標(biāo)產(chǎn)品測(cè)試過(guò)程中發(fā)現(xiàn)的文件、組件、漏洞以及投毒、篡改等情況進(jìn)行總結(jié)。11.2報(bào)告編制應(yīng)根據(jù)測(cè)試結(jié)果編制形成產(chǎn)品供應(yīng)鏈安全技術(shù)分析報(bào)告，報(bào)告中包含各項(xiàng)測(cè)試的匯總結(jié)果以及詳細(xì)的風(fēng)險(xiǎn)信息，包括風(fēng)險(xiǎn)描述、風(fēng)險(xiǎn)危害級(jí)別、風(fēng)險(xiǎn)影響的文件或組件、處置建議等。T/CSAC021-2025附錄A（資料性）軟件物料清單必要字段軟件物料清單必要字段如表A.1所示。表A.1軟件物料清單必要字段元素名字段名字段描述字段類(lèi)型軟件信息softwaresoftwareName軟件名稱(chēng)softwareVersion軟件版本integrityhashAlg雜湊算法messageDigest消息摘要清單信息documentformatName清單格式名稱(chēng)formatVersion格式版本serialNumber清單標(biāo)識(shí)timestampauthors創(chuàng)建者組件信息componentscomponentId組件標(biāo)識(shí)componentName組件名稱(chēng)componentVersion組件版本selfDevelopedProportionenum（ofstring）licenseName許可證名稱(chēng)arrayof