近日，在由中國(guó)信息通信研究院和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)合辦的“2023中國(guó)互聯(lián)網(wǎng)大會(huì)開(kāi)源供應(yīng)鏈論壇”上，中國(guó)信通院云大所副所長(zhǎng)栗蔚介紹了《信息安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》國(guó)標(biāo)編制思路。

　　栗蔚表示，開(kāi)源是開(kāi)放無(wú)邊界的新型協(xié)作模式，基于這樣的模式我們數(shù)字科技創(chuàng)新、產(chǎn)業(yè)開(kāi)放、經(jīng)濟(jì)共享、全球協(xié)作四個(gè)方面都可以受益。開(kāi)源應(yīng)用廣泛的現(xiàn)狀下也面臨諸多開(kāi)源安全問(wèn)題，主要分為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)。

　　

 

　　《信息安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》國(guó)家標(biāo)準(zhǔn)依據(jù)開(kāi)源軟件全生命周期的對(duì)外開(kāi)放、開(kāi)源項(xiàng)目、開(kāi)源商業(yè)化、開(kāi)源使用等幾個(gè)環(huán)節(jié)，從軟件產(chǎn)品中的開(kāi)源代碼來(lái)源、開(kāi)源代碼安全質(zhì)量、開(kāi)源代碼知識(shí)產(chǎn)權(quán)和開(kāi)源代碼管理四方面進(jìn)行安全評(píng)價(jià)。

　　栗蔚介紹，通過(guò)這四個(gè)方面，可以來(lái)評(píng)價(jià)軟件產(chǎn)品中的開(kāi)源部分是否具有可控性、安全性、合規(guī)性和穩(wěn)定性。

　　可控性是通過(guò)評(píng)價(jià)軟件產(chǎn)品中開(kāi)源代碼編碼語(yǔ)言、貢獻(xiàn)量、豐富度等情況掌握開(kāi)源代碼來(lái)源，最大程度降低開(kāi)源代碼供應(yīng)中斷風(fēng)險(xiǎn)，保障軟件產(chǎn)品包含的開(kāi)源代碼部分使用過(guò)程中能夠持續(xù)使用開(kāi)源代碼。

　　安全性是通過(guò)考察軟件產(chǎn)品中開(kāi)源代碼安全漏洞率、版本更新等情況，最大程度降低開(kāi)源安全事件發(fā)生的可能性，保障軟件產(chǎn)品中開(kāi)源代碼安全性不遭到破壞。

　　合規(guī)性是通過(guò)考察軟件產(chǎn)品中開(kāi)源代碼開(kāi)源許可證互惠性、兼容性等情況，最大程度降低開(kāi)源許可證知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)，保障軟件產(chǎn)品中開(kāi)源代碼符合開(kāi)源許可證相關(guān)要求。

　　穩(wěn)定性是通過(guò)考察軟件產(chǎn)品中開(kāi)源代碼物料清單、開(kāi)源代碼管理團(tuán)隊(duì)情況，應(yīng)對(duì)開(kāi)源代碼管理能力不足，保障軟件產(chǎn)品包含的開(kāi)源代碼穩(wěn)定運(yùn)行。

　　栗蔚表示，標(biāo)準(zhǔn)針對(duì)每條指標(biāo)項(xiàng)給出詳盡評(píng)價(jià)方法提高標(biāo)準(zhǔn)可操作性。評(píng)價(jià)開(kāi)源代碼來(lái)源、開(kāi)源代碼安全質(zhì)量和開(kāi)源代碼知識(shí)產(chǎn)權(quán)指標(biāo)項(xiàng)采取檢查和測(cè)試方法，并依次給出預(yù)期結(jié)果;評(píng)價(jià)開(kāi)源代碼管理能力指標(biāo)項(xiàng)采取檢查和訪談的方法，并依次給出預(yù)期結(jié)果。

　　栗蔚指出，《信息安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法》國(guó)家標(biāo)準(zhǔn)，為各單位對(duì)于自身軟件產(chǎn)品開(kāi)源代碼安全性自評(píng)價(jià)提供參考，為第三方機(jī)構(gòu)對(duì)于軟件產(chǎn)品開(kāi)源代碼安全能力進(jìn)行審查和評(píng)估時(shí)提供依據(jù)，也可為主管監(jiān)管部門(mén)提供參考。