国家标准计划《网络安全技术 软件安全开发能力评估准则》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息安全测评中心 、杭州海康威视数字技术股份有限公司 、浪潮电子信息产业股份有限公司 、深圳开源互联网安全技术有限公司 、深信服科技股份有限公司 、沈阳东软系统集成工程有限公司 、北京轩宇信息技术有限公司 、北京天融信网络安全技术有限公司 、中国信息通信研究院 、华为技术有限公司 。

本标准制定，旨在指导组织开发更加安全的软件，减少软件自身漏洞的形成，提高软件抗攻击性，积极落实数据安全、个人信息安全、隐私保护的法律要求，满足软件供应链中开发环节的安全要求。

本标准以工程化的方法解决现代软件开发面临在复杂环境下群体开发活动导致的软件代码质量和安全隐患的问题。

把安全活动内置于软件开发过程中，达到消除开发安全隐患，提高软件安全性能的目的。

通过明确术语、规范过程、统一度量，将软件安全开发过程标准表达，给出统一的能力成熟度模型，为软件安全开发过程的分级评估提供方法，为第三方选择可信供应商提供标准概念和度量指标。

本标准补充了软件工程过程中安全要素，并对国家标准GB/T43698-2024《网络安全技术 软件供应链安全要求》提供重要支撑。

项目范围： 本标准关注组织软件开发过程的安全要求，对安全活动提供客观的、可重复的和可重现的模型化描述。本标准适用于软件生存周期的安全活动，包括概念、需求、设计、实现、测试、安装和检查、运行和维护、以及最终退役。本标准适用于组织保障软件自身安全的过程控制与改善，也适用于第三方机构评估组织的软件安全开发能力成熟度。 主要技术内容： 本标准给出安全开发的定义和能力评估模型。安全开发是识别软件生存周期中潜在的安全威胁，对信息和数据进行保护的一组技术状态管理活动。安全能力成熟度等级从效率提升、经验传承、数据管理三个维度作为等级划分原则，参考资源配置、过程规范、资产复用、工具集成、量化改进等安全开发活动的公共特征进行五级描述。通过设置软件开发活动中的安全控制点，形成21个安全过程域，通过对每个过程域分级说明，构建软件安全开发能力成熟度模型，并对能力成熟度等级运用方法进行标准化描述。