【儀表網(wǎng) 行業(yè)標(biāo)準(zhǔn)】經(jīng)標(biāo)準(zhǔn)編制單位的辛勤努力，現(xiàn)已形成國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 軟件產(chǎn)品開源代碼安全評(píng)價(jià)方法》征求意見稿。為確保標(biāo)準(zhǔn)質(zhì)量，信安標(biāo)委秘書處面向社會(huì)廣泛征求意見。
 

　　當(dāng)前開源代碼應(yīng)用廣泛，超過 90%的企業(yè)使用的軟件產(chǎn)品中涉及開源代碼。與此同時(shí)開源安全問題凸顯，開源代碼自身存在的安全隱患被黑客利用攻擊導(dǎo)致一系列安全事件，Log4j 等開源代碼暴露的安全問題極大程度影響軟件產(chǎn)品正常穩(wěn)定運(yùn)行。市場(chǎng)亟需標(biāo)準(zhǔn)化的軟件產(chǎn)品開源代碼安全評(píng)價(jià)方法。本標(biāo)準(zhǔn)為保障開源代碼安全性，針對(duì)軟件產(chǎn)品開源代碼?出安全評(píng)價(jià)要素，給出評(píng)價(jià)方法，旨在降低軟件產(chǎn)品中的開源代碼安全風(fēng)險(xiǎn)。
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
 

　　本文件給出了軟件產(chǎn)品中的開源代碼安全評(píng)價(jià)目標(biāo)、評(píng)價(jià)指標(biāo)體系和評(píng)價(jià)方法，評(píng)價(jià)指標(biāo)體系涵蓋開源代碼來源、開源代碼質(zhì)量、開源代碼知識(shí)產(chǎn)權(quán)和開源代碼管理能力。本文件適用于軟件產(chǎn)品包含的開源代碼安全評(píng)價(jià)工作，為各企事業(yè)單位對(duì)于軟件產(chǎn)品中的開源代碼進(jìn)行安全性自評(píng)價(jià)提供參考，為第三方機(jī)構(gòu)開展此類工作提供依據(jù)。
 

　　評(píng)價(jià)目標(biāo)：
 

　　當(dāng)前開源代碼被廣泛應(yīng)用在軟件產(chǎn)品的同時(shí)，存在開源代碼網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)和持續(xù)性風(fēng)險(xiǎn)(見附錄A)。
 

　　軟件產(chǎn)品包含的開源代碼安全評(píng)價(jià)應(yīng)達(dá)到以下目標(biāo)：
 

　　a) 可控性：通過評(píng)價(jià)軟件產(chǎn)品中開源代碼編碼語言、貢獻(xiàn)量、豐富度等情況掌握開源代碼來源，最大程度降低開源代碼供應(yīng)中斷風(fēng)險(xiǎn)，保障軟件產(chǎn)品包含的開源代碼部分使用過程中能夠持續(xù)使用開源代碼。
 

　　b) 安全性：通過考察軟件產(chǎn)品中開源代碼安全漏洞率、版本更新等情況，最大程度降低開源安全事件發(fā)生的可能性，保障軟件產(chǎn)品中開源代碼安全性不遭到破壞。
 

　　c) 合規(guī)性：通過考察軟件產(chǎn)品中開源代碼開源許可證互惠性、兼容性等情況，最大程度降低開源許可證知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)，保障軟件產(chǎn)品中開源代碼符合開源許可證相關(guān)要求。
 

　　d) 穩(wěn)定性：通過考察軟件產(chǎn)品中開源代碼物料清單、開源代碼管理團(tuán)隊(duì)等情況，應(yīng)對(duì)開源代碼管理能力不足，保障軟件產(chǎn)品包含的開源代碼的穩(wěn)定運(yùn)行。
 

　　評(píng)價(jià)流程：
 

　　評(píng)價(jià)流程主要包括評(píng)價(jià)準(zhǔn)備、方案制定、現(xiàn)場(chǎng)實(shí)施、分析評(píng)估4個(gè)階段：
 

　　a) 在評(píng)價(jià)準(zhǔn)備階段，評(píng)價(jià)實(shí)施方接收被評(píng)價(jià)單位?交的評(píng)價(jià)申請(qǐng)后，與被評(píng)價(jià)單位溝通所需的評(píng)價(jià)材料，包括擬提供的軟件產(chǎn)品、材料和證據(jù)等，依據(jù)本文件中的評(píng)價(jià)體系審核被評(píng)價(jià)單位提供的評(píng)價(jià)材料是否滿足條件，通過審核后，組建評(píng)價(jià)實(shí)施團(tuán)隊(duì)，根據(jù)需要可設(shè)置專家組；
 

