国标《信息安全技术 软件供应链安全要求》确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求。

开源软件供应链作为软件供应链的一种特殊形式,该国标亦适用于指导开源软件供应链中的供需双方开展组织管理和供应活动管理,增强开源软件供应链组织管理和供应活动管理能力,防范供应链导致的开源软件产品及其生命周期中断类的供应关系风险,防止供应活动在开源软件及其生命周期服务中引入新的技术安全风险和知识产权风险(例如:防止供应活动引入的软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。

以下根据我们的分析研究,对国标中与开源供应链安全直接相关的内容进行识别与分析,供业内参考。

(一)供方在组织管理过程中的安全保障要求

供方软件供应链安全保障要求及开源场景对照自评表(上)_开源软件