ICS 35.240.01 T/CSAC
CCS L78 ICS
中 华 人 民 共 和 国
团 体 标 准
T/CSAC
002—2024
软件标识标签技术要求
Technical requirements for software identification tag
2024 - 7 - 31 发布
2024 - 7 - 31 实施
中国网络空间安全协会 发 布
目 次 T/CSAC 002—2024
ICS .................................................................................... 1
前
言 ........................................................................... III
1 范围 ................................................................................. 1
2 规范性引用文件 ....................................................................... 1
3 术语和定义 ........................................................................... 1
4 缩略语 ............................................................................... 2
5 软件标识标签 ......................................................................... 2
5.1 概述 ............................................................................. 2
5.2 总体结构 ......................................................................... 2
5.3 基本数据元素 ..................................................................... 3
5.4 补充描述性数据元素 ............................................................... 3
6 软件标识标签基本数据元素 ............................................................. 3
6.1 唯一标识符 ....................................................................... 3
6.2 软件名称 ......................................................................... 4
6.3 软件版本 ......................................................................... 4
6.4 软件部件号 ....................................................................... 4
6.5 软件供方 ......................................................................... 4
6.6 软件供方标识 ..................................................................... 4
6.7 标签类型 ......................................................................... 4
6.8 时间戳 ........................................................................... 4
7 软件标识标签处理 ..................................................................... 4
7.1 标签创建 ......................................................................... 4
7.2 标签聚合 ......................................................................... 4
7.3 标签共享 ......................................................................... 5
7.4 标签完整性 ....................................................................... 5
7.5 标签解析 ......................................................................... 5
7.6 标签存储 ......................................................................... 5
8 标签类型 ............................................................................. 5
