开源安全国家标准的范围,覆盖了软件产品里开源代码成分安全的评价要素,以及评价规程,评价要素包含开源代码来源,开源代码安全质量,开源代码知识产权,还有开源代码管理。它适用于对软件产品所含的开源代码成分进行静态安全评价,能为各单位针对软件产品中的开源代码成分做安全性自评价提供依据,也能为第三方机构开展这类工作提供参考。
用于各行业的开源安全国家标准,提供了开源安全治理规范,明确了开源代码度量基线,还形成了软件产品开源代码安全评价方法。在标准编制时,开展了试点验证,其中包括4轮,涉及20家企业的21个软件产品,这为标准的落地提供了理论依据,助力标准在最大程度上达成科学性、易用性以及公平性 。
在前期标准试点验证的基础之上,中国信通院按照国家标准,着手开展开源安全产品级符合性测试,针对相关软件产品的开源代码安全状况,进行技术测试以及文档审查,具体涵盖:
关于开源代码的来源,是依据标准来开展针对软件产品开源代码来源的技术测试,其中具有开源代码规模占比这一测试项,还有开源代码编码语言等另外7个测试项,共计8个测试选项 。
开源代码安全质量方面,依据标准针对软件产品的开源代码安全质量展开技术测试,测试涵盖开源代码漏洞率,开源代码漏洞严重性等,共有4个测试项, 。
3. 开源代码知识产权:针对软件产品开源代码知识产权,基于标准开展技术测试,测试涵盖开源许可证遵从度,开源许可证规范性等6个测试项。
4. 开源代码管理:聚焦于标准,针对软件产品开源代码管理开展文档审核,其中涵盖开源代码管理团队,还有内容涉及开源代码物料清单等4个测试项 。
该符合性测试从即日起启动,欢迎咨询联系人!
联系人:
李晓明