ICS 35.040 L80 中华人民共和国国家标准 GB/T XXXXX.5—XXXX 信息安全技术 软件产品开源代码安全评价 方法 Information security technology - Controllability evaluation method for security of open source software （本稿完成日期：2022 年 9 月 13 日） XXXX - XX - XX 发布 XXXX - XX - XX 实施 GB/T XXXXX.5—XXXX 目 次 目次 ................................................................................. 1 前言 ................................................................................. 2 引言 ................................................................................. 3 信息安全技术 软件产品开源代码安全评价方法 ............................................ 4 1 范围 ............................................................................... 4 2 规范性引用文件 ..................................................................... 4 3 术语、定义和缩略语 ................................................................. 4 3.1 术语和定义 ..................................................................... 4 3.2 缩略语 ......................................................................... 5 4 安全评价原则 ....................................................................... 5 4.1 可信度 ......................................................................... 6 4.2 安全性 ......................................................................... 6 4.3 符合性 ......................................................................... 6 4.4 稳定性 ......................................................................... 6 5 安全评价方法体系 ................................................................... 6 5.1 体系框架 ....................................................................... 6 5.2 代码来源 ....................................................................... 6 5.3 代码质量 ....................................................................... 8 5.4 知识产权可控性 ................................................................. 8 5.5 产品成熟度 ..................................................................... 9 6 评价实施 .......................................................................... 10 6.1 评价流程 ...................................................................... 10 6.2 评价方法 ...................................................................... 10 6.3 评价结果 ...................................................................... 10 附录 A 开源代码安全评价方法评价表 ................................................... 11 1 项目评价指标 ...................................................................... 11 2 计分方法 .......................................................................... 14 3 评价结果 .......................................................................... 15 附录 B 开源代码安全风险 （资料性） .................................................. 16 A.1 开源信息安全风险 .............................................................. 16 A.2 开源知识产权风险 .............................................................. 16 A.3 开源持续性风险 ................................................................ 16 1 GB/T XXXXX.5—XXXX 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件主要起草单位：中国信息通信研究院、蚂蚁科技集团股份有限公司、华为技术有限公司、中 兴通讯股份有限公司、深圳市腾讯计算机系统有限公司、奇安信网神信息技术（北京）股份有限公司、 杭州默安科技有限公司、深圳开源互联网安全技术有限公司、中国移动通信集团有限公司、北京小米移 动软件有限公司、北京京东尚科信息技术有限公司、北京金山云网络技术有限公司、北京火山引擎科技 有限公司、北京天融信网络安全技术有限公司、恒安嘉新（北京）科技股份公司、启明星辰信息技术集 团股份有限公司、用友网络科技股份有限公司、杭州安恒信息技术股份有限公司、成都知道创宇信息技 术有限公司等。 本标准主要起草人：栗蔚、郭雪、李晓明、吴江伟、程岩、白晓媛、崔锦国、张宇、高琨、项曙 明、张晓波、黄超、董国伟、黄永刚、沈锡镛、孟瑾、王颉、汪杰、武晓慧、马洁、陈长林、钱佳煜、 李欣博、赵南、李新、李晓川、张志文、杨剑、李鹏超、张东升、吕留东、李豪、陈星、田丽丹、周景 平、万耀东等 2 GB/T XXXXX.5—XXXX 引 言 近年来，软件成为社会基本运转组件的同时，开源代码安全事件频发，对于软件产品稳定运行，用 户数据保护乃至国家安全造成重大威胁，软件产品中开源代码安全受到业内高度重视。开源代码安全直 接关系着重点行业软件产品安全。当前重点行业企业开源代码安全管理机制不完善，面临软件组成不清 晰、供应不稳定、产品不可用等风险。建立开源代码安全标准体系，助力重点行业软件产品落地开源代 码安全管理势在必行。 本文件通过提出软件产品开源代码安全评价方法，考察软件产品中开源代码的代码来源、代码质量、 知识产权可控性和产品成熟度，推动重点行业软件产品落地对开源代码安全管理。 3 GB/T XXXXX.5—XXXX 信息安全技术 软件产品开源代码安全评价方法 1 范围 本文件规定了软件产品开源代码安全评价方法，依据可信度、安全性、符合性和稳定性的安全原则， 考察需方软件产品中开源代码的代码来源、代码质量、知识产权可控性以及产品成熟度。 本文件适用于重点行业软件产品中的开源代码安全管控活动，同时也可为第三方机构对于重点行业 软件产品开源代码安全能力进行审查和评估时提供依据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文 件。 GB/T 36637-2018 信息安全技术 ICT供应链安全风险管理指南 GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 GB/T 25069-2022 信息安全技术 术语 GB/T 24420-2009 供应链风险管理 3 术语、定义和缩略语 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 术语和定义 3.1.1 软件 software 与计算机系统的操作有关的计算机程序、规程和可能相关的文档。 [来源：GB/T 11457-2006，定义2.1469] 3.1.2 供应链 supply chain 生产及流通过程中，围绕核心企业，将所涉及的原材料供方、制造商、分销商、零售商直到最终用 户等成员通过上游或下游成员链接所形成的网链结构。 [来源：GB/T26337.2-2011，定义2.1] 3.1.3 软件供应链 software suppl