一、电信供应链软件安全测评的定义

电信供应链软件安全测评是指针对电信行业网络产品和服务供应链中软件环节的安全风险，通过系统化、标准化的方法对软件全生命周期的安全性进行检测、评估和验证的活动。其核心目标是识别软件供应链中的潜在安全威胁，确保软件产品从开发、交付到运维各环节的可信性、可控性和安全性。

在数字化转型加速的背景下，电信行业作为关键信息基础设施的重要组成部分，其软件供应链涉及操作系统、数据库、中间件、业务应用及开源组件等多元要素。任何一个环节的安全漏洞都可能引发连锁反应，导致数据泄露、服务中断甚至网络攻击。因此，软件安全测评不仅是技术验证手段，更是保障国家网络安全的战略性举措。

二、政策要求与法规框架

我国对电信供应链软件安全的管理已形成较为完善的政策法规体系，主要包含以下层面：

1. 国家法律层面

《网络安全法》明确规定网络产品和服务提供者不得设置恶意程序，并要求开展安全检测；《数据安全法》和《个人信息保护法》进一步强化了数据处理活动的安全责任。2021年实施的《关键信息基础设施安全保护条例》将电信行业纳入关键信息基础设施范畴，明确要求运营者采购网络产品和服务时申报网络安全审查。

2. 部门规章与规范性文件

2020年，国家网信办等12部门联合发布的《网络安全审查办法》要求电信行业运营者在采购网络产品和服务时申报网络安全审查，确保供应链安全。工信部同步建立供应链安全常态化监管机制，重点关注软件下载平台、云平台、基础通用软件等环节，开展开源代码安全检测。

3. 最新政策动态

2024年11月1日，GB/T 43698-2024《网络安全技术 软件供应链安全要求》和GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》两项国家标准正式实施，为电信行业软件供应链安全测评提供了权威依据。2025年，中国网络安全审查认证和市场监管大数据中心（CCRC）正式启动软件供应链安全能力评估活动，推动测评工作制度化、规范化。

三、测评标准体系

电信供应链软件安全测评遵循多层次、多维度的标准体系：

1. 核心国家标准

GB/T 43698-2024《网络安全技术 软件供应链安全要求》：确立软件供应链安全目标，规定供需双方的组织管理和供应活动管理安全要求，适用于指导风险管理、组织管理和供应活动管理，为安全检测和评估提供依据。

GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》：规定开源代码成分安全评价要素和流程，适用于静态安全评价，解决开源成分可见性不足、漏洞响应滞后等核心挑战。

GB/T 36637-2018《信息安全技术 ICT供应链安全风险管理指南》：从全生命周期角度开展风险分析，实现供应链的完整性、保密性、可用性和可控性目标。

2. 行业标准与团体标准

中国信通院发布的《软件供应链安全管理能力成熟度模型》《可信研发运营安全能力成熟度模型》等标准，从管理机制、供应链上游、生产链和下游四大维度明确安全指标。

电信终端产业协会制定的《网络产品供应链安全要求》针对管理制度、组织机构、人员及供应链环节提出分级安全要求。

广东腾创具有CNAS、CMA/CCRC、信息安全风险评估等资质证书，可提供电信供应链软件安全测评服务检测。内容包含：漏洞扫描（应用、系统、设备、数据库等）、源代码安全评估、渗透测试、信息安全风险评估、基线核查、信息安全应急演练、信息安全应急响应、系统上线安全评估、信息安全培训、互联网暴露面检测、内网资产梳理机风险排查、信息安全巡检、信息安全迎检等。还能提供电力信息系统代码检测，安全检测（渗透测试、漏洞测试）。