开放、平等、协作、共享的开源模式,成为全球软件技术和产业创新的主导模式。我国越来越多的企业参与开源生态建设,使用开源技术构建信息系统,然而,随之而来的安全挑战也愈加严峻,企业开源管理面临着漏洞后门、供给中断以及许可证冲突等各种风险,不同企业的治理实践差异较大,亟需通过统一的治理要求和评估标准予以规范和引导。基础软件质量控制与技术评价工业和信息化部重点实验室软件供应链安全推进工作组协调组内多家成员单位,由中国软件评测中心牵头,在中国计算机行业协会开源软件推进专委会的指导下,正式立项了团体标准《企业开源治理要求与评估方法》。
2024年11月20日,中国软件评测中心在北京组织召开了《企业开源治理要求与评估方法》标准启动暨研讨会,中国计算机行业协会开源软件推进专委会秘书处鞠东颖到会发言,指出该项标准对于指导和帮助企业有效识别、评估和管控开源软件的安全风险,提升企业整体开源安全防护能力,促进行业内开源治理水平的整体提升至关重要。会议由基础软件质量控制与技术评价工业和信息化部重点实验室副主任曾晋主持。
会议上,中国软件评测中心万晨阳对标准编制背景、立项过程及标准草案进行了介绍,来自腾讯云、阿里云、天翼云、浪潮信息、悬镜安全、电科数字、大商所、国泰君安、棱镜七彩等十余家单位代表结合自身工作经验,对标准定位、内容结构、模型框架、条款表述等内容进行了热烈讨论,提出了诸多建设性意见,为后续标准编制奠定了基础。中国软件评测中心将针对此次研讨会的各项意见,协调各参编单位加快推进标准编制工作。
