ICS35.040

CCSL80

DB50

重慶市地方標(biāo)準(zhǔn)

DB50/T1809—2025

軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)指南

2025-07-07發(fā)布2025-10-07實(shí)施

重慶市市場(chǎng)監(jiān)督管理局發(fā)布

1

DB50/T1809—2025

目??次

前言.....................................................................................................................................................................III

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語(yǔ)和定義.....................................................................................................................................................1

4縮略語(yǔ).............................................................................................................................................................1

5概述.................................................................................................................................................................2

5.1評(píng)價(jià)過(guò)程.................................................................................................................................................2

5.2風(fēng)險(xiǎn)框架.................................................................................................................................................2

5.3評(píng)價(jià)模塊.................................................................................................................................................2

5.4評(píng)價(jià)工作風(fēng)險(xiǎn)規(guī)避.................................................................................................................................3

6評(píng)價(jià)準(zhǔn)備階段.................................................................................................................................................3

6.1一般條件.................................................................................................................................................3

6.2工作過(guò)程.................................................................................................................................................4

6.3主要工作任務(wù).........................................................................................................................................4

6.4輸入/輸出文檔.......................................................................................................................................5

7方案編制階段.................................................................................................................................................6

7.1一般條件.................................................................................................................................................6

7.2工作過(guò)程.................................................................................................................................................6

7.3主要工作任務(wù).........................................................................................................................................7

7.4輸入/輸出文檔.......................................................................................................................................8

8評(píng)價(jià)實(shí)施階段.................................................................................................................................................8

8.1一般條件.................................................................................................................................................8

8.2工作過(guò)程.................................................................................................................................................9

8.3主要工作任務(wù).........................................................................................................................................9

8.4輸入/輸出文檔.....................................................................................................................................10

9報(bào)告總結(jié)階段...............................................................................................................................................10

9.1一般條件...............................................................................................................................................11

9.2工作過(guò)程...............................................................................................................................................11

9.3主要工作任務(wù).......................................................................................................................................11

9.4輸入/輸出文檔.....................................................................................................................................12

附錄A（資料性）軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)活動(dòng)流程...........................................................................13

附錄B（資料性）軟件供應(yīng)鏈技術(shù)安全風(fēng)險(xiǎn)............................................................................................14

附錄C（資料性）軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)要素....................................................................................18

I

DB50/T1809—2025

附錄D（規(guī)范性）范圍與目標(biāo)確認(rèn)表........................................................................................................22

附錄E（規(guī)范性）開(kāi)源組件及源代碼調(diào)研表............................................................................................23

附錄F（資料性）初步評(píng)價(jià)對(duì)象列表........................................................................................................25

附錄G（資料性）主要源代碼靜態(tài)分析技術(shù)............................................................................................27

附錄H（資料性）軟件供應(yīng)鏈安全評(píng)價(jià)方案............................................................................................29

附錄I（資料性）評(píng)價(jià)依據(jù).........................................................................................................................31

附錄J（資料性）軟件供應(yīng)鏈安全評(píng)價(jià)報(bào)告.............................................................................................32

參考文獻(xiàn).............................................................................................................................................................34

II

DB50/T1809—2025

前??言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中共重慶市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室提出、歸口并組織實(shí)施。

本文件起草單位：數(shù)盾奇安（重慶）科技有限公司、重慶市質(zhì)量和標(biāo)準(zhǔn)化研究院、工業(yè)和信息化部網(wǎng)

絡(luò)安全產(chǎn)業(yè)發(fā)展中心（工業(yè)和信息化部信息中心）、中共重慶市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、重慶

市地礦測(cè)繪院有限公司、重慶西算大數(shù)據(jù)有限公司、重慶市互聯(lián)網(wǎng)新聞研究中心、重慶若可網(wǎng)絡(luò)安全測(cè)評(píng)

技術(shù)有限公司、中興通訊股份有限公司、重慶市璧山區(qū)黨政信息中心、重慶興農(nóng)融資擔(dān)保集團(tuán)有限公司、

先進(jìn)操作系統(tǒng)創(chuàng)新中心（天津）有限公司、重慶依企萊科技發(fā)展有限公司、重慶數(shù)字城市科技有限公司、

西南大學(xué)、重慶郵電大學(xué)、重慶理工大學(xué)、重慶交通大學(xué)、重慶中醫(yī)藥學(xué)院、重慶倍得林企業(yè)管理咨詢有

限公司、重慶恒揚(yáng)禾信息技術(shù)有限公司、中國(guó)汽車工程研究院股份有限公司、中國(guó)煙草總公司重慶市公司、

重慶三峽銀行股份有限公司、馬上消費(fèi)金融股份有限公司、重慶奇安信科技有限公司、重慶市中冉數(shù)字科

技有限公司。

本文件主要起草人：陳震宇、張彬哲、魏振國(guó)、郭威、李吉音、趙東、高二金、張波、毛艷、李蒙、

馬淵、李坪芮、王旭鋼、王婷、陶永沛、何秋躍、胡濤、姜敏、黃建洪、高巍、王歡歡、陳雨陽(yáng)、殷玲玲、

楊先赟、雷劍梅、范開(kāi)偉、宋海燕、劉家鑫、繆如燕、蔣洪志、韓熙、李寧、王悠悠、舒坤賢、劉穎、米

波、盧軍、唐明、楊秀峰、田進(jìn)、馮欣、周洋、張力、陳闊、馬培月、顏潔、王慧維、王夢(mèng)洲、陳青揚(yáng)。

III

DB50/T1809—2025

軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)指南

1范圍

本文件提供了軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)工作的指導(dǎo)，給出了安全技術(shù)評(píng)價(jià)的概述、準(zhǔn)備階段、方案

編制階段、實(shí)施階段和報(bào)告總結(jié)階段的相關(guān)信息。

本文件適用于軟件規(guī)劃設(shè)計(jì)、開(kāi)發(fā)實(shí)施及其運(yùn)行維護(hù)過(guò)程中的安全技術(shù)評(píng)價(jià)工作，可為第三方機(jī)構(gòu)

開(kāi)展軟件供應(yīng)鏈安全技術(shù)測(cè)評(píng)或測(cè)試提供依據(jù)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T34943C/C＋＋語(yǔ)言源代碼漏洞測(cè)試規(guī)范

GB/T34944Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范

GB/T34946C#語(yǔ)言源代碼漏洞測(cè)試規(guī)范

3術(shù)語(yǔ)和定義

GB/T25069、GB/T34943、GB/T34944、GB/T34946界定的以及下列術(shù)語(yǔ)和定義適用于本文

件。

3.1

軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)softwaresupplychainsecurityevaluation

評(píng)價(jià)專業(yè)機(jī)構(gòu)根據(jù)評(píng)價(jià)委托單位的評(píng)價(jià)目標(biāo)、評(píng)價(jià)范圍等，按照國(guó)家與地方法律法規(guī)及有關(guān)標(biāo)準(zhǔn)，

應(yīng)用風(fēng)險(xiǎn)框架，對(duì)軟件生命周期過(guò)程中面臨的各類安全風(fēng)險(xiǎn)，進(jìn)行測(cè)試評(píng)估的活動(dòng)。

注：本文件所指的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)主要包括編碼過(guò)程、開(kāi)源組件、工具等技術(shù)性風(fēng)險(xiǎn)。

3.2

評(píng)價(jià)對(duì)象targetofevaluation

軟件供應(yīng)鏈安全評(píng)價(jià)工作涉及的業(yè)務(wù)軟件、APP應(yīng)用等。

3.3

評(píng)價(jià)模塊moduleofevaluation

評(píng)價(jià)對(duì)象所包含的自建源代碼、開(kāi)源組件及擴(kuò)展安全等具體評(píng)價(jià)工作模塊。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）

