T/CQCIO 001-2023
ソフトウェア サプライ チェーンのセキュリティ技術テスト仕様書 (英語版)

規格番号
T/CQCIO 001-2023
言語
中国語版, 英語で利用可能
制定年
2023
出版団体
Group Standards of the People's Republic of China
最新版
T/CQCIO 001-2023
範囲
       デジタル時代ではソフトウェアがすべてを定義し、ソフトウェアは社会の正常な運営をサポートする最も基本的な要素の 1 つになりました。 ソフトウェア産業とソフトウェア エンジニアリングの継続的な発展に伴い、ソフトウェアに含まれるプログラム ファイルやダイナミック ライブラリはますます多くなり、アクセスされる IP、URL、その他の要素はますます豊富になり、相互依存関係はますます一般的になってきています。 一連のセキュリティ問題を引き起こす可能性があります。 ソフトウェア サプライ チェーンの特定の要素で問題が発生すると、ソフトウェア サプライ チェーン内のすべてのソフトウェアに直接影響を与える可能性があります。 ソフトウェア サプライ チェーンが複雑であるため、ソフトウェア サプライ チェーン全体のセキュリティを保護することが困難になっています。 情報システムはますます大きくなっています。 2016 年の時点で、中国サイバースペース局が発表した国家サイバースペース セキュリティ戦略では、すでに「ネットワーク セキュリティの基盤を強化し、イノベーション主導の開発を堅持し、コア テクノロジーのブレークスルーをできるだけ早く実現する」ことが提案されていました。 ソフトウェア セキュリティを強化し、安全で信頼できる製品の開発を加速します。 」 「アプリケーションの推進」により、ソフトウェア セキュリティをネットワーク セキュリティの戦略的タスクに組み込み、ソフトウェア サプライ チェーン セキュリティの時代を開きます。 ソフトウェア サプライ チェーン セキュリティは、独立したセキュリティ部門となり、徐々に強化されています。 社会に認められる。 ソフトウェアサプライチェーンのセキュリティ目標をさらに明確にし、業界の健全かつ迅速な発展を導くために、工業情報化部は2021年に「ソフトウェア開発に関する第14次5カ年計画」を通知しました。 ソフトウェアデータセキュリティとコンテンツセキュリティの評価とレビューを実施し、ソフトウェアソースコードの検出とセキュリティ脆弱性管理能力を強化し、オープンソースの利用におけるセキュリティリスクの予防と制御能力を向上させる。 「ソース コードとサードパーティ コード。 サードパーティ サービス機関に対し、ソフトウェア セキュリティのコンサルティングとトレーニング、テスト、認証、監査、運用保守、その他のサービス能力を積極的に改善するよう奨励します。 」  安全性の体系的な開発。 この文書は、実用性と拡張性を兼ね備え、ソフトウェア サプライ チェーンのセキュリティ技術の検出プロセス、リスク フレームワーク、および検出モジュールを定義し、検出プロセスに含まれる可能性のあるリスク回避策を完全に説明し、セキュリティ技術の検出を早急に推進するための参考資料を提供します。 できるだけ。 ソフトウェア サプライ チェーンのセキュリティ テスト プロジェクトにおいて、この文書は技術的なテスト プロセスの仕様とテスト要素に関するガイダンスを提供します。 特定のテスト内容は、GB/T 39412-2020、GB/T 2020 などの国家標準、業界標準と組み合わせることができます。 30998-2014、業界標準のパーソナライズされたカスタマイズ。 このドキュメントでは、自動ツールによる静的検出方法の定義と使用の推奨に焦点を当てていますが、可能な手動検出と動的検出も完全に標準化されており、プロセス内で説明されています。        この文書は、「ソフトウェア サプライ チェーン セキュリティ」テスト シリーズ標準の 1 つです。 この一連の標準の構造と名前は次のようになります。 -- 「ソフトウェア サプライ チェーン セキュリティ」テスト シリーズ標準の 1 つです。 「サプライチェーンセキュリティ技術試験仕様書」(本規格) - 「ソフトウェアサプライチェーンセキュリティ管理試験仕様書」 - 「ソフトウェアサプライチェーンセキュリティ総合試験ガイドライン」 - 「ソフトウェアサプライチェーンセキュリティオープンソースコンポーネントセキュリティ試験プラットフォームの技術要件」 -- 「ソフトウェアサプライチェーンセキュリティソースコード『セキュリティテスト環境構築ガイドライン』」 -- 「ソフトウェアサプライチェーンセキュリティテストの高リスク判定ガイドライン」 -- 「ソフトウェアサプライチェーンセキュリティテスト組織の要件」 -- 「ガイドライン」ソフトウェア サプライ チェーンのセキュリティ テスト プロセス向け」

T/CQCIO 001-2023 発売履歴

  • 2023 T/CQCIO 001-2023 ソフトウェア サプライ チェーンのセキュリティ技術テスト仕様書
  • 2022 T/CQCIO 001-2022 政府情報化プロジェクトの全プロセスコンサルティングサービスガイドライン
  • 2021 T/CQCIO 001-2021 政府の情報技術プロジェクトのパフォーマンス評価パート 1: 一般要件


© 著作権 2024