当前位置:标准网 团体标准

T/CSAC 021-2025 信息与通信技术产品供应链安全测试方法

T/CSAC 021-2025 信息与通信技术产品供应链安全测试方法

T/CSAC 021-2025

团体标准推荐性
收藏 报错

标准T/CSAC 021-2025标准状态

  1. 发布于:
  2. 实施于:
  3. 废止

标准详情

内容简介

本文件规定了信息与通信技术产品供应链安全测试的技术规范,包括开展软件成分安全测试、二进制软件基因安全测试、动态应用安全测试、静态应用安全测试、容器镜像安全测试等
本文件适用于信息与通信技术产品供应链安全技术检查,适用于网络运营者选择信息与通信技术产品,开展安全测试时提供参考,适用于信息与通信技术产品提供者为规避产品中开源组件、后门、源代码安全、安全漏洞等安全风险提供参考
本标准规定了信息与通信技术产品供应链安全测试的技术规范,包括开展软件成分安全测试、二进制软件基因安全测试、动态应用安全测试、静态应用安全测试、容器镜像安全测试等。其中,软件成分安全测试是一种针对软件的安全性测试,测试软件中所使用的开源代码的组件,识别所使用的软件组件版本,以检测安全漏洞、许可证合规冲突等风险,同时具备生成软件物料清单等功能。二进制软件基因安全测试是一种针对二进制软件的安全性测试,其通过对二进制文件的结构、代码片段及依赖关系进行深度解析,以检测安全漏洞、许可证合规冲突、软件投毒等风险。容器镜像安全测试是一种针对容器、镜像的安全性测试,其通过扫描容器镜像各层结构,包括基础镜像、应用代码、第三方依赖库与配置文件,以检测安全漏洞、恶意代码植入、许可证合规冲突等风险。静态应用安全测试是一种静态安全性测试,其通过分析应用程序的源代码、二进制代码或字节代码来发现和识别应用中常见安全漏洞的技术。动态应用安全测试是一种动态安全性测试,其通过应用程序协议识别、功能点识别、数据解析能力等功能,识别和评估网络应用程序中存在的安全漏洞。

起草单位

公安部第三研究所、中国太平洋保险(集团)股份有限公司、上海德昶安测技术服务有限公司、上海证券交易所、国泰君安证券股份有限公司、中国工商银行数据中心、上海东航数字科技有限公司、核电运行研究(上海)有限公司、国网江苏省电力有限公司电力科学研究院、上海计算机软件技术开发中心、中国电信股份有限公司江苏分公司、联通(山西)产业互联网有限公司、中电智安科技有限公司、南方电网数字电网集团信息通信科技有限公司、中移(杭州)信息技术有限公司、四川中锐信息技术有限公司、中国交通信息科技集团有限公司、广东亿迅科技有限公司、物产中大数字安全科技(浙江)有限公司、中国移动通信集团河北有限公司、大庆中基石油通信建设有限公司、山东省网安数字科技有限公司、广西广电大数据科技有限公司、华测检测认证集团股份有限公司、墨菲未来科技(北京)有限公司、南京众安信息科技有限公司、上海齐同信息科技有限公司、北京安普诺信息技术有限公司、浙江路为科技有限公司、杭州安恒信息技术股份有限公司、上海斗象信息科技有限公司。

起草人

丁建华、梁镇远、王光泽、黄菊、李俊斌、高峰[ 高峰 中国太平洋保险(集团)股份有限公司]、杨木超、魏东、樊芳、李佶、李进明、郑洲豪、成辰、聂智戈、杨万禄、朱宏亮、东明、曾峥、游江东、顾智敏、郭雅娟、吴建华、毛争艳、徐倩华、俞少华、鲍亮、盛小宝、陈晓霖、张鹤、魏丽萍、夏卿、蔡倩楠、许敏、魏渊、殷正伟、霍建、刘艺、高磊、赵武清、高峰[ 高峰 四川中锐信息技术有限公司]、陈平、王楹、陈艺坤、邵艾青、胡健、朱凌军、姜博文、易剑光、杨为旭、王明玺、刘波、甘泉、徐江、章华鹏、苗叶、曹育生、张涛、黄廷嵩、袁明坤、郑永强。

* 特别声明:资源收集自网络或用户上传,版权归原作者所有,如侵犯您的权益,请联系我们处理。

标准网本地下载
  • 标准质量:

    • 下载说明

  • ① 欢迎分享本站未收录或质量优于本站的标准,期待。
    ② 标准出现数据错误、过期或其它问题请点击下方「在线纠错」通知我们,感谢!
    ③ 本站资源均来源于互联网,仅供网友学习交流,若侵犯了您的权益,请联系我们予以删除。
  • 在线纠错
    • 标准过期 下载问题 模糊有误 其它问题

    「相关推荐」