7月19日消息(水易)近日,在由中国信息通信研究院和中国通信标准化协会合办的“2023中国互联网大会开源供应链论坛”上,中国信通院云大所副所长栗蔚介绍了《信息安全技术 软件产品开源代码安全评价方法》国标编制思路。
栗蔚表示,开源是开放无边界的新型协作模式,基于这样的模式我们数字科技创新、产业开放、经济共享、全球协作四个方面都可以受益。开源应用广泛的现状下也面临诸多开源安全问题,主要分为网络安全风险、知识产权风险和供应链风险。
《信息安全技术 软件产品开源代码安全评价方法》国家标准依据开源软件全生命周期的对外开放、开源项目、开源商业化、开源使用等几个环节,从软件产品中的开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价。
栗蔚介绍,通过这四个方面,可以来评价软件产品中的开源部分是否具有可控性、安全性、合规性和稳定性。
可控性是通过评价软件产品中开源代码编码语言、贡献量、丰富度等情况掌握开源代码来源,最大程度降低开源代码供应中断风险,保障软件产品包含的开源代码部分使用过程中能够持续使用开源代码。
安全性是通过考察软件产品中开源代码安全漏洞率、版本更新等情况,最大程度降低开源安全事件发生的可能性,保障软件产品中开源代码安全性不遭到破坏。
合规性是通过考察软件产品中开源代码开源许可证互惠性、兼容性等情况,最大程度降低开源许可证知识产权风险,保障软件产品中开源代码符合开源许可证相关要求。
稳定性是通过考察软件产品中开源代码物料清单、开源代码管理团队情况,应对开源代码管理能力不足,保障软件产品包含的开源代码稳定运行。
https://image.c114.com.cn/20230718/75/6347962282278674799.png
栗蔚表示,标准针对每条指标项给出详尽评价方法提高标准可操作性。评价开源代码来源、开源代码安全质量和开源代码知识产权指标项采取检查和测试方法,并依次给出预期结果;评价开源代码管理能力指标项采取检查和访谈的方法,并依次给出预期结果。
栗蔚指出,《信息安全技术 软件产品开源代码安全评价方法》国家标准,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。