ICS35.240.01CCSL78ICS

T/CSAC中華人民共和國 團體標準T/CSAC 軟件標識標簽技術要求Technicalrequirementsforsoftwareidentificationtag2024-7-31發布 2024-7-31實施中國網絡空間安全協會??發布T/CSAC 002T/CSAC 002—2024PAGE\*ROMANPAGE\*ROMANIII目 次ICS 1前 言 III范圍 1規范性引用文件 1術語和定義 1縮略語 2軟件標識標簽 2概述 2總體結構 2基本數據元素 3補充描述性數據元素 3軟件標識標簽基本數據元素 3唯一標識符 3軟件名稱 4軟件版本 4軟件部件號 4軟件供方 4軟件供方標識 4標簽類型 4時間戳 4軟件標識標簽處理 4標簽創建 4標簽聚合 4標簽共享 5標簽完整性 5標簽解析 5標簽存儲 5標簽類型 5概述 5語料庫標簽 5主標識標簽 6補丁標簽 6補充標簽 7標簽相關性 7相關性描述 7依賴關系 7組成關系 7補丁關系 7標簽安全 8數字簽名 8加密 8參考文獻 9前 言本文件按照GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中國網絡空間安全協會提出。本文件由中國網絡空間安全協會歸口。（杭州T/CSAC 002T/CSAC 002—2024PAGEPAGE1軟件標識標簽技術要求范圍本文件規定了軟件標識標簽的功能、通用結構、必要的數據元素字段以及處理規則。規范性引用文件（包括所有的修改單適用于本文件。GB/T11457—2006 信息技術軟件工程術GB/T25069—2022 信息安全技術術語GB/T36475—2018 軟件產品分類GB/T36637—2018 信息安全技術ICT供應鏈安全風險管理指南GB/T43698—2024 網絡安全技術軟件供應鏈安全要求術語和定義GB/T43698-2024中定義的以及下列術語和定義適用于本文件。軟件產品 softwareproduct計算機軟件、信息系統或設備中嵌入的軟件或在提供計算機信息系統集成、應用服務等技術服務時提供的計算機軟件。注１：軟件產品包含計算機程序代碼、規程、相關數據、文檔和相關服務。注2：本文件中軟件產品簡稱為軟件。[來源：GB/T43698-2024，3.1]軟件標識標簽Softwareidentificationtag用于標識和描述單個軟件產品的數據元素集合，包含軟件名稱、版本、供方等方面的信息。元素Element支配類型的值或支配信息客體類別的信息客體，能分別從相同類型或相同類別信息客體的所有他值中區別出來。[來源：GB/T16262.1-2006,3.6.19]語料庫標簽Corpustag用于軟件安裝包的軟件標識標簽。主標識標簽Primarytag用于標識軟件產品發行版的標準軟件標識標簽。補丁標簽PatchTag用于標識修補已發布軟件產品缺陷和漏洞的補丁或修復的軟件標識標簽。補充標簽SupplementalTag用于為已存在的軟件標識標簽提供額外數據元素的軟件標識標簽。縮略語下列縮略語適用于本文件。SWID 軟件標識（SoftwareIdentification）CD/DVD 光盤（CompactDisc/Digitalversatiledisc）軟件標識標簽概述軟件標識標簽應僅包含標識軟件所需的最小必要信息。額外的非識別信息應通過引用的方式包含，而非直接集成到標簽中，從而使軟件標識標簽盡可能簡潔。JSON軟件標識標簽可獨立使用，也可集成到軟件物料清單或者其他軟件關系描述文件中。總體結構如圖1所示，軟件標識標簽應包含標識軟件所需的基本數據元素(見6.2)和數據元素完整性檢查機制(見8.4)。軟件標識標簽可包含補充描述性數據元素(見6.3)。圖1軟件標識標簽包含的信息類型基本數據元素軟件標識標簽應包含以下基本數據元素：唯一標識符軟件名稱軟件版本軟件供方標簽類型(語料庫標簽或主標識標簽等)這些數據元素代表了標識軟件所需的最小必要信息。補充描述性數據元素除基本數據元素外，軟件標識標簽還可包含多種可選的補充描述性數據元素，比如：軟件部件號軟件供方標識時間戳文檔信息許可證信息安裝說明相關性（依賴關系、組成關系和補丁關系）補丁/升級信息運行環境信息補充數據元素宜以引用的形式包含在軟件標識標簽中，這避免標簽本身變得過于復雜冗長。軟件標識標簽基本數據元素唯一標識符此唯一標識符用于標識特定的軟件標識標簽實例。軟件名稱此數據元素標識軟件產品的通常名稱。例如“云星光sbom-tool”。名稱應具有足夠的特定性以準確標識軟件產品。過于通用的名稱如“文本編輯器”應避免使用。軟件版本此數據元素標識軟件產品的準確版本。版本通常由以下元素組成：主版本號：產品版本系列中主要版本的編號。次版本號：主版本下的次要版本編號。修訂號：小的修改和缺陷修復版本編號。構建號：完整識別構建或編譯的唯一標識符。例如：“2.1.3.76543”，應盡可能全面清晰以準確區分不同軟件產品版本。軟件部件號對于由多個部件或文件組成的軟件產品，可標識特定部分或組件的編號。部分號與產品版本號組合，能夠準確定位軟件組成部分。軟件供方此數據元素標識負責提供軟件產品的組織，應使用組織的正式名稱。例如：“京東科技信息技術有限公司”。軟件供方標識此可選數據元素包含標識軟件供方的唯一標識字符串。標簽類型此數據元素標識標簽的類型，如該標簽為語料庫標簽、主標識標簽等，詳見第8章。時間戳此數據元素標識標簽創建的時間。軟件標識標簽處理標簽創建標簽聚合標簽共享軟件供方應通過軟件包或軟件目錄等方式共享軟件標識標簽，以便標簽與軟件產品一起傳遞給需方。標簽完整性標簽解析標簽存儲解析后的軟件標識標簽可存儲于資產管理系統、清單數據庫等倉庫中，以供后續管理和報告使用。標簽類型語料庫標簽功能語料庫標簽提供有關軟件分發的信息，可用于在軟件部署期間驗證軟件安裝包的真實性和完整性。數據元素CD/DVD）的信息。處理主標識標簽功能（（包括自動化工具數據元素處理主標識標簽與軟件產品一起安裝（或隨后創建），以唯一地標識和描述軟件產品。當產品升級時，補丁標簽功能數據元素處理補充標簽功能數據元素（由軟件供方提供處理標簽相關性相關性描述依賴關系標識標簽所描述軟件依賴的其它軟件，應包含對依賴軟件標簽的引用。組成關系標識標簽描述的軟件是由哪些組件軟件組成的，應包含對組件軟件標簽的引用。補丁關系標識標簽描述的補丁或修復應用于哪個軟件，應包含對所應用軟件標簽的引用。通過相關性描述，可以構建出軟件系統的完整層次關系模型。標簽安全軟件供方應采取加密和數據簽名等安全機制來保護軟件標識標簽的完整性和可驗證性。數字簽名加密參考文獻GB/T32921—2016 信息安全技術 信息技術產品供應方行為安全準則ISO/IEC19770-1:2015Informationtechnology—Softwareassetmanagement—Part1：ProcessesandtieredassessmentofconformanceISO/IEC19770-2:2015Informationtechnology-Softwareassetmanagement-Part2:SoftwareidentificationtagNIST.IR.806