1

DB50/T1809—2025

APP：移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（Application）

BSD：伯克利軟件套件（BerkeleySoftwareDistribution）

GPL：通用公共授權(quán)（GeneralPublicLicense）

LGPL：較寬松公共許可證（LesserGeneralPublicLicense）

SBOM：軟件物料清單（SoftwareBillofMaterials）

XSS：跨站腳本（Cross-SiteScripting）

5概述

5.1評(píng)價(jià)過(guò)程

包括評(píng)價(jià)準(zhǔn)備、方案編制、評(píng)價(jià)實(shí)施和報(bào)告總結(jié)等四個(gè)階段。技術(shù)評(píng)價(jià)過(guò)程宜根據(jù)評(píng)價(jià)專業(yè)機(jī)構(gòu)與

評(píng)價(jià)委托單位之間協(xié)商結(jié)果，調(diào)整相應(yīng)工作階段及各階段的任務(wù)。各階段主要工作任務(wù)和詳細(xì)工作流程

見(jiàn)附錄A。

5.2風(fēng)險(xiǎn)框架

在軟件供應(yīng)鏈各個(gè)供應(yīng)活動(dòng)中均可能引入安全隱患，導(dǎo)致軟件供應(yīng)鏈存在符合性風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)與

管理風(fēng)險(xiǎn)。如圖1所示，軟件供應(yīng)鏈符合性風(fēng)險(xiǎn)主要包括軟件供應(yīng)鏈的長(zhǎng)期支持、知識(shí)產(chǎn)權(quán)、信創(chuàng)工程

等國(guó)家及各行業(yè)、各領(lǐng)域共同關(guān)注的風(fēng)險(xiǎn)；軟件供應(yīng)鏈技術(shù)風(fēng)險(xiǎn)可能會(huì)進(jìn)一步導(dǎo)致軟件漏洞、軟件后門(mén)、

惡意篡改、信息泄露等安全風(fēng)險(xiǎn)；軟件供應(yīng)鏈管理風(fēng)險(xiǎn)主要關(guān)注流程、管理、人員、供應(yīng)商、環(huán)境等安

全風(fēng)險(xiǎn)。其他風(fēng)險(xiǎn)見(jiàn)附錄B。

圖1軟件供應(yīng)鏈風(fēng)險(xiǎn)框架

5.3評(píng)價(jià)模塊

包括源代碼安全評(píng)價(jià)、開(kāi)源組件安全評(píng)價(jià)和擴(kuò)展安全評(píng)價(jià)（見(jiàn)圖2）。源代碼安全評(píng)價(jià)針對(duì)自開(kāi)發(fā)

軟件編寫(xiě)代碼安全進(jìn)行評(píng)價(jià)（見(jiàn)附錄C.2）。開(kāi)源組件安全評(píng)價(jià)針對(duì)開(kāi)源平臺(tái)、開(kāi)源組件進(jìn)行評(píng)價(jià)（見(jiàn)

附錄C.3）。擴(kuò)展安全評(píng)價(jià)針對(duì)其他必要情形進(jìn)行評(píng)價(jià)（見(jiàn)附錄C.4）。各評(píng)價(jià)模塊與風(fēng)險(xiǎn)關(guān)系（見(jiàn)附

錄C.5）。

2

DB50/T1809—2025

圖2軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)模塊

5.4評(píng)價(jià)工作風(fēng)險(xiǎn)規(guī)避

在軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)工作中，可能會(huì)引發(fā)業(yè)務(wù)中斷、業(yè)務(wù)服務(wù)能力下降、敏感信息泄露、商

業(yè)秘密泄露以及惡意代碼植入等危害。宜通過(guò)采取如下措施規(guī)避上述風(fēng)險(xiǎn)：

a)簽署評(píng)價(jià)項(xiàng)目授權(quán)協(xié)議。在評(píng)價(jià)工作正式開(kāi)始前，宜簽署評(píng)價(jià)項(xiàng)目授權(quán)協(xié)議，明確評(píng)價(jià)工作的

目標(biāo)、范圍、人員安排、工作內(nèi)容、工作流程、工作時(shí)間等；

b)簽署安全保密協(xié)議。根據(jù)評(píng)價(jià)工作接觸的信息，相關(guān)機(jī)構(gòu)及人員宜簽署安全保密協(xié)議，約束評(píng)

價(jià)過(guò)程信息采集、傳輸、存儲(chǔ)、使用、發(fā)布等行為；

c)在線評(píng)價(jià)風(fēng)險(xiǎn)規(guī)避。評(píng)價(jià)機(jī)構(gòu)宜采取足夠的安全措施，保證評(píng)價(jià)委托單位的代碼元數(shù)據(jù)、代碼、

業(yè)務(wù)數(shù)據(jù)及個(gè)人信息等的安全；

d)現(xiàn)場(chǎng)評(píng)價(jià)風(fēng)險(xiǎn)規(guī)避。對(duì)于重大風(fēng)險(xiǎn)情形，評(píng)價(jià)雙方宜聯(lián)合制定應(yīng)急預(yù)案；對(duì)于模糊測(cè)試、滲透

測(cè)試等動(dòng)態(tài)安全評(píng)價(jià)，宜配置環(huán)境一致的模擬系統(tǒng)，在模擬環(huán)境下完成評(píng)價(jià)工作；

e)評(píng)價(jià)信息安全保護(hù)。評(píng)價(jià)涉及開(kāi)源組件、開(kāi)源模塊、源代碼等原始數(shù)據(jù)，如無(wú)特別約定，在工

作完成后評(píng)價(jià)機(jī)構(gòu)宜在評(píng)價(jià)委托單位監(jiān)督下，按照規(guī)范流程清除數(shù)據(jù)。

6評(píng)價(jià)準(zhǔn)備階段

6.1一般條件

6.1.1評(píng)價(jià)機(jī)構(gòu)

評(píng)價(jià)機(jī)構(gòu)宜滿足以下條件：

a)組建軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)項(xiàng)目工作組；

b)準(zhǔn)備被評(píng)價(jià)對(duì)象基本情況調(diào)查表格；

c)向評(píng)價(jià)委托單位相關(guān)責(zé)任人介紹軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)方法及流程；

d)向評(píng)價(jià)委托單位說(shuō)明軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)過(guò)程中可能存在的風(fēng)險(xiǎn)和規(guī)避方法；

e)初步分析被評(píng)價(jià)對(duì)象的安全狀況；

f)準(zhǔn)備用于評(píng)價(jià)工作的平臺(tái)與工具。

6.1.2評(píng)價(jià)委托單位

3

DB50/T1809—2025

評(píng)價(jià)委托單位宜滿足以下條件：

a)為評(píng)價(jià)機(jī)構(gòu)提供評(píng)價(jià)授權(quán)；

b)向評(píng)價(jià)機(jī)構(gòu)介紹被評(píng)價(jià)對(duì)象的基本情況；

c)提供評(píng)價(jià)機(jī)構(gòu)需要的相關(guān)材料；

d)為評(píng)價(jià)人員的信息收集工作提供支持和協(xié)調(diào)；

e)填寫(xiě)被評(píng)價(jià)對(duì)象的基本情況調(diào)查表；

f)根據(jù)被評(píng)價(jià)對(duì)象的具體情況，為評(píng)價(jià)時(shí)間和評(píng)價(jià)工作安排適宜的建議；

g)牽頭制定應(yīng)急預(yù)案。

6.2工作過(guò)程

6.2.1目標(biāo)

宜包括以下內(nèi)容：

a)確保項(xiàng)目在預(yù)定時(shí)間內(nèi)順利開(kāi)始；

b)建立有效的項(xiàng)目溝通機(jī)制；

c)明確項(xiàng)目的具體范圍和界限；

d)初步確定項(xiàng)目關(guān)鍵信息、平臺(tái)與工具。

6.2.2流程

評(píng)價(jià)準(zhǔn)備階段包括評(píng)價(jià)工作啟動(dòng)、范圍與目標(biāo)確定、信息收集和分析和平臺(tái)與工具準(zhǔn)備等四個(gè)主要

