2024年1月29日,由中国信息通信研究院(简称“中国信通院”)牵头制定的软件安全相关团体标准《软件安全开发能力评估技术规范》(标准编号T/ISC 0042—2024)、《软件代码自主率测评方法》(标准编号T/ISC 0043—2024)、《软件供应链安全要求》(标准编号T/ISC 0044—2024)正式批准发布。软件安全相关团体标准于2023年4月在中国互联网协会申请立项,由中国信通院数字安全护航计划组织起草,20余家单位共同参与编制。
软件安全相关团体标准围绕软件及应用安全开发体系在不同等级中的实践活动要求、对软件和应用产品代码自主率的技术要求、对自身的软件供应链安全的建设、评估和改进三个方面进行编写。主要提出三大核心内容:
01 软件安全开发能力成熟度模型(SSDCMM)
模型分别由安全能力维度、能力成熟度等级维度、安全开发过程维度三个维度组成,覆盖需求、设计、编码、测试、部署/发布、运维全生命周期开发阶段,以业务安全和信息安全为出发点,通过对流程、制度、规范的梳理,以及开展相关人员安全意识的培训、威胁资源库、安全测试资源库等相关资源的建设,充分保障业务系统满足业务安全和信息安全的需求,有效提升软件开发团队的安全意识和安全开发能力,做到信息安全的“早预防、早发现、早响应”,实现安全左移。
02 代码自主率检测方法
代码自主率反映了软件产品的自主创新能力和知识产权保护程度。一般来说,代码自主率越高,软件产品越具有竞争优势和市场价值。基于此,我们将代码自主率的技术要求以及检测方法写入标准,帮助软件开发企业开展软件和应用产品代码自主率的检测评价工作,减少对开源源代码和组件的依赖,提升自主率,实现自主可控。
03 软件供应链安全体系模型
体系主要包括安全管理和安全技术两部分,以管理和技术两个方面实现对软件供应链生命周期的把控,通过开展代码评审、代码检测、代码走查等方式,识别并修复源代码安全漏洞,通过建立漏洞库,持续对漏洞进行管理和整改来规范开源组件的使用,从而保障软件供应链的安全性。
2024年,中国信通院数字安全护航计划将继续推动软件安全相关标准评估体系的建设与完善,重点任务包括:启动软件安全开发、代码自主率等评估测试工作,推进标准体系中其他部分的发布与实施等。旨在帮助企业提升安全意识,制定合理的安全体系,从而提升软件质量。