8.1 概述 ............................................................................. 5
8.2 语料库标签 ....................................................................... 5
8.3 主标识标签 ....................................................................... 6
8.4 补丁标签 ......................................................................... 6
8.5 补充标签 ......................................................................... 7
9 标签相关性 ........................................................................... 7
9.1 相关性描述 ....................................................................... 7
9.2 依赖关系 ......................................................................... 7
9.3 组成关系 ......................................................................... 7
9.4 补丁关系 ......................................................................... 7
I
T/CSAC
002—2024
10 标签安全 ............................................................................ 8
10.1 数字签名 ........................................................................ 8
10.2 加密 ............................................................................ 8
参考文献 ............................................................................. 9
II
前 言 T/CSAC 002—2024
本文件按照GB/T 1.1—2020《标准化工作导则
起草。
第1部分：标准化文件的结构和起草规则》的规定
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国网络空间安全协会提出。
本文件由中国网络空间安全协会归口。
本文件起草单位：中国信息安全测评中心、京东科技信息技术有限公司、工业和信息化部第五研究
所、深圳市金蝶天燕云计算股份有限公司、麒麟软件有限公司、统信软件技术有限公司、苏州棱镜七彩
信息科技有限公司、中移（杭州）信息技术有限公司、中国互联网络信息中心、北京大学深圳研究生院、
沈阳东软系统集成工程有限公司、北京数字认证股份有限公司、三六零数字安全科技集团有限公司、中
孚安全技术有限公司、拓尔思信息技术股份有限公司、杭州网易智企科技有限公司、北京航空航天大学。
本文件主要起草人：邵帅、高松、郑伟娜、唐洪山、王晓萌、柴思跃、顾欣、廖晗、林琳、李伟彬、
文波、孙丽丽、张磊、梁大功、黄浩东、滕腾、徐倩华、蔡倩楠、聂智戈、杨万禄、石娜、喻海生、贾
彦生、沈天翔、刘中、肖若楠、李娜、耿贵宁、刘俊红、鲁鹏、王洪俊、朱浩奇、李雨珂、关振宇、李
大伟。
III
T/CSAC
002—2024
软件标识标签技术要求
1
范围
本文件规定了软件标识标签的功能、通用结构、必要的数据元素字段以及处理规则。
本文件适用于软件供方和需方对软件标识标签的处理，也可为第三方机构开展软件标识标签验证提
供依据，为主管监管部门提供参考。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
3 GB/T 11457—2006 信息技术 软件工程术语
GB/T 25069—2022 信息安全技术 术语
GB/T 36475—2018 软件产品分类
GB/T 36637—2018 信息安全技术 ICT 供应链安全风险管理指南
GB/T 43698—2024 网络安全技术 软件供应链安全要求
术语和定义
GB/T 43698-2024中定义的以及下列术语和定义适用于本文件。
3.1
软件产品
software product
计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时
提供的计算机软件。
注１：软件产品包含计算机程序代码、规程、相关数据、文档和相关服务。
注2：本文件中软件产品简称为软件。
[来源：GB/T 43698-2024，3.1]
3.2
软件标识标签 Software identification tag
用于标识和描述单个软件产品的数据元素集合，包含软件名称、版本、供方等方面的信息。
3.3
元素 Element
支配类型的值或支配信息客体类别的信息客体，能分别从相同类型或相同类别信息客体的所有他值
中区别出来。
[来源：GB/T 16262.1-2006, 3.6.19]
3.4
1
T/CSAC
002—2024
语料库标签 Corpus tag
用于软件安装包的软件标识标签。
3.5
主标识标签 Primary tag
用于标识软件产品发行版的标准软件标识标签。