任務(wù)，工作流程見(jiàn)圖3。

圖3評(píng)價(jià)準(zhǔn)備階段工作流程

6.3主要工作任務(wù)

6.3.1評(píng)價(jià)工作啟動(dòng)

由評(píng)價(jià)機(jī)構(gòu)與評(píng)價(jià)委托單位雙方項(xiàng)目負(fù)責(zé)人、技術(shù)專家等相關(guān)人員舉行項(xiàng)目啟動(dòng)會(huì)。主要工作任務(wù)

宜包括：

a)評(píng)價(jià)機(jī)構(gòu)根據(jù)評(píng)價(jià)項(xiàng)目授權(quán)協(xié)議中的項(xiàng)目范圍、項(xiàng)目目標(biāo)和項(xiàng)目規(guī)模，組建評(píng)價(jià)項(xiàng)目工作團(tuán)隊(duì)，

并編制項(xiàng)目計(jì)劃書(shū)；

b)評(píng)價(jià)機(jī)構(gòu)對(duì)評(píng)價(jià)委托單位的項(xiàng)目干系人員，進(jìn)行項(xiàng)目流程、評(píng)價(jià)手段、評(píng)價(jià)指標(biāo)的詳細(xì)講解，

并對(duì)評(píng)價(jià)委托單位在項(xiàng)目中的配合工作開(kāi)展簡(jiǎn)單培訓(xùn)。

4

DB50/T1809—2025

6.3.2范圍與目標(biāo)確定

包括評(píng)價(jià)范圍確定與評(píng)價(jià)目標(biāo)確定，評(píng)價(jià)范圍明確評(píng)價(jià)工作的對(duì)象范圍、模塊類型及規(guī)模，評(píng)價(jià)目

標(biāo)確定評(píng)價(jià)工作的價(jià)值。主要工作任務(wù)宜包括：

a)根據(jù)約定范圍，評(píng)價(jià)機(jī)構(gòu)按照《范圍與目標(biāo)確認(rèn)表》（見(jiàn)附錄D）收集并分析軟件、APP應(yīng)

用、開(kāi)發(fā)平臺(tái)、源代碼、開(kāi)源組件等基本信息；

b)由評(píng)價(jià)委托單位確定整體評(píng)價(jià)目標(biāo)，評(píng)價(jià)機(jī)構(gòu)根據(jù)整體評(píng)價(jià)目標(biāo)，編制各評(píng)價(jià)模塊目標(biāo)，各評(píng)

價(jià)模塊目標(biāo)界限宜在整體評(píng)價(jià)目標(biāo)界限內(nèi)；

c)評(píng)價(jià)雙方根據(jù)收集的基本信息，結(jié)合項(xiàng)目進(jìn)度、目標(biāo)、風(fēng)險(xiǎn)等因素，確定最終評(píng)價(jià)范圍。

6.3.3信息收集與分析

評(píng)價(jià)機(jī)構(gòu)根據(jù)確定的評(píng)價(jià)目標(biāo)和評(píng)價(jià)范圍，詳細(xì)收集相應(yīng)信息，進(jìn)一步明確工作內(nèi)容的組成，主要

工作任務(wù)宜包括：

a)評(píng)價(jià)機(jī)構(gòu)明確評(píng)價(jià)對(duì)象信息，包括業(yè)務(wù)軟件、APP等使用情況、開(kāi)發(fā)及維護(hù)文檔等信息；

b)評(píng)價(jià)委托單位根據(jù)評(píng)價(jià)機(jī)構(gòu)提供的《開(kāi)源組件及源代碼調(diào)研表》（見(jiàn)附錄E），填寫(xiě)開(kāi)源組件、

源代碼等信息；

c)評(píng)價(jià)機(jī)構(gòu)分析調(diào)研表格后評(píng)價(jià)工作難易程度，參考軟件開(kāi)發(fā)文檔，形成《初步評(píng)價(jià)對(duì)象列表》

（見(jiàn)附錄F）；

d)評(píng)價(jià)委托單位確認(rèn)《初步評(píng)價(jià)對(duì)象列表》。

6.3.4平臺(tái)與工具準(zhǔn)備

宜采取自動(dòng)化評(píng)價(jià)與人工驗(yàn)證相結(jié)合的方式，采用靜態(tài)分析技術(shù)進(jìn)行，評(píng)價(jià)方法主要為在線評(píng)價(jià)與

現(xiàn)場(chǎng)評(píng)價(jià)。主要工作任務(wù)宜包括：

a)評(píng)價(jià)機(jī)構(gòu)依據(jù)初步確定的評(píng)價(jià)對(duì)象列表、開(kāi)源組件列表、自建代碼統(tǒng)計(jì)信息等確定評(píng)價(jià)方法；

b)評(píng)價(jià)機(jī)構(gòu)根據(jù)確定的評(píng)價(jià)方法，選擇合適的評(píng)價(jià)平臺(tái)、評(píng)價(jià)工具、評(píng)價(jià)輔助工具與提供配套文

檔等；

c)評(píng)價(jià)機(jī)構(gòu)就評(píng)價(jià)方法、評(píng)價(jià)平臺(tái)使用中可能存在的風(fēng)險(xiǎn)進(jìn)行提示，對(duì)評(píng)價(jià)委托單位相關(guān)人員開(kāi)

展評(píng)價(jià)平臺(tái)、評(píng)價(jià)工具的使用與風(fēng)險(xiǎn)規(guī)避培訓(xùn)。

6.4輸入/輸出文檔

評(píng)價(jià)準(zhǔn)備階段主要輸入與輸出文檔見(jiàn)表1。

表1評(píng)價(jià)準(zhǔn)備階段主要輸入/輸出文檔

任務(wù)輸入文檔輸出文檔主要內(nèi)容

項(xiàng)目目標(biāo)、項(xiàng)目依據(jù)、工作步驟、評(píng)價(jià)內(nèi)容、評(píng)價(jià)方

項(xiàng)目工作計(jì)劃

評(píng)價(jià)工作啟動(dòng)評(píng)價(jià)項(xiàng)目授權(quán)協(xié)議法、進(jìn)度及人員安排、技術(shù)重難點(diǎn)分析等

會(huì)議紀(jì)要會(huì)議時(shí)間、參會(huì)人員、主要事項(xiàng)、下一步工作計(jì)劃等

評(píng)價(jià)工作啟動(dòng)輸出業(yè)務(wù)軟件情況、APP情況、源代碼情況、開(kāi)源組件

范圍與目標(biāo)確評(píng)價(jià)范圍清單

范圍與目標(biāo)調(diào)研表格情況等

定

安全保密協(xié)議評(píng)價(jià)目標(biāo)清單整體目標(biāo)、模塊評(píng)價(jià)目標(biāo)等

范圍與目標(biāo)確定輸出開(kāi)源組件列表維護(hù)組織、組件名稱、開(kāi)發(fā)語(yǔ)言、組件版本、用途等

信息收集與分

開(kāi)源組件及源代碼調(diào)研表格自建代碼統(tǒng)計(jì)信息開(kāi)發(fā)語(yǔ)言、開(kāi)發(fā)平臺(tái)、開(kāi)發(fā)工具等

析

軟件開(kāi)發(fā)文件初步評(píng)價(jià)對(duì)象列表業(yè)務(wù)軟件、開(kāi)源組件、源代碼等關(guān)系列表

5

DB50/T1809—2025

表1評(píng)價(jià)準(zhǔn)備階段主要輸入/輸出文檔（續(xù)）

任務(wù)輸入文檔輸出文檔主要內(nèi)容

信息收集與分析輸出評(píng)價(jià)方法、評(píng)價(jià)平臺(tái)、評(píng)價(jià)工具、評(píng)價(jià)輔助工具、評(píng)

