软件产品开源代码安全评估
首页 > 业务介绍 > 评估 > 信创评估 > 软件产品开源代码安全评估
软件产品开源代码安全评估
一、业务背景及意义
全球97%的软件开发者和99%的企业使用开源软件,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。开源代码虽然提高了开发效率,但其安全性直接影响软件产品的整体风险,软件产品中使用的开源代码可能由于使用方式的不合规,检测、管理的不到位带来巨大安全隐患。例如,攻击者可利用开源代码中未修复的安全漏洞入侵系统,导致数据泄露或服务中断,开源项目的停服、终止可能破坏软件产品的供应链韧性,违反开源许可协议可能会引发相应法律纠纷或诉讼。
为了更好地帮助企业、用户识别软件产品中的开源代码安全风险,促进开源软件的安全、合规使用,增强软件产品的供应链韧性,中国软件评测中心依据GB/T 43848-2024《网络安全技术 软件产品开源代码安全评价方法》开展了软件产品开源代码安全评估服务,从开源代码安全角度证明软件产品的安全能力,通过系统化的安全评估,企业可显著降低漏洞利用、法律纠纷和供应链攻击的可能性,保障业务的可持续性。同时,能够为用户进行软件产品选型提供依据,在激烈的市场竞争中提高产品可信度,有利于占领市场。
二、软件产品开源代码安全评估
软件产品开源代码安全评估服务将针对软件产品包含的开源代码成分进行安全评估,主要涵盖开源代码来源、开源代码安全质量、开源代码知识产权、开源代码管理四个方面。
其中,开源代码来源主要从开源代码规模、编码语言、著作权人、丰富度、安全管理、托管与下载平台等方面进行评估,开源代码安全质量主要从开源代码漏洞率、漏洞严重性、漏洞修复率、版本更新情况等方面进行评估,开源代码知识产权主要从开源许可证遵从度、规范性、互惠性、兼容性、专利情况等方面进行评估,开源代码管理主要从开源代码管理团队、物料清单、设计与生成等方面进行评估。
三、评估流程
评估流程主要包括评估准备、评估实施、分析评价三个阶段,与被评估方的沟通贯穿整个过程。
(1)评估准备阶段,明确被评估的对象、拟提供的证据材料清单、评估进度、被评估方涉及的相关部门及人员等。
(2)评估实施阶段,主要通过工具检测、材料审查、人员访谈、现场取证等方式对评估内容进行考查。
(3)分析评价阶段,根据实施阶段形成的证据进行分析,给出对每项评估指标的判定结果,从而判定软件产品开源代码安全等级。
