| 标准详细信息 |
| 标准状态 |
已公布 |
| 标准编号 |
T/CIIPA 00012—2024 |
| 中文标题 |
自主可控网络安全技术基于网络靶场的软件自主可控能力测试指南 |
| 英文标题 |
Autonomous and controllable cybersecurity technology-Guideline for testingthe autonomous and controllable capabilities of software based on cyber range |
| 发布日期 |
|
| 实施日期 |
|
| 范围 |
本文件描述了一套基于网络靶场对软件自主可控能力进行持续性测试的方法论,包括在软件生命周期各阶段进行静态测试、仿真测试、实网测试时,如何制定测试方案、搭建测试环境、执行测试任务和输出测试报告。
本文件适用于指导组织基于网络靶场开展软件资产自主可控能力测评工作,能供软件产品研制单位、使用单位、测评机构等相关方参考使用。 |
| 主要技术内容 |
5.1软件自主可控能力测试范围
软件自主可控能力测试包含对技术掌控能力、持续交付能力和网络安全能力的测试评估:a)技术掌控能力考察软件代码自主率;
b)持续交付能力考察开源及第三方组件许可证合规性;
网络安全能力考察代码缺陷、组件漏洞、资产漏洞及其他潜在的网络安全风险应对能力。c)
5.2软件自主可控能力管理粒度
软件资产自主可控能力管理的粒度宜达到组件级,并明确处理组件间的依赖关系和交互。要求软件资产具备完整的SBOM,能够清晰反映软件的构成及每个组件的情况,以实现自主可控能力评价和风险管理
5.3软件自主可控能力测试框架
软件自主可控能力测试宜持续开展,贯穿软件的开发阶段、测试阶段和运营阶段
测试类型包括静态测试、仿真测试和实网测试。静态测试指在非运行环境下对软件源代码或二进制代码进行检测,包括成分分析和安全测试:仿真测试指在仿真运行环境下对运行态程序进行安全测试:实网测试指在实际网络环境下对运行态程序进行安全测试。静态测试结果包括代码来源、开源许可证有效性、组件级的代码缺陷和漏洞:仿真测试和实网测试的结果是软件资产的安全漏洞。测试方法主要包括SCA,代码安全审计,漏洞扫描,模糊测试,渗透测试和安全众测等。在软件生命周期的各阶段可采用的测试类型和测试方法如表1所示。 |
| 标准购买信息 |
| 出售价格 |
43.00元 |
| 联系人 |
宋淑杰 |
| 联系电话 |
18610270820 |
| 手机号码 |
18610270820 |
| 传真 |
|
| Email |
songshujie@cnciipa.com |
| 简介 |
软件产品自主可控能够有效规避停服断供或安插后门等安全隐患,对于确保国家在关键领域的独立性和安全性意义重大。加强对软件自主可控能力的测试管理,掌握当前的实际水平和潜在风险,是提升自主可控能力必不可少的措施。制定本团体标准,旨在规范软件研制单位、使用单位、测评机构的测试行为,提升其测试管理能力,确保软件自主可控能力的稳步提升。本文件围绕软件自主可控能力测试方法进行深入剖析,主要包括两大部分,一是软件自主可控能力测试的管理框架,包括测试范围、管理粒度、测试框架以及如何基于网络靶场对测试过程和测试结果进行闭环管理。二是基于网络靶场开展软件自主可控能力测试的具体方法,首先要建立资产库、组件库、漏洞库等基础库,对软件资产信息进行初始化,然后结合软件生命周期阶段和安全管理需求开展静态测试、仿真测试和实网测试,对每种测试方法从制定测试方案,搭建测试环境,执行测试任务到输出
测试报告给予详细的指导,根据测试结果评定漏洞处置优先级,并对软件自主可控能力进行判定。本文件旨在帮助软件研制单位、使用单位、测评机构提升软件自主可控能力测试过程的科学性和严谨性,加强测试结果的连续性管理,进而提升对软件产品的技术掌控能力、持续交付能力和漏洞管理能力,为数字经济的健康发展提供有力支撑。 |