供应链安全检测系列技术规范介绍之一|软件成分分析

软件成分分析的概念及意义

软件成分分析Software Compostition Analysis（SCA）是一种用于管理开源组件应用安全的方法。软件成分分析系统可以快速跟踪和分析应用软件的开源组件，发现相关组件、支持库以及它们之间直接和间接依赖关系，检测软件许可证、已弃用的依赖项以及漏洞和潜在威胁。

近年来，针对开源组件的供应链安全攻击急剧增加，开源组件供应链安全事件造成的影响更加广泛和严重，因此掌握应用软件使用的组件底数，摸清组件关联关系、组件漏洞和风险隐患情况变得至关重要。软件成分分析系统能够分析软件成分，形成软件物料清单，检测软件许可合规问题，发现开源组件漏洞情况，降低由软件成分带来的安全和合规风险，提升供应链整体安全防护水平。软件成分分析系统已成为保障关键信息基础设施、重要网络和信息系统软件供应链安全的重要工具。

《软件成分分析系统技术规范》主要内容介绍

随着软件成分分析系统的市场热度增高，各网络安全企业相关产品快速推出抢占市场，导致目前国内市场上软件成分分析系统能力参差不齐。为确保软件成分分析系统在功能和安全性上的一致性和有效性，保障软件成分分析系统能够发挥其真实作用，公安部第三研究所等保中心（以下简称“等保中心”）牵头编制了《软件成分分析系统技术规范》，提出软件成分分析系统的技术要求，并给出相应评价方法，适用于对软件成分分析系统的检测评估。

《软件成分分析系统技术规范》从安全功能要求、自身安全要求、环境适应性要求、安全保障要求四大维度出发，围绕软件物料清单管理、软件成分风险分析、数据安全、通信安全等核心能力指标展开。主要包括：软件成分识别、漏洞风险分析、投毒风险分析、开源许可合规风险分析、供应链连续性分析、集成配置、自身安全和安全保障等内容。本规范的指标分为基本级和增强级，可用于软件成分分析系统的分级检测评估。

《软件成分分析系统技术规范》试用成果

为验证《软件成分分析系统技术规范》内容的科学性、合理性和可用性，等保中心对第一批软件成分分析系统进行了检测评估，通过软件成分分析系统检测评估工作，衡量了各种软件成分分析系统的检测能力，规范了软件成分分析系统的检测功能，提升了软件成分分析系统的整体安全技术能力。

已通过检测评估的SCA系统有：

等保中心将继续推进供应链安全检测评估工作，进一步完善检测标准和评估体系，欢迎更多企业积极参与，共同构建安全、可信的软件供应链环境。