平臺(tái)與工具準(zhǔn)備平臺(tái)與工具列表

風(fēng)險(xiǎn)告知書(shū)價(jià)涉及交接文檔等

注：文檔未包含應(yīng)急響應(yīng)相關(guān)文檔，必要時(shí)，評(píng)價(jià)雙方可參考GB/T24363—2009第6章，編制應(yīng)急預(yù)案。評(píng)價(jià)雙

方也可根據(jù)項(xiàng)目實(shí)際情況，增減相應(yīng)的輸入/輸出文檔，簡(jiǎn)化輸出文檔內(nèi)容。

7方案編制階段

7.1一般條件

7.1.1評(píng)價(jià)機(jī)構(gòu)

評(píng)價(jià)機(jī)構(gòu)宜滿足以下條件：

a)系統(tǒng)分析評(píng)價(jià)對(duì)象的組成、規(guī)模及工程難度；

b)驗(yàn)證評(píng)價(jià)工作平臺(tái)、評(píng)價(jià)相關(guān)工具的有效性、安全性；

c)建議最終評(píng)價(jià)對(duì)象、評(píng)價(jià)模塊、評(píng)價(jià)方法；

d)編制包含風(fēng)險(xiǎn)規(guī)避計(jì)劃的評(píng)價(jià)實(shí)施方案。

7.1.2評(píng)價(jià)委托單位

評(píng)價(jià)委托單位宜滿足以下條件：

a)為評(píng)價(jià)機(jī)構(gòu)分析提供資源支持；

b)決定最終評(píng)價(jià)對(duì)象、評(píng)價(jià)模塊、評(píng)價(jià)方法；

c)審核與確定評(píng)價(jià)實(shí)施方案。

7.2工作過(guò)程

7.2.1目標(biāo)

宜包括以下內(nèi)容：

a)界定評(píng)價(jià)的具體內(nèi)容；

b)確定評(píng)價(jià)方法；

c)明確評(píng)價(jià)的重難點(diǎn)與流程；

d)識(shí)別評(píng)價(jià)過(guò)程中潛在的風(fēng)險(xiǎn)點(diǎn)及規(guī)避方法。

7.2.2流程

包括評(píng)價(jià)對(duì)象確定、評(píng)價(jià)模塊確定、評(píng)價(jià)方法確定、評(píng)價(jià)方案編制和評(píng)價(jià)過(guò)程指南開(kāi)發(fā)等五個(gè)主要

任務(wù)，工作流程見(jiàn)圖4。

6

DB50/T1809—2025

圖4方案編制工作流程

7.3主要工作任務(wù)

7.3.1評(píng)價(jià)對(duì)象確定

根據(jù)《初步評(píng)價(jià)對(duì)象列表》，分析評(píng)價(jià)對(duì)象的規(guī)模、構(gòu)成、特點(diǎn)，結(jié)合項(xiàng)目工作目標(biāo)等因素，確定

評(píng)價(jià)對(duì)象，并明確工作邊界。主要工作任務(wù)宜包括：

a)部署模擬環(huán)境或開(kāi)發(fā)、發(fā)布環(huán)境提取方式，獲取《初步評(píng)價(jià)對(duì)象列表》涉及評(píng)價(jià)對(duì)象的業(yè)務(wù)環(huán)

境、開(kāi)源組件、自建代碼等信息；

b)分析初步評(píng)價(jià)對(duì)象列表的自建代碼規(guī)模、開(kāi)源組件情況；

c)分析各類因素，確定評(píng)價(jià)對(duì)象及其評(píng)價(jià)工作邊界。

7.3.2評(píng)價(jià)模塊確定

根據(jù)評(píng)價(jià)對(duì)象確定自建源代碼、開(kāi)源組件及擴(kuò)展安全等工作模塊，主要工作任務(wù)宜包括：

a)按照統(tǒng)一規(guī)則、唯一標(biāo)識(shí)自建源代碼，可根據(jù)軟件、APP應(yīng)用對(duì)自建代碼初步標(biāo)識(shí)；

b)按照識(shí)別的開(kāi)源組件名稱、版本號(hào)等信息標(biāo)識(shí)開(kāi)源組件；

c)進(jìn)一步確定自建代碼中的開(kāi)源組件、插件等信息；

d)確定擴(kuò)展評(píng)價(jià)模塊信息。

7.3.3評(píng)價(jià)方法確定

宜采用靜態(tài)分析技術(shù)對(duì)源代碼、開(kāi)源組件等進(jìn)行評(píng)價(jià)評(píng)估。靜態(tài)分析技術(shù)采用主要方法見(jiàn)附錄G。

源代碼評(píng)價(jià)宜盡可能獲取更多代碼信息，根據(jù)預(yù)先設(shè)定的漏洞特征、安全規(guī)則等評(píng)價(jià)缺陷。

開(kāi)源組件評(píng)價(jià)可提取軟件中開(kāi)源組件的開(kāi)源軟件標(biāo)識(shí)、維護(hù)組織、版本信息等特征，宜通過(guò)平臺(tái)、

工具或人工的方式分析開(kāi)源組件特征，評(píng)價(jià)漏洞、開(kāi)源組件版本、開(kāi)源許可協(xié)議等風(fēng)險(xiǎn)信息，也可直接

提取開(kāi)源組件源代碼包、遠(yuǎn)程代碼倉(cāng)庫(kù)發(fā)起開(kāi)源軟件分析任務(wù)。

評(píng)價(jià)雙方宜溝通、驗(yàn)證方法的充分性、有效性、適宜性。主要工作任務(wù)宜包括：

a)確定是否完全采用靜態(tài)分析技術(shù)，如涉及動(dòng)態(tài)分析技術(shù)，宜制定相應(yīng)工作規(guī)范、應(yīng)急預(yù)案等；

b)確定采用的靜態(tài)分析技術(shù)方法；

c)確定在線評(píng)價(jià)方法與現(xiàn)場(chǎng)評(píng)價(jià)方法各自的適用范圍。

7.3.4評(píng)價(jià)方案編制

宜明確評(píng)價(jià)實(shí)施對(duì)象、模塊、流程、方法、內(nèi)容和風(fēng)險(xiǎn)規(guī)避等信息，編制大綱見(jiàn)附錄H。評(píng)價(jià)方案

編制工作要點(diǎn)如下：

7

DB50/T1809—2025

a)根據(jù)確定的評(píng)價(jià)模塊、評(píng)價(jià)方法，結(jié)合雙方協(xié)商風(fēng)險(xiǎn)模型（見(jiàn)附錄B）及安全評(píng)價(jià)要素（見(jiàn)附

錄C），確定評(píng)價(jià)內(nèi)容；

b)估算在線評(píng)價(jià)、現(xiàn)場(chǎng)評(píng)價(jià)、報(bào)告編制及其配套后續(xù)活動(dòng)工作難度和工作量；

c)進(jìn)一步完善評(píng)價(jià)團(tuán)隊(duì)專業(yè)人員配置；

d)編制評(píng)價(jià)工作計(jì)劃，包括：人員安排、進(jìn)度安排、評(píng)價(jià)內(nèi)容安排等；

e)編制風(fēng)險(xiǎn)規(guī)避計(jì)劃；

f)雙方共同評(píng)審a）～e）內(nèi)容，匯總形成評(píng)價(jià)實(shí)施方案。

7.3.5評(píng)價(jià)過(guò)程指南開(kāi)發(fā)

宜結(jié)合評(píng)價(jià)實(shí)施流程、風(fēng)險(xiǎn)規(guī)避計(jì)劃編寫(xiě)，宜直觀、詳實(shí)及具有可操作性。主要工作任務(wù)宜包括：

a)根據(jù)評(píng)價(jià)目標(biāo)、評(píng)價(jià)模塊、評(píng)價(jià)方法等，確定具體評(píng)價(jià)單元；

b)驗(yàn)證評(píng)價(jià)模塊、評(píng)價(jià)單元?jiǎng)澐值暮侠硇浴⒖蓪?shí)施性；

c)開(kāi)發(fā)評(píng)價(jià)結(jié)果記錄表單模板；

d)培訓(xùn)相關(guān)人員。

7.4輸入/輸出文檔

方案編制階段輸入與輸出文檔見(jiàn)表2。

表2方案編制階段主要輸入/輸出文檔

任務(wù)輸入文檔輸出文檔主要內(nèi)容

評(píng)價(jià)對(duì)象確定初步評(píng)價(jià)對(duì)象列表評(píng)價(jià)對(duì)象列表待評(píng)價(jià)軟件、APP等列表

