近日，在由中國信息通信研究院和中國通信標準化協(xié)會合辦的“2023中國互聯(lián)網(wǎng)大會開源供應鏈論壇”上，中國信通院云大所副所長栗蔚介紹了《信息安全技術 軟件產(chǎn)品開源代碼安全評價方法》國標編制思路。

　　栗蔚表示，開源是開放無邊界的新型協(xié)作模式，基于這樣的模式我們數(shù)字科技創(chuàng)新、產(chǎn)業(yè)開放、經(jīng)濟共享、全球協(xié)作四個方面都可以受益。開源應用廣泛的現(xiàn)狀下也面臨諸多開源安全問題，主要分為網(wǎng)絡安全風險、知識產(chǎn)權風險和供應鏈風險。

　　

 

　　《信息安全技術 軟件產(chǎn)品開源代碼安全評價方法》國家標準依據(jù)開源軟件全生命周期的對外開放、開源項目、開源商業(yè)化、開源使用等幾個環(huán)節(jié)，從軟件產(chǎn)品中的開源代碼來源、開源代碼安全質(zhì)量、開源代碼知識產(chǎn)權和開源代碼管理四方面進行安全評價。

　　栗蔚介紹，通過這四個方面，可以來評價軟件產(chǎn)品中的開源部分是否具有可控性、安全性、合規(guī)性和穩(wěn)定性。

　　可控性是通過評價軟件產(chǎn)品中開源代碼編碼語言、貢獻量、豐富度等情況掌握開源代碼來源，最大程度降低開源代碼供應中斷風險，保障軟件產(chǎn)品包含的開源代碼部分使用過程中能夠持續(xù)使用開源代碼。

　　安全性是通過考察軟件產(chǎn)品中開源代碼安全漏洞率、版本更新等情況，最大程度降低開源安全事件發(fā)生的可能性，保障軟件產(chǎn)品中開源代碼安全性不遭到破壞。

　　合規(guī)性是通過考察軟件產(chǎn)品中開源代碼開源許可證互惠性、兼容性等情況，最大程度降低開源許可證知識產(chǎn)權風險，保障軟件產(chǎn)品中開源代碼符合開源許可證相關要求。

　　穩(wěn)定性是通過考察軟件產(chǎn)品中開源代碼物料清單、開源代碼管理團隊情況，應對開源代碼管理能力不足，保障軟件產(chǎn)品包含的開源代碼穩(wěn)定運行。

　　栗蔚表示，標準針對每條指標項給出詳盡評價方法提高標準可操作性。評價開源代碼來源、開源代碼安全質(zhì)量和開源代碼知識產(chǎn)權指標項采取檢查和測試方法，并依次給出預期結(jié)果;評價開源代碼管理能力指標項采取檢查和訪談的方法，并依次給出預期結(jié)果。

　　栗蔚指出，《信息安全技術 軟件產(chǎn)品開源代碼安全評價方法》國家標準，為各單位對于自身軟件產(chǎn)品開源代碼安全性自評價提供參考，為第三方機構對于軟件產(chǎn)品開源代碼安全能力進行審查和評估時提供依據(jù)，也可為主管監(jiān)管部門提供參考。