0已點贊

《信息安全技術軟件產(chǎn)品開源代碼安全評價方法》征求意見

行業(yè)標準 2023年06月13日 09:45:07來源：儀表網(wǎng) 27847

摘要本文件給出了軟件產(chǎn)品中的開源代碼安全評價目標、評價指標體系和評價方法，評價指標體系涵蓋開源代碼來源、開源代碼質(zhì)量、開源代碼知識產(chǎn)權和開源代碼管理能力。

　　【儀表網(wǎng) 行業(yè)標準】經(jīng)標準編制單位的辛勤努力，現(xiàn)已形成國家標準《信息安全技術軟件產(chǎn)品開源代碼安全評價方法》征求意見稿。為確保標準質(zhì)量，信安標委秘書處面向社會廣泛征求意見。

　　當前開源代碼應用廣泛，超過 90%的企業(yè)使用的軟件產(chǎn)品中涉及開源代碼。與此同時開源安全問題凸顯，開源代碼自身存在的安全隱患被黑客利用攻擊導致一系列安全事件，Log4j 等開源代碼暴露的安全問題極大程度影響軟件產(chǎn)品正常穩(wěn)定運行。市場亟需標準化的軟件產(chǎn)品開源代碼安全評價方法。本標準為保障開源代碼安全性，針對軟件產(chǎn)品開源代碼?出安全評價要素，給出評價方法，旨在降低軟件產(chǎn)品中的開源代碼安全風險。

　　本文件按照GB/T 1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構和起草規(guī)則》的規(guī)定起草。

　　本文件給出了軟件產(chǎn)品中的開源代碼安全評價目標、評價指標體系和評價方法，評價指標體系涵蓋開源代碼來源、開源代碼質(zhì)量、開源代碼知識產(chǎn)權和開源代碼管理能力。本文件適用于軟件產(chǎn)品包含的開源代碼安全評價工作，為各企事業(yè)單位對于軟件產(chǎn)品中的開源代碼進行安全性自評價提供參考，為第三方機構開展此類工作提供依據(jù)。

　　評價目標：

　　當前開源代碼被廣泛應用在軟件產(chǎn)品的同時，存在開源代碼網(wǎng)絡安全風險、知識產(chǎn)權風險和持續(xù)性風險(見附錄A)。

　　軟件產(chǎn)品包含的開源代碼安全評價應達到以下目標：

　　a) 可控性：通過評價軟件產(chǎn)品中開源代碼編碼語言、貢獻量、豐富度等情況掌握開源代碼來源，最大程度降低開源代碼供應中斷風險，保障軟件產(chǎn)品包含的開源代碼部分使用過程中能夠持續(xù)使用開源代碼。

　　b) 安全性：通過考察軟件產(chǎn)品中開源代碼安全漏洞率、版本更新等情況，最大程度降低開源安全事件發(fā)生的可能性，保障軟件產(chǎn)品中開源代碼安全性不遭到破壞。

　　c) 合規(guī)性：通過考察軟件產(chǎn)品中開源代碼開源許可證互惠性、兼容性等情況，最大程度降低開源許可證知識產(chǎn)權風險，保障軟件產(chǎn)品中開源代碼符合開源許可證相關要求。

　　d) 穩(wěn)定性：通過考察軟件產(chǎn)品中開源代碼物料清單、開源代碼管理團隊等情況，應對開源代碼管理能力不足，保障軟件產(chǎn)品包含的開源代碼的穩(wěn)定運行。

　　評價流程：

　　評價流程主要包括評價準備、方案制定、現(xiàn)場實施、分析評估4個階段：

　　a) 在評價準備階段，評價實施方接收被評價單位?交的評價申請后，與被評價單位溝通所需的評價材料，包括擬提供的軟件產(chǎn)品、材料和證據(jù)等，依據(jù)本文件中的評價體系審核被評價單位提供的評價材料是否滿足條件，通過審核后，組建評價實施團隊，根據(jù)需要可設置專家組；

　　b) 在方案制定階段，評價實施方確定評價方法、程序和進度，形成評價方案；

　　c) 在現(xiàn)場實施階段，評價實施方依據(jù)評價方案，結(jié)合被評價單位提供的評價材料逐項核查，必要時可要求被評價單位補充相關材料，雙方對現(xiàn)場實施結(jié)果進行確認；

　　d) 在分析評估階段，評價實施方依據(jù)現(xiàn)場實施情況對軟件產(chǎn)品包含的開源代碼部分進行具體評價和打分。

　　評價內(nèi)容：

　　評價實施方依據(jù)國家相關規(guī)定，主要對軟件產(chǎn)品中的開源代碼來源、開源代碼質(zhì)量、開源代碼知識產(chǎn)權和開源代碼管理能力進行評價。