自建代碼應(yīng)用或APP名單、涉及開(kāi)源組

評(píng)價(jià)模塊確定/評(píng)價(jià)模塊名單

件名單、擴(kuò)展評(píng)價(jià)清單等

自動(dòng)化/人工評(píng)價(jià)、靜/動(dòng)態(tài)分析技術(shù)、在

評(píng)價(jià)方法列表

評(píng)價(jià)方法確定/線/現(xiàn)場(chǎng)評(píng)價(jià)等

評(píng)價(jià)模塊、方法對(duì)應(yīng)關(guān)系評(píng)價(jià)方法、評(píng)價(jià)模塊、評(píng)價(jià)單元

評(píng)價(jià)范圍清單

評(píng)價(jià)方案編制評(píng)價(jià)方案見(jiàn)附錄H

評(píng)價(jià)目標(biāo)清單

評(píng)價(jià)模塊、評(píng)價(jià)單元、單元評(píng)價(jià)目標(biāo)、單

評(píng)價(jià)過(guò)程指南開(kāi)發(fā)各類標(biāo)準(zhǔn)規(guī)范評(píng)價(jià)過(guò)程指南

元評(píng)價(jià)流程、單元預(yù)期結(jié)果等

注：本表的輸入文檔內(nèi)容中，省略了上一階段或上一任務(wù)輸出的內(nèi)容描述。

8評(píng)價(jià)實(shí)施階段

8.1一般條件

8.1.1評(píng)價(jià)機(jī)構(gòu)

評(píng)價(jià)機(jī)構(gòu)宜滿足以下條件：

a)實(shí)施安全評(píng)價(jià)，并記錄、分析結(jié)果；

b)按照約定保護(hù)源代碼、開(kāi)源組件等安全，并在評(píng)價(jià)完成后按要求處置相關(guān)資源；

c)必要時(shí)，啟動(dòng)并實(shí)施應(yīng)急預(yù)案；

d)以正式會(huì)議形式，向評(píng)價(jià)委托單位匯報(bào)評(píng)價(jià)初步結(jié)論。

8

DB50/T1809—2025

8.1.2評(píng)價(jià)委托單位

評(píng)價(jià)委托單位宜滿足以下條件：

a)提供評(píng)價(jià)環(huán)境（搭建模擬環(huán)境）、評(píng)價(jià)資源（如最新代碼等）及評(píng)價(jià)配合人員；

b)監(jiān)督、配合評(píng)價(jià)實(shí)施與剩余信息保護(hù)（剩余信息保護(hù)指在處理敏感信息時(shí)，確保在處理完畢后，

不會(huì)在系統(tǒng)中保留任何敏感信息），按需決定是否啟動(dòng)應(yīng)急預(yù)案；

c)確認(rèn)評(píng)價(jià)初步結(jié)論。

8.2工作過(guò)程

8.2.1目標(biāo)

宜包括以下內(nèi)容：

a)確保評(píng)價(jià)記錄準(zhǔn)確；

b)確保評(píng)價(jià)過(guò)程安全；

c)確保評(píng)價(jià)結(jié)果真實(shí)、有效。

8.2.2流程

包括實(shí)施準(zhǔn)備、評(píng)價(jià)執(zhí)行和初步結(jié)論等三個(gè)主要任務(wù)，工作流程見(jiàn)圖5。

圖5評(píng)價(jià)實(shí)施工作流程

8.3主要工作任務(wù)

8.3.1實(shí)施準(zhǔn)備

根據(jù)評(píng)價(jià)模塊、評(píng)價(jià)方法等，由評(píng)價(jià)雙方精準(zhǔn)定位評(píng)價(jià)對(duì)象、評(píng)價(jià)單元及進(jìn)一步確定風(fēng)險(xiǎn)和規(guī)避方

式。主要工作任務(wù)宜包括：

a)召開(kāi)評(píng)價(jià)實(shí)施會(huì)議，雙方確認(rèn)風(fēng)險(xiǎn)告知書(shū)，評(píng)價(jià)委托單位簽發(fā)評(píng)價(jià)實(shí)施開(kāi)工授權(quán)；

b)評(píng)價(jià)機(jī)構(gòu)搭建安全的、可靠的源代碼評(píng)價(jià)環(huán)境，包括物理環(huán)境、軟件編譯環(huán)境等；

c)評(píng)價(jià)委托機(jī)構(gòu)搭建業(yè)務(wù)軟件或APP應(yīng)用模擬平臺(tái)，授權(quán)提取源代碼；

d)雙方確認(rèn)評(píng)價(jià)環(huán)境、軟件模擬環(huán)境、軟件代碼的真實(shí)性、有效性；

e)進(jìn)一步確定評(píng)價(jià)方案、評(píng)價(jià)過(guò)程指南的有效性。

8.3.2評(píng)價(jià)執(zhí)行

在線評(píng)價(jià)

9

DB50/T1809—2025

通過(guò)互聯(lián)網(wǎng)進(jìn)行安全評(píng)價(jià)，主要用于開(kāi)源組件類模塊評(píng)價(jià)，在雙方確認(rèn)安全的情況下，也可用于源

代碼安全評(píng)價(jià)。主要工作任務(wù)宜包括：

a)使用評(píng)價(jià)平臺(tái)或評(píng)價(jià)輔助工具提取開(kāi)源組件特征信息，并將特征信息上傳到評(píng)價(jià)平臺(tái)；

b)根據(jù)評(píng)價(jià)實(shí)施方案、評(píng)價(jià)過(guò)程指南通過(guò)評(píng)價(jià)平臺(tái)實(shí)施在線評(píng)價(jià)；

c)根據(jù)雙方約定處置開(kāi)源特征碼；

d)在確保安全前提下，提取源代碼，通過(guò)安全通道上傳平臺(tái)，對(duì)源代碼實(shí)施在線評(píng)價(jià)，并按照約

定處置源代碼信息。

現(xiàn)場(chǎng)評(píng)價(jià)

在評(píng)價(jià)委托單位指定場(chǎng)所實(shí)施評(píng)價(jià)活動(dòng)，在指定場(chǎng)所搭建評(píng)價(jià)平臺(tái)，可用于所有模塊實(shí)施評(píng)價(jià)。主

要工作任務(wù)宜包括：

a)搭建評(píng)價(jià)平臺(tái)；

b)測(cè)試評(píng)價(jià)平臺(tái)有效性；

c)根據(jù)評(píng)價(jià)實(shí)施方案、評(píng)價(jià)過(guò)程指南通過(guò)評(píng)價(jià)平臺(tái)實(shí)施現(xiàn)場(chǎng)評(píng)價(jià)；

d)根據(jù)雙方約定處置開(kāi)源特征碼、源代碼；

e)必要時(shí)，通過(guò)動(dòng)態(tài)評(píng)價(jià)技術(shù)進(jìn)一步評(píng)價(jià)軟件安全性。

8.3.3形成初步結(jié)論

主要工作任務(wù)宜包括：

a)雙方確定評(píng)價(jià)工作結(jié)束，并簽訂評(píng)價(jià)結(jié)束確認(rèn)書(shū)；

b)匯總在線評(píng)價(jià)、現(xiàn)場(chǎng)評(píng)價(jià)所有評(píng)價(jià)結(jié)果；

c)召開(kāi)正式會(huì)議交換評(píng)價(jià)過(guò)程、初步結(jié)論信息。

8.4輸入/輸出文檔

評(píng)價(jià)實(shí)施階段輸入與輸出文檔見(jiàn)表3。

表3評(píng)價(jià)實(shí)施階段主要輸入/輸出文檔

任務(wù)輸入文檔輸出文檔主要內(nèi)容

風(fēng)險(xiǎn)告知書(shū)風(fēng)險(xiǎn)列表、可能后果等

實(shí)施準(zhǔn)備/

評(píng)價(jià)實(shí)施開(kāi)工授權(quán)授權(quán)評(píng)價(jià)源代碼、開(kāi)發(fā)平臺(tái)、發(fā)布平臺(tái)、開(kāi)源組件等

