7月19日消息(水易)近日,在由中国信息通信研究院和中国通信标准化协会合办的“2023中国互联网大会开源供应链论坛”上,中国信通院云大所副所长栗蔚介绍了《信息安全技术 软件产品开源代码安全评价方法》国标编制思路。
栗蔚表示,开源是开放无边界的新型协作模式,基于这样的模式我们数字科技创新、产业开放、经济共享、全球协作四个方面都可以受益。开源应用广泛的现状下也面临诸多开源安全问题,主要分为网络安全风险、知识产权风险和供应链风险。
《信息安全技术 软件产品开源代码安全评价方法》国家标准依据开源软件全生命周期的对外开放、开源项目、开源商业化、开源使用等几个环节,从软件产品中的开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价。
栗蔚介绍,通过这四个方面,可以来评价软件产品中的开源部分是否具有可控性、安全性、合规性和稳定性。
可控性是通过评价软件产品中开源代码编码语言、贡献量、丰富度等情况掌握开源代码来源,最大程度降低开源代码供应中断风险,保障软件产品包含的开源代码部分使用过程中能够持续使用开源代码。
安全性是通过考察软件产品中开源代码安全漏洞率、版本更新等情况,最大程度降低开源安全事件发生的可能性,保障软件产品中开源代码安全性不遭到破坏。
合规性是通过考察软件产品中开源代码开源许可证互惠性、兼容性等情况,最大程度降低开源许可证知识产权风险,保障软件产品中开源代码符合开源许可证相关要求。
稳定性是通过考察软件产品中开源代码物料清单、开源代码管理团队情况,应对开源代码管理能力不足,保障软件产品包含的开源代码稳定运行。
https://image.c114.com.cn/20230718/75/6347962282278674799.png
栗蔚表示,标准针对每条指标项给出详尽评价方法提高标准可操作性。评价开源代码来源、开源代码安全质量和开源代码知识产权指标项采取检查和测试方法,并依次给出预期结果;评价开源代码管理能力指标项采取检查和访谈的方法,并依次给出预期结果。
栗蔚指出,《信息安全技术 软件产品开源代码安全评价方法》国家标准,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 台积电管理层:对收购英特尔晶圆厂不感兴趣
- 超轻快,更自在:OPPO Find X8系列和一加13将首发搭载ColorOS15
- 超轻快,更自在:OPPO Find X8系列和一加13将首发搭载ColorOS15
- AI更近一步:2024 OPPO开发者大会发布全新系统级AI和ColorOS15
- AI更近一步:2024 OPPO开发者大会发布全新系统级AI和ColorOS15
- 中华电信宣布引入爱立信技术推进碳中和
- 中国信通院何宝宏:强化公众信任,数字公共产品发展迎来新机遇
- 对话华为赵少奇:共“盈”智能时代,星河AI园区网络带来三大体验升级
- 5.5G与AI双向奔赴,加速建设更加美好的智能世界
- 为何苹果的智能家居梦仍然遥不可及?
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。