依据中国国家市场监督管理总局(国家标准化管理委员会)2024年第6号中国国家标准公告,《网络安全技术 软件产品开源代码安全评价方法》国家标准经国家市场监督管理总局(国家标准化管理委员会)批准,于2024年4月25日正式发布。
中国信息通信研究院(简称“中国信通院”)于2022年10月牵头立项《网络安全技术 软件产品开源代码安全评价方法》并持续推进标准编制工作,在标准制定的过程中汇集来自金融、能源、通信、汽车、互联网、云厂商、安全厂商的专家建议与实践经验,齐聚行业智慧完成了标准的制定,参与详情见全国标准信息公共服务平台官网。
开源安全国家标准范围覆盖软件产品中的开源代码成分安全的评价要素和评价规程,评价要素涵盖开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理。适用于对软件产品包含的开源代码成分进行静态安全评价,为各单位对于软件产品中的开源代码成分进行安全性自评价提供依据,为第三方机构开展此类工作提供参考。
开源安全国家标准为各行业提供开源安全治理规范,明确开源代码度量基线,形成软件产品开源代码安全评价方法。标准编制过程中,已开展包括4轮共计20家企业21个软件产品在内的试点验证,对于标准的落地提供理论依据,帮助标准最大程度做到科学性、易用性和公平性。
基于前期的标准试点验证,中国信通院依据国家标准,开展开源安全产品级符合性测试,对相关软件产品开源代码安全状况进行技术测试和文档审查,包括:
1. 开源代码来源:基于标准针对软件产品开源代码来源进行技术测试,包括开源代码规模占比、开源代码编码语言等8个测试项;
2. 开源代码安全质量:基于标准针对软件产品开源代码安全质量进行技术测试,包括开源代码漏洞率、开源代码漏洞严重性等4个测试项;
3. 开源代码知识产权:基于标准针对软件产品开源代码知识产权进行技术测试,包括开源许可证遵从度、开源许可证规范性等6个测试项;
4. 开源代码管理:基于标准针对软件产品开源代码管理进行文档审核,包括开源代码管理团队、开源代码物料清单等4个测试项。
该符合性测试从即日起启动,欢迎广大开发者与开源组织在评论区咨询,或后台留言。
