一、电信供应链软件安全测评的定义

电信供应链软件安全测评是指针对电信行业网络产品和服务供应链中软件环节的安全风险，通过系统化、标准化的方法对软件全生命周期的安全性进行检测、评估和验证的活动。其核心目标是识别软件供应链中的潜在安全威胁，确保软件产品从开发、交付到运维各环节的可信性、可控性和安全性。

在数字化转型加速的背景下，电信行业作为关键信息基础设施的重要组成部分，其软件供应链涉及操作系统、数据库、中间件、业务应用及开源组件等多元要素。任何一个环节的安全漏洞都可能引发连锁反应，导致数据泄露、服务中断甚至网络攻击。因此，软件安全测评不仅是技术验证手段，更是保障国家网络安全的战略性举措。

二、政策要求与法规框架

我国对电信供应链软件安全的管理已形成较为完善的政策法规体系，主要包含以下层面：

1. 国家法律层面

《网络安全法》明确规定网络产品和服务提供者不得设置恶意程序，并要求开展安全检测；《数据安全法》和《个人信息保护法》进一步强化了数据处理活动的安全责任。2021年实施的《关键信息基础设施安全保护条例》将电信行业纳入关键信息基础设施范畴，明确要求运营者采购网络产品和服务时申报网络安全审查。

2. 部门规章与规范性文件

2020年，国家网信办等12部门联合发布的《网络安全审查办法》要求电信行业运营者在采购网络产品和服务时申报网络安全审查，确保供应链安全。工信部同步建立供应链安全常态化监管机制，重点关注软件下载平台、云平台、基础通用软件等环节，开展开源代码安全检测。

3. 最新政策动态

2024年11月1日，GB/T 43698-2024《网络安全技术 软件供应链安全要求》和GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》两项国家标准正式实施，为电信行业软件供应链安全测评提供了权威依据。2025年，中国网络安全审查认证和市场监管大数据中心（CCRC）正式启动软件供应链安全能力评估活动，推动测评工作制度化、规范化。

三、测评标准体系

电信供应链软件安全测评遵循多层次、多维度的标准体系：

1. 核心国家标准

GB/T 43698-2024《网络安全技术 软件供应链安全要求》：确立软件供应链安全目标，规定供需双方的组织管理和供应活动管理安全要求，适用于指导风险管理、组织管理和供应活动管理，为安全检测和评估提供依据。

GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》：规定开源代码成分安全评价要素和流程，适用于静态安全评价，解决开源成分可见性不足、漏洞响应滞后等核心挑战。

GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》：从全生命周期角度开展风险分析，实现供应链的完整性、保密性、可用性和可控性目标。

2. 行业标准与团体标准

中国信通院发布的《软件供应链安全管理能力成熟度模型》《可信研发运营安全能力成熟度模型》等标准，从管理机制、供应链上游、生产链和下游四大维度明确安全指标。

电信终端产业协会制定的《网络产品供应链安全要求》针对管理制度、组织机构、人员及供应链环节提出分级安全要求。

四、测评内容与方法

电信供应链软件安全测评采用"管理+技术"双轮驱动模式，覆盖软件供应链全生命周期：

1. 安全管理评估

组织管理：评估机构设置、制度建设、人员资质、供应商管理及知识产权管理情况，确保责任主体明确、流程规范。

供应链活动管理：审查软件开发、交付、采购、获取、运维、废止等环节的安全控制措施，验证基本流程的合规性。

风险管理机制：检查风险识别、评估、处置和监控的闭环管理机制，评估应急响应预案的有效性。

2. 技术安全评估

(1) 病毒扫描。

(2) 漏洞扫描。

(3) 开源组件合规检测。

(4) 运维风险检测。

(5) 自主代码率检测。

(6) 知识产权检测。

(7) 渗透测试。

1. 中国信息通信研究院（国企，国家级）

核心资质：CNAS、CMA、CCRC、工信部授权检测资质

核心能力：软件供应链安全检验、安全能力成熟度评估、5G / 云网融合安全测试、电信设备安全认证国资委

行业优势：电信行业标准制定者，主导《电信和互联网软件供应链安全要求》，测试结果获运营商高度认可

2. 工业和信息化部电子第五研究所（中国赛宝实验室，国企，国家级）

核心资质：CNAS、CMA、国防实验室认可、工信部电子元器件与软件安全检测资质

核心能力：电信供应链软件安全测试、嵌入式软件安全测评、漏洞挖掘、可靠性与安全性一体化检测

行业优势：军工 + 民用双资质，覆盖通信设备、核心网、终端全链条，适配高安全等级电信项目

3. 国家信息中心软件评测中心（国企，国家级）

核心资质：CMA、CNAS、国家发改委批准设立的第三方检测机构国信中心软件评测

核心能力：软件安全测试、系统验收测试、供应链安全风险评估、等保测评、电子政务与电信系统安全检测国信中心软件评测

行业优势：服务中央部委与电信运营商，测试报告全国通用，适配政府项目与央企采购验收

4. 赛辰检测（广州赛辰检测服务股份有限公司）

核心资质：CNAS、CMA、CCRC 信息安全服务资质

核心能力：电信供应链软件安全测评、源代码安全评估、渗透测试、漏洞扫描、信息安全风险评估、系统上线安全评估

行业优势：深耕华南，服务电信、金融、政务等领域，测试报告具备法律效力，适配项目验收与招投标

5. 广东腾创（广东腾创检测技术有限公司）

核心资质：CNAS、CMA、CCRC、信息安全风险评估资质

核心能力：电信供应链软件安全测评、代码检测、渗透测试、基线核查、互联网暴露面检测、内网资产梳理

行业优势：本地化服务响应快，熟悉电信行业标准，提供全流程安全测试与合规咨询