标准号:T/CIIPA 00012-2024
标准名称:自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南
团体名称:中关村华安关键信息基础设施安全保护联盟
发布日期:2025年06月09日
实施日期:2025年06月11日
5.1软件自主可控能力测试范围
软件自主可控能力测试包含对技术掌控能力、持续交付能力和网络安全能力的测试评估:a)技术掌控能力考察软件代码自主率;
b)持续交付能力考察开源及第三方组件许可证合规性;
网络安全能力考察代码缺陷、组件漏洞、资产漏洞及其他潜在的网络安全风险应对能力。c)
5.2软件自主可控能力管理粒度
软件资产自主可控能力管理的粒度宜达到组件级,并明确处理组件间的依赖关系和交互。要求软件资产具备完整的SBOM,能够清晰反映软件的构成及每个组件的情况,以实现自主可控能力评价和风险管理
5.3软件自主可控能力测试框架
软件自主可控能力测试宜持续开展,贯穿软件的开发阶段、测试阶段和运营阶段
测试类型包括静态测试、仿真测试和实网测试。静态测试指在非运行环境下对软件源代码或二进制代码进行检测,包括成分分析和安全测试:仿真测试指在仿真运行环境下对运行态程序进行安全测试:实网测试指在实际网络环境下对运行态程序进行安全测试。静态测试结果包括代码来源、开源许可证有效性、组件级的代码缺陷和漏洞:仿真测试和实网测试的结果是软件资产的安全漏洞。测试方法主要包括SCA,代码安全审计,漏洞扫描,模糊测试,渗透测试和安全众测等。在软件生命周期的各阶段可采用的测试类型和测试方法如表1所示。
起草单位:奇安信科技集团股份有限公司、软极网络技术(北京)有限公司、中国工业互联网研究院、可信华泰科技有限公司、北京大学、长沙市轨道交通运营有限公司、北京市科学技术研究院中国移动通信集团有限公司、韶关学院,中共扬州市委网络安全和信息化委员会办公室、扬州市大数据管理中心、北京柏睿数据技术股份有限公司、浙江脑动极光医疗科技有限公司。
起草人:刘立、郑新华、赵志娟、毛庆梅、张海彬、任燕、苗德成、栾浩、杜君、雷健波、刘如才赵菁华、王舒、王喆、郑旻、段古纳、王珊珊、腾迪、王思登、孙可、刘先宝、郑国忠、王雪珊、严爱明、赵晶晶韩月华、王晓怡、张坤。