国家标准项目《信息安全技术 软件供应链安全要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息安全测评中心 、华为技术有限公司 、联想（北京）有限公司等 。

范围：本标准通过对软件供应链的特殊性及其所面临的安全风险进行分析，制定软件供应链安全要求，规定软件产品供应链所涉及的相关要素安全要求，包括软件供应链组织管理要求及开发、交付、使用等环节的安全要求。本标准适用于重要信息系统和关键信息基础设施中软件供应方的供应链管理活动，也适用于为一般软件提供者加强供应链安全管理，同时为软件的采购者、使用者、第三方机构、监管机构对软件供应链进行安全性评价提供参考。 主要技术内容：为解决软件供应链中存在的安全问题和安全风险，保障软件供应链安全，本项目拟从组织管理层面和技术防护层面等2方面开展相关研究，制定能够较为全面保障软件供应链安全的标准规范。在组织管理层面将围绕软件供应链管理制度、组织机构、人员管理等提出安全要求。管理制度中对软件供应链各个环节中的组织和个人提出总体安全管理方针和安全策略；组织机构中要求明确负责指导和协调组织相关部门的供应链安全管理工作的供应链安全管理部门并定义软件供应链安全管理职责；人员管理明确指出软件供应链中涉及的人员范围及对不同人员的安全规范和要求。技术防护层面针对软件供应链的开发、交付、使用等重要环节中所涉及的相关实体和要素及其存在的安全风险，提出相关安全要求。在开发环节，从需求设计、编码实现、开源代码使用、第三方组件使用、外包开发、定制化开发、许可证、集成商、自测、第三方测试评估等方面规范开发流程，避免产生源代码污染、开发工具污染等问题；在交付环节，针对我国“国情”, 根据不同类型软件（商业软件、定制开发软件、开源软件、集成开发软件、外包开发软件等）的交付流程，从交付渠道和方式、交付流程、相关资质评估等方面提出安全要求，避免厂商预留后门、捆绑下载等安全问题；在使用环节，从软件使用、升级、维护、应急响应、供应能力、使用环节测试评估等方面提出安全要求，防止软件产品和服务断供、停服等热门问题。