夜雨聆风一、GB/T 43698—2024是什么?
1.1 标准定位与适用范围
GB/T 43698—2024《网络安全技术 软件供应链安全要求》由全国网络安全标准化技术委员会(SAC/TC 260)提出并归口。该标准确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理与供应活动管理安全要求。
标准适用于指导软件供应链中的供需双方开展风险管理、组织管理和供应活动管理,为第三方机构开展软件供应链安全检测和评估提供依据,供主管监管部门参考使用。
1.2 标准编写结构
标准按照GB/T 1.1—2020的规则起草,全文共分为8章,主要内容结构如下:
第1章至第3章:范围、规范性引用文件、术语和定义
第4章:软件供应链安全目标
第5章:软件供应链安全保护框架
第6章:软件供应链安全风险管理要求
第7章:需方安全要求
第8章:供方安全要求
标准包含4个资料性附录:附录A软件供应链安全概述、附录B关键软件资产、附录C组织业务场景分类、附录D软件供应链安全图谱。
1.3 软件供应链安全目标
标准第4章明确提出,软件供应链安全目标是建立软件供应链安全风险管理能力体系并持续改进,增强软件供应链安全风险管理、组织管理和供应活动管理能力,防范软件供应链中的供应关系风险,防范供应活动引入的技术安全风险和知识产权风险,保障业务持续稳定安全运行。
具体需防范的风险包括:供应关系风险(如软件供应中断、软件功能受限、软件服务降级等),技术安全风险和知识产权风险(如软件漏洞、后门、篡改、伪造、许可协议不合规等)。
1.4 软件供应链安全保护框架
标准第5章确立了软件供应链安全保护框架。该框架规定了供需双方(即"组织")的软件供应链安全风险管理要求,并从组织管理和供应活动两个方面规定了需方安全要求和供方安全要求。
框架的核心是供需双方都需要遵循的风险管理流程,并在供应活动的全生命周期中落实安全要求。
二、为什么组织需要软件供应链安全管理的体系化?
2.1 安全目标的核心定位
标准将软件供应链安全的终极目标定位为保障业务持续稳定安全运行。这意味着软件供应链安全工作不是孤立的合规任务,而是服务于组织核心业务的战略性工作。
标准强调建立能力体系并持续改进,而非一次性达标。这要求组织将软件供应链安全管理作为长期性、持续性的工作来推进。
2.2 风险管理是核心主线
标准将风险管理作为贯穿全文的主线。从第6章专门的风险管理要求,到第7章、第8章中供需双方的具体要求,都体现了风险管理的基本逻辑:识别风险、评估风险、处置风险。
标准要求组织建立软件供应链安全信息采集和跟踪机制,定期开展检测和风险评估,体现了对风险的持续监控要求。
2.3 供需双方责任对等
标准对需方和供方提出了对等的安全要求,双方都需要建立完整的组织管理体系,都需要制定相应的管理制度,都需要开展供应活动全流程的安全管理。
这种设计反映了软件供应链安全的本质特征:安全是供需双方共同的责任,任何一方的缺失都可能导致整体安全防线被突破。
2.4 图谱是安全管理的基础工具
标准将软件供应链安全图谱作为贯穿全文的核心概念,要求组织构建并持续维护图谱。图谱不仅是信息记录工具,更是风险管理的基础支撑。
标准根据业务场景的等级差异,规定了不同详细程度的图谱要求,体现了安全管理的分级分类思想。
2.5 分级分类的精细化管理思路
标准根据业务场景的重要程度,将软件供应链安全要求分为三个等级:一般业务场景、重要业务场景、核心业务场景。不同等级对应不同的图谱要求和管理深度。
这种分级设计使得安全管理资源能够集中到最关键的领域,避免了"一刀切"带来的资源浪费或安全管理不到位的问题。
2.6 外部组件管理是重点关注领域
标准对外部组件(包括开源组件和第三方组件)的管理提出了详细要求,涵盖组件的使用审批、来源追溯、安全检测、漏洞处置、依赖关系分析等方面。
这一设计反映了当前软件供应链安全的突出风险源:现代软件中外部组件占比越来越高,但组织往往缺乏对外部组件的充分了解和控制能力。
2.7 全生命周期管理覆盖供应活动
标准要求覆盖软件的全生命周期,从采购、获取、开发、交付、运维到废止,每个环节都有明确的安全管理要求。
这种全流程覆盖确保了不会出现安全管理盲区,任何一个环节的疏漏都可能带来安全风险。
