软件是新一代信息技术的灵魂，是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。近年来，安全漏洞传播、开源许可证冲突、开源项目停服等事件频发,本质上反映了软件供应链安全问题。软件供应链是需方和供方基于供应关系，开展并完成软件采购、开发、交付、获取、运维和废止等供应活动而形成的网链结构。保障软件供应链安全是一项复杂的任务，解决软件供应链安全问题已刻不容缓。

2023年7月，依托基础软件质量控制与技术评价工业和信息化部重点实验室，软件供应链安全推进工作组（以下简称“工作组”）正式成立。工作组现有26家成员单位，组长单位为中国软件评测中心（工业和信息化部集成电路促进中心），副组长单位为中国信息安全测评中心、中国科学院软件研究所。依据国家标准《信息安全技术 软件供应链安全要求》，工作组编制了《软件供应链安全能力评估规范》。

为了更好地帮助企业、用户识别软件供应链安全风险，促进软件供应链安全能力提升，基于该评估规范，中国软件评测中心开展了软件供应链安全能力评估服务。通过该评估，有助于企业推动完善软件供应链管理能力体系，提升软件供应链安全风险管理、组织管理和供应活动管理能力，保障软件和业务系统持续稳定运行；从供应链角度证明软件产品的安全能力，为用户进行软件产品选型提供依据，在激烈的市场竞争中提高产品可信度，有利于占领市场。

软件供应链安全能力评估服务将针对组织及相应的软件产品开展评估，主要涵盖组织管理、供应链活动管理两个能力域。其中，组织管理主要从机构、制度、人员、供应商、知识产权等方面进行评估，供应活动管理主要从基本流程、软件开发、软件交付、软件采购、软件获取、软件运维、软件废止等方面进行评估。目前，《软件供应链安全能力评估规范》中的软件供应链安全能力分为三个级别，由低到高依次为一级、二级、三级，企业或用户可根据自身情况选择相应的能力级别进行评估。

评估流程主要包括评估准备、评估实施、分析评价三个阶段，与被评估方的沟通贯穿整个过程。在评估准备阶段，明确被评估的对象、拟提供的证据材料清单、评估进度、被评估方涉及的相关部门及人员等。在评估实施阶段，主要通过材料审查、人员访谈、现场取证等方式对评估内容进行考查，并根据需要对部分评估内容进行技术验证。在分析评价阶段，根据实施阶段形成的证据进行分析，给出对每项评估指标的判定结果，从而判定软件供应链安全能力级别。在评估完成后，被评估方将获得软件供应链安全能力评估报告和软件供应链安全能力级别证书。

咨询热线：

李春燕 13651096706  lichunyan@cstc.org.cn

王郁   13366992611  wangyu1@cstc.org.cn