2025软件供应链安全政策汇编报告.pdfVIP

软件供应链安全政策汇编

供应链安全能力分中心（上海）

上海德昶安测技术服务有限公司

2025年2月

目录

1背景1

2软件供应链安全法规汇编3

2.1国外政策法规3

2.2国内政策法规7

2.3行业标准9

附1：GB/T43698-2024《网络安全技术软件供应链安全要求》10

供应链安全能力分中心（上海）33

I

1背景

数字化时代，软件已成为支撑现代社会运行的核心元素，并形成供、需方之

间传递软件产品及服务全过程的复杂软件供应链结构。该网链系统从需求设计到

开发、部署的全生命周期均可引入安全隐患，恶意代码注入、第三方组件漏洞利

用、供应链攻击等威胁事件频发，软件供应链安全问题正呈现出复杂化、高危化

的严峻态势。2024年7月，Gartner发布《Leader’sGuidetoSoftwareSupplyChain

Security》并预测，软件供应链攻击造成的损失将从2023年的460亿美元上升到

2031年的1380亿美元。《2024中国软件供应链安全分析报告》显示，针对调研

的1763个国内企业软件项目，开源软件使用率达100%，平均每个软件项目使用

166个开源软件。

监管层面同样面临重重挑战：开源技术的泛在化应用模糊了责任边界，第三

方组件依赖导致供应链透明度不足，且现有政策法规对软件开发、交付、运维等

环节的约束机制尚未完全覆盖。2024年7月的微软“蓝屏”事件更是向全世界敲

响软件供应链安全防护的警钟，在这种背景下，构建软件供应链安全体系已成为

维护网络空间主权、保障数字经济健康发展的战略要务。

面对严峻的软件供应链安全威胁，我国高度重视，从国家战略层面统筹推进

防护体系建设。2016年，国家互联网信息办公室发布《国家网络空间安全战略》

并提出“重视软件安全，加快安全可信产品推广应用”，将软件安全纳入网络安全

战略任务。2022年，《网络安全审查办法》和《关键信息基础设施安全保护要求》

分别从顶层政策方面对关基行业软件供应链安全提出要求，将软件供应链安全提

升至国家战略高度。此后，中央网信办牵头建立“五个统筹”工作机制，从政策引

导、标准制定、技术攻关等多维度发力，形成关基领域供应链安全防护的良好局

面。此外，公安部还通过“护网”等专项行动强化软件供应链攻击应对能力，引导

行业提升代码审计、渗透测试等技术防护水平。2024年4月，国内首个针对软

件供应链安全的国家标准GB/T43698-2024《网络安全技术软件供应链安全要

求》正式发布，标志着我国软件供应链安全治理水平迈向新的高度。

未来，我国将从被动防御转向主动治理，着力构建覆盖“开发-交付-运行”软

第1页

件供应链全周期的动态防护体系，为数字中国建设筑牢安全根基。

针对日益突出的软件供应链安全问题，上海供应链安全能力分中心于2024

年8月成立软件供应链安全标准专班，配合公安部推动软件供应链安全标准体系

的建立与完善。专班采用“扁平化+职能小组”模式，高效响应各类标准制定需求。

专班由德昶安测总经理杨木超担任组长，成员覆盖多个供应链安全专业领域，通

过协调配置各类行业资源，助力供应链标准体系建立工作稳步推进。

专班自成立以来主要围绕供应链安全标准研究与制定，行业标准贯标与推广

落地等两个方面开展工作，其中：

（1）标准研究与制定

开展行业调研与分析，梳理软件供应链安全现状、痛点及法律法规要求，配

合公安三所完成标准草案编制及申报工作。在标准制定过程中，经过充分的专家

论证与意见征集，通过多轮评审修订，确保标准的权威性与可落地性。

（2）标准推广与落地

构建“标准宣贯+工具赋能”双轮驱动模式，通过报告和推文发布、行业峰会

宣讲及定制化培训来提升标准认知度，同步开发“供应链安全评估系统（一企一

档）”自动化工具，提供软件供应链安全合规检测与治理的全流程支持，促进标

准的广泛应用和