當前開源代碼應用廣泛,超過 90%的企業使用的軟件產品中涉及開源代碼。與此同時開源安全問題凸顯,開源代碼自身存在的安全隱患被黑客利用攻擊導致一系列安全事件,Log4j 等開源代碼暴露的安全問題極大程度影響軟件產品正常穩定運行。市場亟需標準化的軟件產品開源代碼安全評價方法。本標準為保障開源代碼安全性,針對軟件產品開源代碼?出安全評價要素,給出評價方法,旨在降低軟件產品中的開源代碼安全風險。
本文件按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。
本文件給出了軟件產品中的開源代碼安全評價目標、評價指標體系和評價方法,評價指標體系涵蓋開源代碼來源、開源代碼質量、開源代碼知識產權和開源代碼管理能力。本文件適用于軟件產品包含的開源代碼安全評價工作,為各企事業單位對于軟件產品中的開源代碼進行安全性自評價提供參考,為第三方機構開展此類工作提供依據。
評價目標:
當前開源代碼被廣泛應用在軟件產品的同時,存在開源代碼網絡安全風險、知識產權風險和持續性風險(見附錄A)。
軟件產品包含的開源代碼安全評價應達到以下目標:
a) 可控性:通過評價軟件產品中開源代碼編碼語言、貢獻量、豐富度等情況掌握開源代碼來源,最大程度降低開源代碼供應中斷風險,保障軟件產品包含的開源代碼部分使用過程中能夠持續使用開源代碼。
b) 安全性:通過考察軟件產品中開源代碼安全漏洞率、版本更新等情況,最大程度降低開源安全事件發生的可能性,保障軟件產品中開源代碼安全性不遭到破壞。
c) 合規性:通過考察軟件產品中開源代碼開源許可證互惠性、兼容性等情況,最大程度降低開源許可證知識產權風險,保障軟件產品中開源代碼符合開源許可證相關要求。
d) 穩定性:通過考察軟件產品中開源代碼物料清單、開源代碼管理團隊等情況,應對開源代碼管理能力不足,保障軟件產品包含的開源代碼的穩定運行。
評價流程:
評價流程主要包括評價準備、方案制定、現場實施、分析評估4個階段:
a) 在評價準備階段,評價實施方接收被評價單位?交的評價申請后,與被評價單位溝通所需的評價材料,包括擬提供的軟件產品、材料和證據等,依據本文件中的評價體系審核被評價單位提供的評價材料是否滿足條件,通過審核后,組建評價實施團隊,根據需要可設置專家組;
b) 在方案制定階段,評價實施方確定評價方法、程序和進度,形成評價方案;
c) 在現場實施階段,評價實施方依據評價方案,結合被評價單位提供的評價材料逐項核查,必要時可要求被評價單位補充相關材料,雙方對現場實施結果進行確認;
d) 在分析評估階段,評價實施方依據現場實施情況對軟件產品包含的開源代碼部分進行具體評價和打分。
評價內容:
評價實施方依據國家相關規定,主要對軟件產品中的開源代碼來源、開源代碼質量、開源代碼知識產權和開源代碼管理能力進行評價。
評價實施方在開展開源代碼安全評價工作中應綜合采用訪談、檢查和測試等基本評價方法,以核實被評價單位所提供評價材料是否滿足指標考查內容要求:
a) 訪談:評價實施方通過與被評價單位相關人員進行有針對性的交流以幫助理解、厘清或取得證據,訪談的對象為個人或團體,如技術團隊負責人、核心技術工程師等;
b) 檢查:評價實施方對被評價單位?供的相關材料進行觀察、查驗、分析以幫助理解、厘清或取得證據,檢查的對象為制度、文檔和記錄,如必要的開源代碼物料清單、技術設計文檔、安全掃描報告、開源代碼管理團隊背景信息等;
c) 測試:評價實施方使用具備開源代碼成分識別功能、漏洞檢出功能和代碼缺陷檢出功能的方法/工具使測試對象產生特定的結果,并將運行結果與預期的結果進行比對。
開源社區安全管理:
開源社區安全管理的評價方法如下:
a) 評價方法:
1) 測試軟件產品中未經改動的開源代碼成分,形成開源代碼成分測試報告;
2) 檢查軟件產品開源代碼所在的開源社區聲明文檔是否定期發布安全問題;
3) 檢查軟件產品開源代碼所在的開源社區開源代碼合并是否具備安全測試標記;
4) 檢查軟件產品包含的開源代碼所在的開源社區貢獻規則文檔,確認是否要求開源貢獻者簽署協議要求;
5) 檢查軟件產品包含的開源代碼所在的開源社區組織架構,確認是有人員進行代碼審查;
6) 檢查軟件產品直接引入和和間接依賴的開源代碼所在的開源社區貢獻代碼,確認是否具備數字簽名;
7) 檢查軟件產品包含的開源代碼所在的開源社區是否具備代碼發布安全機制措施。
b) 預期結果:
軟件產品包含的開源代碼形成的開源社區對于正式版本發布進行安全掃?比例和對代碼發布安全機制措施比例均為60%及以上。
更多詳情請見附件。
所有評論僅代表網友意見,與本站立場無關。