3.6
补丁标签 Patch Tag
用于标识修补已发布软件产品缺陷和漏洞的补丁或修复的软件标识标签。
3.7
补充标签 Supplemental Tag
用于为已存在的软件标识标签提供额外数据元素的软件标识标签。
4
缩略语
下列缩略语适用于本文件。
SWID 软件标识（Software Identification）
CD/DVD 光盘（Compact Disc/Digital versatile disc）
5 软件标识标签
5.1 概述
软件标识标签包括标识和描述软件所需的数据元素。这些数据元素可支持各种软件管理活动，如清
单生成、许可证确认、漏洞管理、配置管理等。
软件标识标签应包含如名称、版本、发布者等软件的基本识别信息，以及其他有用信息，如文档位
置、安装说明、数字签名等。标签中的数据元素应能够准确、独特地标识软件。
软件标识标签应仅包含标识软件所需的最小必要信息。额外的非识别信息应通过引用的方式包含，
而非直接集成到标签中，从而使软件标识标签尽可能简洁。
不同的软件应根据需要选择使用标签的子集或扩展。标签可通过JSON格式表示。不管采用何种格式，
都应遵循本文件对标签内容和语义的规定。
软件标识标签可独立使用，也可集成到软件物料清单或者其他软件关系描述文件中。
5.2
总体结构
如图 1 所示，软件标识标签应包含标识软件所需的基本数据元素(见 6.2)和数据元素完整性检查机
制 (见 8.4)。软件标识标签可包含补充描述性数据元素(见 6.3)。
2
T/CSAC
002—2024
图 1 软件标识标签包含的信息类型
软件标识标签采用层次化的结构组织这些信息。最基本的一级包含用于标识软件所需的基本数据元
素。第二级和后续级别包含额外的描述性数据元素和完整性检查机制等。每一级都可通过引用的方式添
加进标签。
5.3
基本数据元素
软件标识标签应包含以下基本数据元素：
a) 唯一标识符
b) 软件名称
c) 软件版本
d) 软件供方
e) 标签类型(语料库标签或主标识标签等)
这些数据元素代表了标识软件所需的最小必要信息。
5.4
补充描述性数据元素
除基本数据元素外，软件标识标签还可包含多种可选的补充描述性数据元素，比如：
a) 软件部件号
b) 软件供方标识
c) 时间戳
d) 文档信息
e) 许可证信息
f) 安装说明
g) 相关性（依赖关系 、组成关系和补丁关系）
h) 补丁/升级信息
i) 运行环境信息
补充数据元素宜以引用的形式包含在软件标识标签中，这避免标签本身变得过于复杂冗长。
6 软件标识标签基本数据元素
6.1 唯一标识符
此唯一标识符用于标识特定的软件标识标签实例。
3
6.2 软件名称 T/CSAC 002—2024
此数据元素标识软件产品的通常名称。例如“云星光 sbom-tool”。
名称应具有足够的特定性以准确标识软件产品。过于通用的名称如“文本编辑器”应避免使用。
6.3
软件版本
此数据元素标识软件产品的准确版本。版本通常由以下元素组成：
a) 主版本号：产品版本系列中主要版本的编号。
b) 次版本号：主版本下的次要版本编号。
c) 修订号：小的修改和缺陷修复版本编号。
d) 构建号：完整识别构建或编译的唯一标识符。
例如：“2.1.3.76543”，应尽可能全面清晰以准确区分不同软件产品版本。
6.4
软件部件号
对于由多个部件或文件组成的软件产品，可标识特定部分或组件的编号。
部分号与产品版本号组合，能够准确定位软件组成部分。
6.5
软件供方
此数据元素标识负责提供软件产品的组织，应使用组织的正式名称。
例如：“京东科技信息技术有限公司”。
6.6
软件供方标识
此可选数据元素包含标识软件供方的唯一标识字符串。
6.7
标签类型
此数据元素标识标签的类型，如该标签为语料库标签、主标识标签等，详见第8章。
6.8
时间戳
此数据元素标识标签创建的时间。
7 软件标识标签处理
7.1 标签创建
软件供方应在软件产品发布时创建一个包含基本数据元素的软件标识标签。在软件生命周期的后续
阶段，可根据需要通过添加补充数据元素来扩展和增强标签。
7.2
标签聚合
对于由多个组件组成的软件产品，应为每个组件创建软件标识标签，然后这些组件级标签可聚合到
产品级软件标识标签中。产品级标签将包含对组件标签的引用。
4
7.3 标签共享 T/CSAC 002—2024
软件供方应通过软件包或软件目录等方式共享软件标识标签，以便标签与软件产品一起传递给需方。
7.4
标签完整性
软件供方应通过数字签名或哈希校验等机制来保护软件标识标签的完整性，以防止标签被意外或恶
意修改。
7.5
标签解析
软件需方或第三方机构在接收到软件标识标签后应该能解析并处理标签中的数据元素，解析过程应
检验标签的完整性和数字签名的有效性。
7.6
标签存储
解析后的软件标识标签可存储于资产管理系统、清单数据库等仓库中，以供后续管理和报告使用。
8 标签类型
8.1 概述
软件标识标签可应用于多种不同的软件实体。本文件定义了四种类型的软件标识标签：语料库标签、
主标识标签、补丁标签和补充标签。语料库标签、主标识标签和补丁标签具有相似的功能，因为它们描
述了不同类型软件的存在，以及软件产品的不同状态。补充标签以补充方式为已存在的软件标识标签提
供额外数据元素。
8.2
语料库标签
8.2.1 功能
语料库标签提供有关软件分发的信息，可用于在软件部署期间验证软件安装包的真实性和完整性。
软件在安装之前，通常以软件安装包的形式将其交付或以其他方式提供给软件需方。安装包包含处于预
安装状态的软件，通常以某种方式压缩。软件需方获取安装包后，会运行安装过程，以使安装包中包含
的软件解包并部署到目标设备上。本文件定义的语料库标签用于识别和描述处于这种预安装状态的产品。
8.2.2 数据元素
语料库标签能被用于验证安装包以及发布安装包的组织的信息，补充描述性数据元素应包括文件清
单、许可证信息和分发介质（例如 CD/DVD）的信息。
8.2.3 处理
语料库标签由软件供方创建，并与安装包一起共享给需方。在软件安装过程中，语料库标签不会安
