网络安全技术 软件物料清单数据格式.docxVIP

ICSCCS

35.030

L80

中华人民共和国国家标准

GB/TXXXXX—XXXX

网络安全技术软件物料清单数据格式

Cybersecuritytechnology-Softwarebillofmaterialsdataformat

征求意见稿

2024-04-26

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX

发布

XXXX-XX-XX实施

国家市场监督管理总局国家标准化管理委员会

发布

I

GB/TXXXXX—XXXX

目次

前言 I

引言 II

1范围 4

2规范性引用文件 4

3术语和定义 4

4缩略语 5

5软件物料清单组成 5

6清单文件格式要求 6

7软件物料清单元素 6

附录A(资料性)软件物料清单必要字段 21

附录B(资料性)软件物料清单实例参考 23

参考文献 32

II

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：水利部信息中心、国家能源局信息中心、中国科学院信息工程研究所、中国信息通信研究院、南方电网数字电网集团有限公司、西安交通大学、中国铁道科学研究院集团有限公司电子计算技术研究所、杭州默安科技有限公司。

本文件主要起草人：付静、詹全忠、张潮、沈智镔、邹希、栗蔚、郭雪、吴江伟、吴桐、刘玉岭、姜政伟、姚叶鹏、范子静、刘家豪、王定波、关声涛、王海军、刘烃、晋武侠、杨立鹏、张维伦、何娟、沈锡镛、孟瑾、满弘鹏。

III

GB/TXXXXX—XXXX

引言

软件物料清单描述了软件组成信息，以提升软件产品的成分透明度，为软件的供应链安全管理提供支撑。本文件提出了软件物料清单数据格式，以实现相关信息在软件生产、销售和使用各相关方之间的交换和使用。。

软件物料清单数据格式描述软件的内部组成和内外部依赖，包括构成软件的组件、文件、代码片段及其依赖关系，软件运行依赖的基础环境和外部网络服务，以及软件生产依赖的开发工具，并且提供必要的安全信息，为软件物料清单信息的生成、共享和使用提供参考。

GB/TXXXXX—XXXX

4

网络安全技术软件物料清单数据格式

1范围

本文件规定了软件物料清单数据格式，包括软件物料清单组成、软件物料清单文件格式要求和软件物料清单元素，以及软件物料清单中各元素的属性和属性值格式等信息。

本文件适用于指导软件供应链相关方之间进行软件物料清单信息的生成、共享和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本文件。

GB/T11457-2006信息技术软件工程术语

GB/T25069-2022信息安全技术术语

GB/T36475-2018软件产品分类

3术语和定义

GB/T25069-2022中界定的以及下列术语和定义适用于本文件。

31

软件产品softwareproduct

向用户提供的计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。

注1:本文件中软件产品简称为软件。

[来源：GB/T36475—2018,3.1.1,有修改]

3.2

软件物料清单softwarebillofmaterials

描述软件产品的组成成分、内外部依赖关系、来源信息以及潜在的安全风险信息的清单。注1:本文件中清单为软件物料清单的简称。

3.3

外部网络服务externalservice

通过网络为软件运行提供必要功能的非软件自身具备的应用服务，例如：域名服务、CDN服务、邮件发送、短信发送、消息推送、支付接口等。

3.4

制品artifact

5

GB/TXXXXX—XXXX

由某一种软件开发过程所使用的或所产生的一种信息的文件。制品的实例有模型、源文件、文本和二进制可执行文件。

[来源：GB/T11457-2006,2.76,有修改]

4缩略语

CPE:通用平台枚举(CommonPlatformEnumeration)

HTTP:超文本传输协议(HypertextTransferProto