　　b) 在方案制定階段，評(píng)價(jià)實(shí)施方確定評(píng)價(jià)方法、程序和進(jìn)度，形成評(píng)價(jià)方案；
 

　　c) 在現(xiàn)場(chǎng)實(shí)施階段，評(píng)價(jià)實(shí)施方依據(jù)評(píng)價(jià)方案，結(jié)合被評(píng)價(jià)單位提供的評(píng)價(jià)材料逐項(xiàng)核查，必要時(shí)可要求被評(píng)價(jià)單位補(bǔ)充相關(guān)材料，雙方對(duì)現(xiàn)場(chǎng)實(shí)施結(jié)果進(jìn)行確認(rèn)；
 

　　d) 在分析評(píng)估階段，評(píng)價(jià)實(shí)施方依據(jù)現(xiàn)場(chǎng)實(shí)施情況對(duì)軟件產(chǎn)品包含的開源代碼部分進(jìn)行具體評(píng)價(jià)和打分。
 

　　評(píng)價(jià)內(nèi)容：
 

　　評(píng)價(jià)實(shí)施方依據(jù)國(guó)家相關(guān)規(guī)定，主要對(duì)軟件產(chǎn)品中的開源代碼來源、開源代碼質(zhì)量、開源代碼知識(shí)產(chǎn)權(quán)和開源代碼管理能力進(jìn)行評(píng)價(jià)。
 

　　評(píng)價(jià)實(shí)施方在開展開源代碼安全評(píng)價(jià)工作中應(yīng)綜合采用訪談、檢查和測(cè)試等基本評(píng)價(jià)方法，以核實(shí)被評(píng)價(jià)單位所提供評(píng)價(jià)材料是否滿足指標(biāo)考查內(nèi)容要求：
 

　　a) 訪談：評(píng)價(jià)實(shí)施方通過與被評(píng)價(jià)單位相關(guān)人員進(jìn)行有針對(duì)性的交流以幫助理解、厘清或取得證據(jù)，訪談的對(duì)象為個(gè)人或團(tuán)體，如技術(shù)團(tuán)隊(duì)負(fù)責(zé)人、核心技術(shù)工程師等；
 

　　b) 檢查：評(píng)價(jià)實(shí)施方對(duì)被評(píng)價(jià)單位?供的相關(guān)材料進(jìn)行觀察、查驗(yàn)、分析以幫助理解、厘清或取得證據(jù)，檢查的對(duì)象為制度、文檔和記錄，如必要的開源代碼物料清單、技術(shù)設(shè)計(jì)文檔、安全掃描報(bào)告、開源代碼管理團(tuán)隊(duì)背景信息等；
 

　　c) 測(cè)試：評(píng)價(jià)實(shí)施方使用具備開源代碼成分識(shí)別功能、漏洞檢出功能和代碼缺陷檢出功能的方法/工具使測(cè)試對(duì)象產(chǎn)生特定的結(jié)果，并將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)。
 

　　開源社區(qū)安全管理：
 

　　開源社區(qū)安全管理的評(píng)價(jià)方法如下：
 

　　a) 評(píng)價(jià)方法：
 

　　1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開源代碼成分，形成開源代碼成分測(cè)試報(bào)告；
 

　　2) 檢查軟件產(chǎn)品開源代碼所在的開源社區(qū)聲明文檔是否定期發(fā)布安全問題；
 

　　3) 檢查軟件產(chǎn)品開源代碼所在的開源社區(qū)開源代碼合并是否具備安全測(cè)試標(biāo)記；
 

　　4) 檢查軟件產(chǎn)品包含的開源代碼所在的開源社區(qū)貢獻(xiàn)規(guī)則文檔，確認(rèn)是否要求開源貢獻(xiàn)者簽署協(xié)議要求；
 

　　5) 檢查軟件產(chǎn)品包含的開源代碼所在的開源社區(qū)組織架構(gòu)，確認(rèn)是有人員進(jìn)行代碼審查；
 

　　6) 檢查軟件產(chǎn)品直接引入和和間接依賴的開源代碼所在的開源社區(qū)貢獻(xiàn)代碼，確認(rèn)是否具備數(shù)字簽名；
 

　　7) 檢查軟件產(chǎn)品包含的開源代碼所在的開源社區(qū)是否具備代碼發(fā)布安全機(jī)制措施。
 

　　b) 預(yù)期結(jié)果：
 

　　軟件產(chǎn)品包含的開源代碼形成的開源社區(qū)對(duì)于正式版本發(fā)布進(jìn)行安全掃?比例和對(duì)代碼發(fā)布安全機(jī)制措施比例均為60%及以上。
 

　　更多詳情請(qǐng)見附件。