装在设备上。语料库标签可用于验证可安装产品的完整性，并在执行安装程序之前验证安装包的发行者。
5
T/CSAC
002—2024
语料库标签中包含安装文件清单，如果标签中的清单与安装包中的实际文件不匹配，则检测到安装包被
篡改。当与其他许可数据相结合时，语料库标签可以帮助消费者在安装产品之前确认他们是否拥有产品
的有效许可。
8.3
主标识标签
8.3.1 功能
主标识标签包含对软件名称、版本、软件供方等的核心识别数据元素（例如，产品命名信息、预期
包含的文件列表）。理想情况下，软件供方也是该产品主标识标签的创建者；然而，其他方（包括自动
化工具）在软件供方拒绝为产品创建标签或将此责任委托给另一方的情况下也可为产品创建标记。标签
创建者的替代角色包括聚合、分发和许可软件产品的组织和个人。主标识标签与其所标识的已安装软件
之间存在一对一映射的关系。
8.3.2 数据元素
每个标记产品的主标识标签需要提供“强制性”的所有数据元素的值。最小主标识标签提供软件名
称（作为字符串）、标签的唯一标识符以及标识标签创建者的基本信息。
8.3.3 处理
主标识标签与软件产品一起安装（或随后创建），以唯一地标识和描述软件产品。当产品升级时，
与旧版本关联的主标识标签将被删除，并替换为新版本的主标识标签。当产品从设备中移除时，其主标
识标签也会被移除。通过严格维护已安装软件和相关标签之间的一对一关联，可以使用软件标识标签数
据持续监控已安装软件库存并跟踪软件更新。
8.4
补丁标签
8.4.1 功能
补丁标签提供有关软件补丁的特定信息，软件补丁一般被用于纠正产品中的错误或为产品添加新功
能，应引用所应用的软件产品及其版本。
8.4.2 数据元素
补丁标签提供有关补丁对软件产品所做的更改的信息，包括添加、删除或更改的文件。补丁标签中
包含的数据元素用于标识和描述补丁，而不是应用补丁的产品。例如，补丁标签中记录的软件名称和版
本不需要与补丁程序的主标识标签中所记录的产品名和版本匹配。相反，这些属性可用来记录软件供方
分配的补丁的名称和版本。
8.4.3 处理
软件供方可以发布补丁来纠正软件中的缺陷或为产品添加新功能。在设备上安装补丁程序时，会对
产品的安装足迹进行更改。由于补丁程序扩充了现有安装，因此需要单独跟踪这些更改。补丁标签能够
6
T/CSAC
002—2024
识别和描述补丁。安装补丁程序后，将在设备上与修补产品相关的位置放置补丁标签。当软件供方未提
供补丁标签时，需方可创建补丁标签以指示补丁的存在。与补丁不同，升级被定义为完全替换产品的安
装痕迹。升级通常会更改产品的版本号和/或发布详细信息，因此升级会更新主标识标签。
8.5
补充标签
8.5.1 功能
补充标签提供了描述与其他标签相关的附加信息的机制，如可提供额外的许可或安装信息，应包含
对所扩展的原标签的引用。任何实体都可创建补充标签，例如，可通过自动化工具创建补充标签，以便
用附加的特定网站信息（例如许可证密钥和本地负责方的联系信息）来扩充现有的主标识标签。
8.5.2 数据元素
补充标签可提供补充的数据值，该数据值与主标识标签的及任何其他补充标签提供的数据值不应存
在冲突。如果检测到冲突，则主标识标签中的数据（由软件供方提供）被认为是最可靠的。例如，记录
在补充标签中的软件名称应与记录在产品主标识标签中的软件名称相匹配；如果它们不同，则记录在主
标识标签中的名称被视为首选名称。
8.5.3 处理
软件产品升级后，与产品升级前版本相关的所有主标识标签、补丁和补充标签都将被删除。如果需
要，可部署与升级版本相关联的新补充标签。删除软件产品后，将删除与该产品相关的所有主标识标签、
补丁标签和补充标签。软件标识标签还可通过“标签类型”特性进行扩展，用于表示自定义的标签类型。
9 标签相关性
9.1 相关性描述
软件产品通常由多个相互相关的组件组成。相关软件组件可通过不同的软件标识标签进行标识。为
了描述组件之间的相关性，软件标识标签将相关性信息描述为依赖关系、组成关系和补丁关系。
9.2
依赖关系
标识标签所描述软件依赖的其它软件，应包含对依赖软件标签的引用。
9.3
组成关系
标识标签描述的软件是由哪些组件软件组成的，应包含对组件软件标签的引用。
9.4
补丁关系
标识标签描述的补丁或修复应用于哪个软件，应包含对所应用软件标签的引用。通过相关性描述，
可以构建出软件系统的完整层次关系模型。
7
10 标签安全 T/CSAC 002—2024
软件供方应采取加密和数据签名等安全机制来保护软件标识标签的完整性和可验证性。
10.1
数字签名
软件供方应使用数字签名技术对标签内容进行签名。以便软件需方验证标签的来源和完整性，防止
标签在传输过程中被意外或恶意修改。
10.2
加密
软件供方可通过加密技术加密敏感标签内容，防止信息泄露。软件需方需要获取解密密钥来读取这
些内容，解密密钥由软件供方在软件交付时提供给需方。
8
T/CSAC
002—2024
参考文献
[1] GB/T 32921—2016 信息安全技术 信息技术产品供应方行为安全准则
[2] ISO/IEC 19770-1:2015 Information technology — Software asset management — Part 1：
Processes and tiered assessment of conformance
[3] ISO/IEC 19770-2:2015 Information technology - Software asset management - Part 2:
Software identification tag
[4] NIST.IR.8060 Guidelines for the Creation of Interoperable Software Identification
(SWID) Tags
[5] NIST.SP.800-161r1 Cybersecurity Supply Chain Risk Management Practices for Systems
and Organizations
9