报名启动 | 中国信通院【第二批】3SM软件供应链安全管理能力评估开始报名！

数字化时代，软件已经成为日常生产生活必备要素之一，渗透到各个重要行业和领域。随着数字化转型进程的推进，容器、中间件、微服务、DevOps等新技术理念的演进，软件行业快速发展，但同时带来软件设计开发复杂度不断提升，软件供应链愈发复杂，全链路安全防护难度不断加大等问题。近年来，软件供应链安全事件频发，对于用户隐私、财产安全乃至国家安全造成重大威胁。软件成为社会运转组件的同时，软件供应链安全直接关系着关键基础设施和重要信息系统安全，保障软件供应链安全成为业界关注焦点，也成为企业共同诉求。

中国信息通信研究院云计算与大数据研究所自2019年，以安全开发为切入点，开展软件供应链安全相关研究工作，截至目前为止，由中国信息通信研究院牵头，联合联合金融、运营商、互联网、研究院、安全等行业众多国内知名企业及单位，共同编制了《软件供应链安全管理能力要求》标准。现正式启动【第二批】3SM软件供应链安全管理能力评估报名工作！

软件供应链安全保障体系以安全性、完整性、保密性、可用性、合规性为目标，重点关注商业产品、开源软件、合作开发、云服务第三方非自研软件、代码，围绕代码来源明确、代码质量安全、知识产权合规、软件物料清单规范、责任划分清晰等重点内容，针对供应链引入、生产和发布上线全链路建立软件供应链安全保障要求，具体架构图如下所示。

3SM软件供应链安全管理能力评估基于《软件供应链安全管理能力要求》标准，关注软件供应链交界面安全，划分为供应链引入和交付应用两大维度，参评企业可选择交界面的一个或多个模块进行参与。

（1）软件供应链引入安全管控

软件供应链引入安全管控针对商采、开源、合作开发等第三方非自研软件，从软件来源、软件安全合规、软件资产管理、服务支持、安全运维及应急响应等维度进行软件供应链安全保障能力规范，评估指标具体包括供应商资质、软件物料清单（SBOM）、软件安全要求、软件合规要求、安全测评及评审报告、安全监控防护、供应链清单管理、版本管理、漏洞管理、应急预案、应急响应团队等内容。

（2）软件供应链交付应用安全管控

软件供应链交付应用安全从软件物料清单规范性、代码质量安全、知识产权合规、运行监控、退出管理等方面规范了软件项目上线应用所应达到的安全能力要求。

评估报名机制