評(píng)價(jià)實(shí)施方案在線評(píng)價(jià)記錄

評(píng)價(jià)執(zhí)行評(píng)價(jià)單元、評(píng)價(jià)單元記錄、剩余信息處置記錄等

評(píng)價(jià)過(guò)程指南現(xiàn)場(chǎng)評(píng)價(jià)記錄

評(píng)價(jià)結(jié)束確認(rèn)書(shū)評(píng)價(jià)時(shí)間、參與人員、是否啟動(dòng)應(yīng)急預(yù)案等

形成初步結(jié)論/初步風(fēng)險(xiǎn)列表漏洞列表、版本建議、開(kāi)發(fā)語(yǔ)言建議等

會(huì)議材料評(píng)價(jià)過(guò)程、評(píng)價(jià)初步結(jié)論、下一步工作計(jì)劃等

注：本表的輸入文檔內(nèi)容中，省略了如下信息：

1）上一階段或上一任務(wù)輸出的內(nèi)容描述；

2）工作日志、會(huì)議紀(jì)要；

3）非文檔性輸入/輸出。

9報(bào)告總結(jié)階段

10

DB50/T1809—2025

9.1一般條件

9.1.1評(píng)價(jià)機(jī)構(gòu)

評(píng)價(jià)機(jī)構(gòu)宜滿足以下條件：

a)分析并評(píng)價(jià)評(píng)價(jià)單元、模塊風(fēng)險(xiǎn)等級(jí)；

b)關(guān)聯(lián)分析并評(píng)價(jià)評(píng)價(jià)對(duì)象安全風(fēng)險(xiǎn)；

c)編制包含安全改進(jìn)建議的評(píng)價(jià)報(bào)告。

9.1.2評(píng)價(jià)委托單位

評(píng)價(jià)委托單位宜滿足以下條件：

a)確認(rèn)評(píng)價(jià)單元、模塊、對(duì)象評(píng)價(jià)結(jié)果；

b)審核并簽收評(píng)價(jià)報(bào)告；

c)召開(kāi)總結(jié)會(huì)議，確認(rèn)安全改進(jìn)風(fēng)險(xiǎn)點(diǎn)。

9.2工作過(guò)程

9.2.1目標(biāo)

宜包括以下內(nèi)容：

a)形成全面、準(zhǔn)確的評(píng)價(jià)結(jié)論；

b)匯報(bào)并溝通評(píng)價(jià)過(guò)程及結(jié)論。

9.2.2流程

報(bào)告總結(jié)階段包括模塊風(fēng)險(xiǎn)判定、整體風(fēng)險(xiǎn)分析、評(píng)價(jià)報(bào)告編制和總結(jié)與建議等四個(gè)主要任務(wù)，工

作流程見(jiàn)圖6。

圖6報(bào)告總結(jié)工作流程

9.3主要工作任務(wù)

9.3.1模塊風(fēng)險(xiǎn)判定

根據(jù)模塊的各單元評(píng)價(jià)結(jié)論，客觀、準(zhǔn)確地綜合判定模塊風(fēng)險(xiǎn)，并分析風(fēng)險(xiǎn)的活動(dòng)。判定可全程人

工完成，也可借助一定工具輔助。主要工作任務(wù)宜包括：

a)根據(jù)模塊，匯總評(píng)價(jià)單元記錄、漏洞列表等信息，綜合分析模塊風(fēng)險(xiǎn)情況；

b)雙方確認(rèn)各模塊風(fēng)險(xiǎn)判定結(jié)果。

11

DB50/T1809—2025

9.3.2整體風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析過(guò)程可聘請(qǐng)有關(guān)專家參與。主要工作任務(wù)宜包括：

a)對(duì)風(fēng)險(xiǎn)進(jìn)行關(guān)聯(lián)分析，識(shí)別其相互關(guān)系和影響，根據(jù)分析結(jié)果得出整體風(fēng)險(xiǎn)結(jié)論，并修正各模

塊和單元的高中低風(fēng)險(xiǎn)級(jí)別；

b)確認(rèn)風(fēng)險(xiǎn)之間依賴、耦合關(guān)系，對(duì)風(fēng)險(xiǎn)進(jìn)行必要排序；

c)必要時(shí)，根據(jù)風(fēng)險(xiǎn)分析結(jié)果及約定的評(píng)價(jià)依據(jù)（參考附錄I），給出評(píng)價(jià)結(jié)論。

9.3.3評(píng)價(jià)報(bào)告編制

根據(jù)各類過(guò)程文檔與評(píng)價(jià)結(jié)論，編制報(bào)告，報(bào)告格式見(jiàn)附錄J。主要工作任務(wù)宜包括：

a)報(bào)告編制，編寫(xiě)詳細(xì)的報(bào)告草稿，確保所有相關(guān)信息和數(shù)據(jù)完整且準(zhǔn)確；

b)組織報(bào)告評(píng)審，對(duì)評(píng)審意見(jiàn)進(jìn)行整理和反饋，修改并完善報(bào)告內(nèi)容；

c)和評(píng)價(jià)委托單位確認(rèn)報(bào)告內(nèi)容，確保報(bào)告準(zhǔn)確反映評(píng)價(jià)結(jié)論。確認(rèn)無(wú)誤后，正式發(fā)布最終報(bào)告。

9.3.4總結(jié)與建議

根據(jù)評(píng)價(jià)過(guò)程與評(píng)價(jià)報(bào)告，總結(jié)評(píng)價(jià)工作，并對(duì)安全問(wèn)題做簡(jiǎn)要改進(jìn)建議，主要工作宜包括：

a)以正式會(huì)議形式總結(jié)評(píng)價(jià)過(guò)程、評(píng)價(jià)結(jié)論，評(píng)價(jià)中的重點(diǎn)問(wèn)題；

b)對(duì)評(píng)價(jià)中必要的問(wèn)題做改進(jìn)建議：包括改進(jìn)順序、改進(jìn)依賴、必須改進(jìn)內(nèi)容建議等；

c)結(jié)束評(píng)價(jià)活動(dòng)。

9.4輸入/輸出文檔

報(bào)告總結(jié)階段輸入與輸出文檔如見(jiàn)表4。

表4報(bào)告總結(jié)階段主要輸入/輸出文檔

任務(wù)輸入文檔輸出文檔主要內(nèi)容

評(píng)價(jià)模塊風(fēng)險(xiǎn)等級(jí)模塊風(fēng)險(xiǎn)名稱、風(fēng)險(xiǎn)等級(jí)表等

模塊風(fēng)險(xiǎn)判定初步風(fēng)險(xiǎn)列表模塊風(fēng)險(xiǎn)后果簡(jiǎn)易說(shuō)明、安全加固方法

模塊初步安全建議

建議等

關(guān)聯(lián)分析記錄關(guān)聯(lián)分析過(guò)程、關(guān)聯(lián)分析結(jié)論等

整體風(fēng)險(xiǎn)分析/高風(fēng)險(xiǎn)分析情況高風(fēng)險(xiǎn)類型、高風(fēng)險(xiǎn)列表等

中低風(fēng)險(xiǎn)分析情況中低風(fēng)險(xiǎn)類型、中低風(fēng)險(xiǎn)列表等

評(píng)價(jià)報(bào)告編制/評(píng)價(jià)報(bào)告參見(jiàn)附錄J

會(huì)議資料評(píng)價(jià)報(bào)告內(nèi)容等

總結(jié)與建議風(fēng)險(xiǎn)準(zhǔn)則

簡(jiǎn)易改進(jìn)建議風(fēng)險(xiǎn)排序、改進(jìn)順序建議等

注：本表的輸入文檔內(nèi)容中，省略了如下信息：

1）上一階段或上一任務(wù)輸出的內(nèi)容描述；

2）會(huì)議紀(jì)要。

12

DB50/T1809—2025

AA

附錄A

（資料性）

軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)活動(dòng)流程

圖A.1給出了軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)四個(gè)階段涉及的活動(dòng)流程。

