国家标准计划《信息安全技术 软件供应链安全要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息安全测评中心 、华为技术有限公司 、联想（北京）有限公司等 。

随着近些年供应链安全事件的层出不穷，软件作为信息技术的重要组成部分，软件供应链问题已经成为当前网络空间中影响重大的现实问题，软件供应链安全重要性日益凸显，其正在成为网络与系统安全的一个正在兴起的重要分支，软件供应链上管理措施的缺乏和潜在的攻击面对整个信息产业的安全造成了巨大的威胁, 需要有能够被信息产业内部相关企业和组织所共同遵守的业务安全守则与标准。

本标准通过对软件供应链所涉及的管理制度、组织机构、人员以及软件供应链开发、交付、使用等环节中所涉及的相关实体和要素，提出相关安全要求，能够从标准层对软件开发者、使用者和评估者、支撑平台以及软件研发生产、运维等过程做出规范性要求，能够为降低软件供应链安全风险采取相应措施提供参考和依据，能够为软件安全提供基础保障，对提高软件供应链安全性、提高我国整体网络安全保障水平具有重大意义。

范围：本标准通过对软件供应链的特殊性及其所面临的安全风险进行分析，制定软件供应链安全要求，规定软件产品供应链所涉及的相关要素安全要求，包括软件供应链组织管理要求及开发、交付、使用等环节的安全要求。本标准适用于重要信息系统和关键信息基础设施中软件供应方的供应链管理活动，也适用于为一般软件提供者加强供应链安全管理，同时为软件的采购者、使用者、第三方机构、监管机构对软件供应链进行安全性评价提供参考。 主要技术内容：为解决软件供应链中存在的安全问题和安全风险，保障软件供应链安全，本项目拟从组织管理层面和技术防护层面等2方面开展相关研究，制定能够较为全面保障软件供应链安全的标准规范。在组织管理层面将围绕软件供应链管理制度、组织机构、人员管理等提出安全要求。管理制度中对软件供应链各个环节中的组织和个人提出总体安全管理方针和安全策略；组织机构中要求明确负责指导和协调组织相关部门的供应链安全管理工作的供应链安全管理部门并定义软件供应链安全管理职责；人员管理明确指出软件供应链中涉及的人员范围及对不同人员的安全规范和要求。技术防护层面针对软件供应链的开发、交付、使用等重要环节中所涉及的相关实体和要素及其存在的安全风险，提出相关安全要求。在开发环节，从需求设计、编码实现、开源代码使用、第三方组件使用、外包开发、定制化开发、许可证、集成商、自测、第三方测试评估等方面规范开发流程，避免产生源代码污染、开发工具污染等问题；在交付环节，针对我国“国情”, 根据不同类型软件（商业软件、定制开发软件、开源软件、集成开发软件、外包开发软件等）的交付流程，从交付渠道和方式、交付流程、相关资质评估等方面提出安全要求，避免厂商预留后门、捆绑下载等安全问题；在使用环节，从软件使用、升级、维护、应急响应、供应能力、使用环节测试评估等方面提出安全要求，防止软件产品和服务断供、停服等热门问题。