　　評價實施方在開展開源代碼安全評價工作中應綜合采用訪談、檢查和測試等基本評價方法，以核實被評價單位所提供評價材料是否滿足指標考查內(nèi)容要求：

　　a) 訪談：評價實施方通過與被評價單位相關人員進行有針對性的交流以幫助理解、厘清或取得證據(jù)，訪談的對象為個人或團體，如技術團隊負責人、核心技術工程師等；

　　b) 檢查：評價實施方對被評價單位?供的相關材料進行觀察、查驗、分析以幫助理解、厘清或取得證據(jù)，檢查的對象為制度、文檔和記錄，如必要的開源代碼物料清單、技術設計文檔、安全掃描報告、開源代碼管理團隊背景信息等；

　　c) 測試：評價實施方使用具備開源代碼成分識別功能、漏洞檢出功能和代碼缺陷檢出功能的方法/工具使測試對象產(chǎn)生特定的結(jié)果，并將運行結(jié)果與預期的結(jié)果進行比對。

　　開源社區(qū)安全管理：

　　開源社區(qū)安全管理的評價方法如下：

　　a) 評價方法：

　　1) 測試軟件產(chǎn)品中未經(jīng)改動的開源代碼成分，形成開源代碼成分測試報告；

　　2) 檢查軟件產(chǎn)品開源代碼所在的開源社區(qū)聲明文檔是否定期發(fā)布安全問題；

　　3) 檢查軟件產(chǎn)品開源代碼所在的開源社區(qū)開源代碼合并是否具備安全測試標記；

　　4) 檢查軟件產(chǎn)品包含的開源代碼所在的開源社區(qū)貢獻規(guī)則文檔，確認是否要求開源貢獻者簽署協(xié)議要求；

　　5) 檢查軟件產(chǎn)品包含的開源代碼所在的開源社區(qū)組織架構，確認是有人員進行代碼審查；

　　6) 檢查軟件產(chǎn)品直接引入和和間接依賴的開源代碼所在的開源社區(qū)貢獻代碼，確認是否具備數(shù)字簽名；

　　7) 檢查軟件產(chǎn)品包含的開源代碼所在的開源社區(qū)是否具備代碼發(fā)布安全機制措施。

　　b) 預期結(jié)果：

　　軟件產(chǎn)品包含的開源代碼形成的開源社區(qū)對于正式版本發(fā)布進行安全掃?比例和對代碼發(fā)布安全機制措施比例均為60%及以上。

　　更多詳情請見附件。

我要評論

昵稱

匿名

文明上網(wǎng)，理性發(fā)言。（您還可以輸入200個字符)

表情

所有評論僅代表網(wǎng)友意見，與本站立場無關。

儀表網(wǎng)首頁資訊首頁

延伸閱讀

版權與免責聲明

凡本網(wǎng)注明"來源：儀表網(wǎng)"的所有作品，版權均屬于儀表網(wǎng)，未經(jīng)本網(wǎng)授權不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權使用作品的，應在授權范圍內(nèi)使用，并注明"來源：儀表網(wǎng)"。違反上述聲明者，本網(wǎng)將追究其相關法律責任。
本網(wǎng)轉(zhuǎn)載并注明自其它來源的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點或證實其內(nèi)容的真實性，不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時，必須保留本網(wǎng)注明的作品來源，并自負版權等法律責任。
如涉及作品內(nèi)容、版權等問題，請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關權利。
合作、投稿、轉(zhuǎn)載授權等相關事宜，請聯(lián)系本網(wǎng)。聯(lián)系電話：0571-87759945，QQ：1103027433。