圖A.1軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)活動(dòng)流程

13

DB50/T1809—2025

BB

附錄B

（資料性）

軟件供應(yīng)鏈技術(shù)安全風(fēng)險(xiǎn)

B.1概述

主要包括軟件漏洞、軟件后門(mén)、惡意篡改、信息泄露和其他風(fēng)險(xiǎn)，為方案編制提供參考。

B.2輸入驗(yàn)證和表示

主要包括以下內(nèi)容：

a)緩沖區(qū)溢出。通過(guò)使用計(jì)算機(jī)向緩沖區(qū)內(nèi)填充超過(guò)緩沖區(qū)本身的容量的數(shù)據(jù)位數(shù)，造成溢出數(shù)

據(jù)覆蓋在合法數(shù)據(jù)上。緩沖區(qū)溢出攻擊能導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動(dòng)等。攻擊者

甚至能利用緩沖區(qū)溢出執(zhí)行非授權(quán)指令，獲取系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。

b)XSS。通過(guò)利用網(wǎng)頁(yè)開(kāi)發(fā)時(shí)留下的漏洞，將惡意指令代碼注入應(yīng)用程序的響應(yīng)中，使用戶加載

并執(zhí)行攻擊者惡意制造的程序。這些惡意程序可能包括病毒、蠕蟲(chóng)、木馬等，它們會(huì)損害用戶

的計(jì)算機(jī)和數(shù)據(jù)安全，或者執(zhí)行一些未經(jīng)授權(quán)的操作，如竊取用戶信息、破壞系統(tǒng)文件等。

c)格式化字符串。格式化字符串漏洞發(fā)生的原因通常是格式化字符串中的占位符與實(shí)際提供的參

數(shù)不匹配。攻擊者能通過(guò)構(gòu)造包含特定格式說(shuō)明符的輸入字符串，來(lái)讀取和修改程序內(nèi)存中的

敏感數(shù)據(jù)。格式化字符串漏洞的危害包括但不限于：信息泄露、代碼執(zhí)行、拒絕服務(wù)攻擊。

d)日志偽造。系統(tǒng)后臺(tái)輸出的日志中包含前端用戶輸入的內(nèi)容時(shí)，用戶能輸入特定的符號(hào)或代碼，

從而篡改日志中原本應(yīng)輸出的正常內(nèi)容。攻擊者可能向日志文件中注入代碼或其他命令，利用

日志處理來(lái)執(zhí)行惡意行為。

e)路徑操縱。攻擊者能通過(guò)用戶輸入來(lái)控制文件系統(tǒng)操作所用的路徑來(lái)訪問(wèn)或修改其他受保護(hù)的

系統(tǒng)資源，達(dá)到攻擊的目的。

f)SQL注入。攻擊者在應(yīng)用程序的輸入字段中插入或注入惡意的SQL代碼，控制或操縱原本由

應(yīng)用程序執(zhí)行的SQL查詢，繞過(guò)應(yīng)用程序的安全機(jī)制，直接與數(shù)據(jù)庫(kù)進(jìn)行交互。

g)不安全的反射。攻擊者使用具有反射功能的外部輸入來(lái)選擇不正確的類或代碼，創(chuàng)建開(kāi)發(fā)人員

不想要的邏輯路徑，這些路徑可能會(huì)繞過(guò)身份驗(yàn)證或訪問(wèn)控制檢查，導(dǎo)致系統(tǒng)執(zhí)行未經(jīng)授權(quán)的

代碼或命令、改變執(zhí)行邏輯、崩潰、退出或重啟。

h)XML驗(yàn)證。XML文件在處理過(guò)程中未經(jīng)過(guò)充分或正確的驗(yàn)證，攻擊者利用未經(jīng)驗(yàn)證的XML

輸入來(lái)執(zhí)行惡意操作，如代碼注入、數(shù)據(jù)竊取或拒絕服務(wù)攻擊等。

B.3API濫用

主要包括以下內(nèi)容：

a)危險(xiǎn)函數(shù)。可能帶來(lái)安全風(fēng)險(xiǎn)或潛在漏洞的函數(shù)，不當(dāng)使用可能導(dǎo)致系統(tǒng)安全漏洞。

b)堆檢查。堆檢查不當(dāng)或未進(jìn)行，導(dǎo)致內(nèi)存逐漸積累，系統(tǒng)資源耗盡，程序性能下降，甚至系統(tǒng)

崩潰。

B.4安全特征

14

DB50/T1809—2025

主要包括以下內(nèi)容：

a)不安全隨機(jī)數(shù)。使用不安全的隨機(jī)數(shù)生成算法或函數(shù)，帶來(lái)的安全問(wèn)題包括但不限于：易于猜

測(cè)的密碼、可預(yù)測(cè)的加密密鑰、會(huì)話劫持攻擊以及DNS欺騙等，可能導(dǎo)致敏感信息的泄露、

未經(jīng)授權(quán)的訪問(wèn)或系統(tǒng)資源的濫用等。

b)最小權(quán)限。違反最小權(quán)限原則，攻擊者能執(zhí)行更高權(quán)限的操作，如讀取或修改敏感數(shù)據(jù)、執(zhí)行

系統(tǒng)命令等。同時(shí)擁有過(guò)多權(quán)限的用戶或進(jìn)程可能訪問(wèn)和泄露不應(yīng)公開(kāi)的數(shù)據(jù)，帶來(lái)的安全問(wèn)

題包括但不限于隱私泄露、商業(yè)機(jī)密泄露。

c)密碼管理。明文密碼、空密碼、硬編碼密碼、弱密碼削弱了系統(tǒng)安全性，可能導(dǎo)致個(gè)人隱私信

息泄漏和財(cái)產(chǎn)損失。

d)配置管理。配置管理貫穿于整個(gè)軟件生命周期，為軟件研發(fā)提供一套管理辦法和活動(dòng)原則。不

合規(guī)的配置管理可能導(dǎo)致敏感信息泄漏、重要數(shù)據(jù)丟失等危害。

B.5代碼質(zhì)量

主要包括以下內(nèi)容：

a)雙重釋放。通過(guò)偽造整個(gè)內(nèi)存塊并欺騙操作系統(tǒng)，攻擊者利用這種漏洞來(lái)修改內(nèi)存內(nèi)容，進(jìn)而

執(zhí)行惡意代碼或獲取敏感信息。

b)實(shí)現(xiàn)不一致。同一功能或特性在不同地方或不同版本的軟件中有不同的實(shí)現(xiàn)方式或結(jié)果，帶來(lái)

的安全問(wèn)題包括但不限于：錯(cuò)誤和缺陷、安全漏洞、兼容性問(wèn)題。

c)內(nèi)存泄漏。程序中已動(dòng)態(tài)分配的堆內(nèi)存由于某種原因未釋放或無(wú)法釋放，造成系統(tǒng)內(nèi)存的浪費(fèi)，

導(dǎo)致程序運(yùn)行速度減慢甚至系統(tǒng)崩潰等嚴(yán)重后果。

d)空指針引用。攻擊者能通過(guò)構(gòu)造特定的輸入或請(qǐng)求，觸發(fā)程序中的空指針引用錯(cuò)誤，使程序無(wú)

