1、供应链安全能力分中心（上海）软件供应链安全政策汇编供应链安全能力分中心（上海）上海德昶安测技术服务有限公司2025 年 2 月供应链安全能力分中心（上海）I目目 录录1 背景背景.12 软件供应链安全法规汇编软件供应链安全法规汇编.32.1 国外政策法规.32.2 国内政策法规.72.3 行业标准.9附 1：GB/T 43698-2024网络安全技术 软件供应链安全要求附 1：GB/T 43698-2024网络安全技术 软件供应链安全要求.10供应链安全能力分中心（上海）供应链安全能力分中心（上海）.33供应链安全能力分中心（上海）第 1 页1 背景背景数字化时代，软件已成为支撑现代社会运行的

2、核心元素，并形成供、需方之间传递软件产品及服务全过程的复杂软件供应链结构。该网链系统从需求设计到开发、部署的全生命周期均可引入安全隐患，恶意代码注入、第三方组件漏洞利用、供应链攻击等威胁事件频发，软件供应链安全问题正呈现出复杂化、高危化的严峻态势。2024 年 7 月，Gartner 发布Leaders Guide to Software Supply Chain Security并预测，软件供应链攻击造成的损失将从 2023 年的 460 亿美元上升到2031 年的 1380 亿美元。2024 中国软件供应链安全分析报告显示，针对调研的 1763 个国内企业软件项目，开源软件使用率达 100

3、%，平均每个软件项目使用166 个开源软件。监管层面同样面临重重挑战：开源技术的泛在化应用模糊了责任边界，第三方组件依赖导致供应链透明度不足，且现有政策法规对软件开发、交付、运维等环节的约束机制尚未完全覆盖。2024 年 7 月的微软“蓝屏”事件更是向全世界敲响软件供应链安全防护的警钟，在这种背景下，构建软件供应链安全体系已成为维护网络空间主权、保障数字经济健康发展的战略要务。面对严峻的软件供应链安全威胁，我国高度重视，从国家战略层面统筹推进防护体系建设。2016 年，国家互联网信息办公室发布 国家网络空间安全战略并提出“重视软件安全，加快安全可信产品推广应用”，将软件安全纳入网络安全战略任务

4、。2022 年，网络安全审查办法 和 关键信息基础设施安全保护要求分别从顶层政策方面对关基行业软件供应链安全提出要求，将软件供应链安全提升至国家战略高度。此后，中央网信办牵头建立“五个统筹”工作机制，从政策引导、标准制定、技术攻关等多维度发力，形成关基领域供应链安全防护的良好局面。此外，公安部还通过“护网”等专项行动强化软件供应链攻击应对能力，引导行业提升代码审计、渗透测试等技术防护水平。2024 年 4 月，国内首个针对软件供应链安全的国家标准 GB/T 43698-2024网络安全技术 软件供应链安全要求正式发布，标志着我国软件供应链安全治理水平迈向新的高度。未来，我国将从被动防御转向主动

5、治理，着力构建覆盖“开发-交付-运行”软供应链安全能力分中心（上海）第 2 页件供应链全周期的动态防护体系，为数字中国建设筑牢安全根基。针对日益突出的软件供应链安全问题，上海供应链安全能力分中心于 2024年 8 月成立软件供应链安全标准专班，配合公安部推动软件供应链安全标准体系的建立与完善。专班采用“扁平化+职能小组”模式，高效响应各类标准制定需求。专班由德昶安测总经理杨木超担任组长，成员覆盖多个供应链安全专业领域，通过协调配置各类行业资源，助力供应链标准体系建立工作稳步推进。专班自成立以来主要围绕供应链安全标准研究与制定，行业标准贯标与推广落地等两个方面开展工作，其中：（1）标准研究与制定

6、）标准研究与制定开展行业调研与分析，梳理软件供应链安全现状、痛点及法律法规要求，配合公安三所完成标准草案编制及申报工作。在标准制定过程中，经过充分的专家论证与意见征集，通过多轮评审修订，确保标准的权威性与可落地性。（2）标准推广与落地）标准推广与落地构建“标准宣贯+工具赋能”双轮驱动模式，通过报告和推文发布、行业峰会宣讲及定制化培训来提升标准认知度，同步开发“供应链安全评估系统（一企一档）供应链安全评估系统（一企一档）”自动化工具，提供软件供应链安全合规检测与治理的全流程支持，促进标准的广泛应用和有效落地。专班自成立以来，协助公安部第三研究所编制并提报供应链安全相关标准16 项项，其中团标团标