国家标准报批材料 国家标准《信息安全技术 软件产品开源代码安全评价方 法》 （草案）编制说明 一、工作简况 1.1 任务来源 根据全国信息安全标准化技术委员会的标准制修订计划， 《信息安全技术 软 件产品开源代码安全评价方法》由中国信息通信研究院负责承办，计划号：XXX。 该标准由全国信息安全标准化技术委员会归口管理。 1.2 制定背景 当前开源代码应用广泛，超过 90%的企业信息系统中涉及开源代码。与此同 时开源安全问题凸显，开源代码自身存在的安全隐患被黑客利用攻击导致一些列 安全事件，Log4j 等开源代码暴露的安全问题极大程度影响信息系统正常稳定运 行。市场亟需标准化的软件产品开源代码安全评价方法。本标准为保障开源代码 安全性，针对软件产品开源代码提出安全评价要素，给出开源代码安全指引，降 低开源代码使用的安全风险。 1.3 起草过程 2022.3-2022.10 成立标准编制组，调研国内外多家软件产品开源代码安全 治理情况。根据调研测试结果和相关国家、行业、团体标准的基础上，形成《信 息安全技术 软件产品开源代码安全评价方法》标准草案初稿。 2022.10-2022.12 以多种形式征求主管部门、专家和相关单位意见，完善标 准草案、编制说明、意见处理汇总表。根据工作组、责任编辑、专家评审会等提 出的意见，修改完善标准草案、编制说明、意见处理汇总表后形成标准征求意见 稿。 二、标准编制原则、主要内容及其确定依据 2.1 标准编制原则 （1）普适性原则 本标准充分立足我国软件产品开源代码安全特点，充分调研不同行业软件产 品开源代码安全治理实践经验，对软件产品开源代码引入方提出代码来源、代码 质量、知识产权可控性和产品成熟度四方面指标要求并对指标进行量化打分。 国家标准报批材料 （2）合规性原则 本标准遵从软件产品开源代码安全有关法律法规的规定，标准条款内容符合 我国法律法规和相关政策要求。 （3）一致性原则 本标准与国内外相关技术标准协调一致，与我国软件产品开源代码安全相关 标准不矛盾。 2.2 主要内容及其确定依据 本标准针对软件产品开源代码给出安全评价方法，分为代码来源、代码质量、 知识产权可控性和产品成熟度四部分，每个部分提取关键安全要素，涉及源组件 可控比例、漏洞数量等方面，推动重点行业对开源代码安全性进行审查，为重点 行业选取安全性较高的开源代码提供选型依据。 代码来源安全评价类通过考察开源组件可控比例、开源代码数量、编码语言、 开源代码所属国家及所属组织、代码体积占比、境内代码维护者数量和代码贡献 者比例、境内代码可替代性、项目托管地址、项目下载地址 9 个指标项达到可信 度安全原则。本类指标项通过对 50 余家关键信息基础设施单位进行调研，结合 行业最佳实践和信通院前期开源产业研究和标准化积累得出。 代码质量安全评价类主要通过考察漏洞数量、漏洞严重性、漏洞影响范围、 漏洞攻击复杂性、新版本更新时间、漏洞修复率 6 个指标项达到安全性可控原则 本类雷指标项通过对 50 余家关键信息基础设施单位进行调研，结合 GB/T 302792020《信息安全技术 网络安全漏洞分类分级指南》中的相关漏洞分类分级依据 得出。 知识产权可控性安全评价类主要通过考察许可证种类、许可证传染型、许可 证兼容性、许可证专利权授予 4 个指标项达到符合性安全原则。本类指标项通过 对 50 余家关键信息基础设施单位进行调研，结合行业最佳实践和信通院前期开 源产业研究和标准化以及《开源许可证兼容性指南》积累得出。 产品成熟度评价类主要通过考察总体架构设计、代码设计安全、代码生成安 全、项目管理和研制团队背景 4 个指标项达到可信度、符合性和稳定性安全原 则。本类指标项通过对 50 余家关键信息基础设施单位进行调研，结合 GB/T 36637-2018《信息安全技术 ICT 供应链安全风险管理指南》中组织和人员管理 国家标准报批材料 指标项得出。 2.3 修订前后技术内容的对比[适用于国家标准修订项目] 三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效 益和生态效益 3.1 试验验证的分析、综述报告 标准在编制过程中，对涉及软件产品开源代码引入的相关单位进行了多次调 研，同时组织金融、运营商、汽车、软件、健康码、在线教育等多个重点行业 20 多家单位进行标准验证工作，以保证标准条款的可实施落地。后续，标准还将由 参与标准编制的各单位积极进行试验应用，针对不同的重点行业，如金融、汽车、 运营商等，最后将实施经验转化为标准的具体内容，以增加标准的实用性。 试验验证结果表明，在金融、运营商行业和存在出海业务的企业中开源代码 安全治理起步较早，对标准的各项指标的得分与其他行业相比较高，其他行业开 源代码安全意识较薄弱，尚未形成系统开源代码安全治理落地实践。 3.2 技术经济论证 本标准在制定过程中，对标准进行技术经济论证，选出技术上可行和经济上 合理的技术方案，为标准内容设置提供科学依据。 3.3 预期的经济效益、社会效益和生态效益 本标准适用于重点行业软件产品中的开源代码安全管控活动，同时也可为第 三方机构对于重点行业软件产品开源代码安全能力进行审查和评估时提供依据。 本标准拟形成软件产品开源代码安全评价方法，研究开源代码面临的安全风 险，明确开源代码度量基线。标准的制定与应用过程中，一是摸清软件产品开源 代码安全现状；二是给出开源代码安全指引，解决开源代码安全性较弱的问题； 三是降低开源使用的安全风险问题。 针对重点行业软件产品开源代码使用广泛的现状，本标准的应用降低开源代 码安全风险，降低开源代码安全风险对我国国家和企业造成的信息安全威胁，推 动我国软件产品开源代码安全发展。 四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、 样机的有关数据对比情况 国家标准报批材料 国内其他开源相关国家标准尚未聚焦开源代码安全性评价， 《信息技术 开源 开源许可证框架》聚焦开源许可证合规和开源术语定义，《金融行业开源软件评 测规范》聚焦开源软件自身技术评价，与本项标准内容并不冲突，同时本项标准 在术语描述上与《信息技术 开源 开源许可证框架》保持一致，在相关内容描述 上与《金融行业开源软件评测规范》保持一致。 五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标 准，并说明未采用国际标准的原因 无 六、与有关法律、行政法规及相关标准的关系 本标准为落实《网络安全法》和《关键信息基础设施安全保护条例》中关基 每年开展一次网络安全检测评估的要求而制定，以保障软件产品开源供应链稳定 安全，与现行法律、法规和相关标准并不冲突。 七、重大分歧意见的处理经过和依据 无。 八、涉及专利的有关说明 本标准未涉及专利。 九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的 建议等措施建议 基于开源代码的软件产品提供方应用本标准提高开源代码安全管控能力；基 于开源代码的软件产品使用方应用本标准选择风险可控的开源代码；第三方评测 机构梳理应用广泛的开源代码，应用本标准对开源代码进行评价。标准实施过程 中建立反馈机制，针对标准不适用情况进行及时追踪、修订，不断提升标准的可 操作性和先进性。 十、其他应当说明的事项 无