法正常響應(yīng)其他請(qǐng)求或提供服務(wù)，或利用這種錯(cuò)誤來(lái)訪問(wèn)未授權(quán)的資源或篡改系統(tǒng)狀態(tài)。

e)未初始化變量。未初始化變量可能包含敏感信息，如內(nèi)存中的殘留數(shù)據(jù)。如果這些變量被錯(cuò)誤

地暴露，攻擊者可能利用這些信息來(lái)進(jìn)一步攻擊系統(tǒng)或竊取數(shù)據(jù)。

B.6惡意篡改

主要包括以下內(nèi)容：

a)惡意代碼植入。在需方不知情的情況下，在軟件產(chǎn)品或供應(yīng)鏈中的組件中植入具有惡意邏輯的

可執(zhí)行文件、代碼模塊或代碼片段。

b)開(kāi)發(fā)工具植入。使用被惡意篡改的開(kāi)發(fā)工具，導(dǎo)致開(kāi)發(fā)的軟件或組件存在惡意代碼。

c)供應(yīng)信息篡改。在供方不知情的情況下，篡改軟件供應(yīng)鏈上傳遞的供應(yīng)信息，如銷售信息、商

品信息、軟件構(gòu)成信息等。

B.7軟件后門(mén)植入

主要包括以下內(nèi)容：

a)供方預(yù)留。供方出于軟件維護(hù)的目的，在軟件產(chǎn)品中預(yù)置后門(mén)，如果預(yù)置后門(mén)被泄露，攻擊者

會(huì)通過(guò)預(yù)置后門(mén)獲得軟件或操作系統(tǒng)的訪問(wèn)權(quán)限。

b)攻擊者惡意植入。攻擊者入侵軟件開(kāi)發(fā)環(huán)境，污染軟件供應(yīng)鏈中的組件，劫持軟件交付升級(jí)鏈

路，攻擊軟件運(yùn)行環(huán)境植入惡意后門(mén)，獲得軟件或操作系統(tǒng)的訪問(wèn)權(quán)限。

15

DB50/T1809—2025

B.8供應(yīng)鏈劫持

供應(yīng)鏈劫持是普遍存在的一種供應(yīng)鏈污染，安全風(fēng)險(xiǎn)突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫

持、物流鏈劫持、升級(jí)劫持等。

B.9其他風(fēng)險(xiǎn)

B.9.1開(kāi)源許可違規(guī)使用

主要包括以下內(nèi)容：

a)無(wú)開(kāi)源許可證。軟件產(chǎn)品發(fā)布時(shí)缺少開(kāi)源許可證類型，包括但不限于LGPL、GPL、BSD、Apache

等許可證。

b)使用不規(guī)范。軟件產(chǎn)品發(fā)布時(shí)不符合相應(yīng)許可協(xié)議的規(guī)范和要求，包括但不限于沒(méi)有遵循開(kāi)源

許可證協(xié)議。開(kāi)源組件使用或修改過(guò)程中，存在許可證不合規(guī)、不兼容或丟失等風(fēng)險(xiǎn)。

B.9.2假冒偽劣

供方提供未經(jīng)產(chǎn)品認(rèn)證、評(píng)價(jià)的軟件或組件，或未按照聲明和承諾提供合格的產(chǎn)品。

B.9.3供應(yīng)中斷

主要包括以下內(nèi)容：

a)突發(fā)事件中斷。因自然等不可抗力、政治、外交、國(guó)際經(jīng)貿(mào)等原因造成上游軟件、使用許可、

知識(shí)產(chǎn)權(quán)授權(quán)的中斷。

b)不正當(dāng)競(jìng)爭(zhēng)。軟件供方利用需方對(duì)產(chǎn)品和服務(wù)的依賴，實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的行為。

B.9.4源代碼管理

主要包括以下內(nèi)容：

a)版本控制。利用源代碼文件不同版本的差異性，進(jìn)行惡意包裝，實(shí)現(xiàn)對(duì)源代碼的控制。

b)源代碼權(quán)限管理。對(duì)源代碼文件的權(quán)限或者安全進(jìn)行威脅，從而實(shí)現(xiàn)源代碼泄露或者利用。

c)源代碼來(lái)源管理。利用開(kāi)源代碼規(guī)模占比、源代碼編碼語(yǔ)言占比情況，實(shí)現(xiàn)對(duì)源代碼的來(lái)源管

理。

d)源代碼質(zhì)量管理。利用源代碼漏洞率、源代碼漏洞嚴(yán)重性、源代碼漏洞影響程度、源代碼漏洞

利用復(fù)雜程度、源代碼漏洞修復(fù)率、源代碼版本更新情況，實(shí)現(xiàn)對(duì)源代碼的質(zhì)量管理。

e)源代碼知識(shí)產(chǎn)權(quán)管理。利用開(kāi)源許可證規(guī)范性、開(kāi)源許可證互惠性、開(kāi)源許可證兼容性、開(kāi)源

許可證專利及授權(quán)情況、開(kāi)源許可證適用范圍，實(shí)現(xiàn)對(duì)源代碼知識(shí)產(chǎn)權(quán)管理。

B.9.5開(kāi)發(fā)安全管理

主要包括以下內(nèi)容：

a)軟件包元數(shù)據(jù)篡改風(fēng)險(xiǎn)。攻擊者可能篡改軟件包的元數(shù)據(jù)，誤導(dǎo)用戶安裝含有惡意代碼的軟件

包，對(duì)用戶的系統(tǒng)和數(shù)據(jù)安全造成潛在危害。

b)包管理工具安全風(fēng)險(xiǎn)。使用不受信任的包源或不進(jìn)行包的安全檢查和驗(yàn)證，無(wú)法保障包管理工

具的安全性，可能導(dǎo)致軟件引入潛在的安全漏洞。

c)容器鏡像安全風(fēng)險(xiǎn)。容器鏡像中可能包含已知漏洞或惡意組件，導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷等風(fēng)

險(xiǎn)。

16

DB50/T1809—2025

d)CI/CD集成環(huán)境安全風(fēng)險(xiǎn)。若CI/CD管道未得到妥善保護(hù)，攻擊者可能在編譯、測(cè)試、發(fā)布

階段注入惡意代碼，對(duì)軟件開(kāi)發(fā)和發(fā)布流程構(gòu)成嚴(yán)重威脅。

e)代碼托管平臺(tái)風(fēng)險(xiǎn)。選擇不受信任的代碼托管平臺(tái)或未實(shí)施嚴(yán)格的訪問(wèn)控制和安全審計(jì)，可能

導(dǎo)致代碼和資產(chǎn)遭受未經(jīng)授權(quán)的訪問(wèn)和篡改，進(jìn)而引發(fā)安全風(fēng)險(xiǎn)。

f)云平臺(tái)安全風(fēng)險(xiǎn)。使用云平臺(tái)時(shí)，若云平臺(tái)本身存在安全漏洞或受到攻擊，這些漏洞和攻擊可

能直接影響軟件的安全性，導(dǎo)致軟件遭受未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露等風(fēng)險(xiǎn)。

g)軟件下載過(guò)程風(fēng)險(xiǎn)。軟件下載過(guò)程中若未采用安全協(xié)議（如HTTPS），下載捆綁軟件或惡意

組件，無(wú)法保障軟件的完整性和安全性。

h)交付范圍風(fēng)險(xiǎn)。隨著交付范圍的擴(kuò)大，新增組件和功能可能未經(jīng)充分的安全測(cè)試和驗(yàn)證，進(jìn)而

引入新的安全風(fēng)險(xiǎn)，對(duì)整體軟件的安全性構(gòu)成潛在威脅。

17

DB50/T1809—2025

CC

附錄C

（資料性）

軟件供應(yīng)鏈安全技術(shù)評(píng)價(jià)要素

C.1概述

本附錄提供編制評(píng)價(jià)要素時(shí)的參考要素，為評(píng)價(jià)工作提供依據(jù)。

C.2源代碼安全技術(shù)評(píng)價(jià)要素

本部分不涉及特定語(yǔ)言的