意见汇总处理表 2022 年 6 月填写 序号 1. 2. 标准条文号 意见内容 提出单位 处理意见 备注 全文 此标准建议按照关键基础设施需方视角进 行指标编写 信安标委 采纳 在更新的标准中统一按照需方对软件供应链安 全可控管理能力编写。 全文 此标准需调整编写格式，按照指标体系绘 制框架图并编写标准内容 采纳 将框架图按照指标项进行绘制，整体标准架构 调整为指标体系格式编写，将表格替换成条目 格式。 信安标委 3. 全文 标准需要结合企业实践，提高落地性和实 操性 信安标委 采纳 通过调研十余家金融运营商软件供应链管理实 践经验，结合信通院前期软件供应链安全可控 研究成果积累对标准指标项进行优化，剔除个 性化要求，尽量做到对此类关键信息基础设施 企业共性要求。 4. 5.2 云服务对数据传输的安全性高、可增加外 包人员安全管控 中国工商银行 采纳 增加外包人员安全管控能力考察。 5. 全文 增加构建安全、商采软件需避免供应商锁 定问题和国别问题 蚂蚁金服 采纳 增加构建安全，同时在代码来源模块增加代码 所属国家和组织、代码维护者数量和代码贡献 量比例指标项。 6. 全文 增加安全开发的情况、社区是否对安全编 码是否有要求 中国移动 采纳 在更新标准中增加安全开发模块，对安全开发 进行可选性指标评价。 -1- 意见汇总处理表 2022 年 7 月填写 序号 标准条文号 意见内容 提出单位 处理意见 备注 全文 建议增加对供应链可持续供应、可自主维 护程度相关内容。 电子政务云国 家实验室—— 孟亚平 采纳 在代码来源增加开源组件可控比例、开源代码 数量、编码语言、开源代码所属国家及所属组 织、代码体积占比、境内代码维护者数量和代 码贡献者比例、境内代码可替代性、项目托管 地址、项目下载地址 9 个指标项考察可持续供 应能力和产品成熟度中增加项目管理和研制团 队背景考察子住维护程度。 8. 全文 1.尽量量化有关指标； 2.完善供应链安全组成部分系统性、有机 性、完备性论证； 3.体现供应链安全各部分权重及评价方 式。 国家密码管理 局——谢永泉 采纳 在附录中增加评分方法对各指标项进行量化打 分并分级。 9. 全文 建议有一个表格，整理出各个指标，能够 设计出打分表更好 汪宗斌 采纳 在附录中增加评分方法并以表格形式展现。 10. 第2章 GB/T 25069—2010 被新版本代替，建议引 用 GB/T 25069—2022。 闵京华 采纳 将引用 GB/T 25069—2010 替换为引用 GB/T 25069—2022。 11. 3.1.4 “GB/T”后加空格，删除来源中的“定义” 二字。 闵京华 采纳 已进行相应修改。 7. -2- 序号 12. 13. 标准条文号 意见内容 提出单位 处理意见 备注 建议考虑政治倾向判断的可操作性 胡安磊 采纳 删除对代码贡献者和维护者的政治倾向性判 断，替换为考察代码贡献者和维护者的所属国 家。 3 对对开源软件的定义和分类需要进一步研究 张建军 采纳 对开源代码定义进行重新梳理，增加开源代码 定义。 5.2.3.2 意见汇总处理表 2022 年 10 月填写 序号 标准条文号 14. 全文 15. 5.3.5 16. 附录 A 17. 5.5 意见内容 提出单位 处理意见 备注 增加漏洞修复率 中央网信办 采纳 标准增加漏洞修复率指标项，考察企业在漏洞 出现之后的修复响应度。 增加企业使用的开源代码当前版本 中央网信办 采纳 在此指标项中增加对企业使用开源代码当前版 本的要求。 调整指标分数设置 中央网信办 采纳 统一对全文指标项分数进行调整，代码来源 40 分，代码质量 40 分，知识产权可控性 8 分，产 品成熟度 12 分。 将代码设计改为代码设计安全 中央网信办 采纳 已修改指标项标题为代码设计安全。 -3- 序号 标准条文号 18. 5.5 意见内容 将代码生成改为代码生成安全 提出单位 处理意见 中央网信办 采纳 备注 已修改指标项标题为代码生成安全。 意见汇总处理表 2022 年 11 月填写 序号 19. 标准条文号 意见内容 提出单位 处理意见 备注 全文 开源领域国标已有术语和定义以及《金融 行业开源软件评测规范》国标，建议与其 保持一致。 国标委 采纳 此标准内容描述和已有国标中保持一致。 国标委 采纳 本标准是对开源代码引入方在引入过程中对开 源代码安全性选型的参考，规范和增强开源代 码创新性。 20. 全文 应对标准可行性进行进一步分析 21. 全文 应规范标准的引用格式 开源网安 采纳 已对标准引用格式进行修改。 22. 全文 指标项名称应体现开源代码安全特性 中兴通讯 采纳 已对标准指标项名称进行统一修改。 23. 全文 应明确各指标项的打分要求，提高量化评 分的落地性 中国农业银行 采纳 已对 50 多家重点行业单位进行调研，依据实践 进行标准指标项评分设置。 采纳 已对 50 多家重点行业单位进行调研，包括金 融、汽车、运营商、软件、互联网等多个行业， 充分考虑各行业间的通用性。 24. 全文 指标项设置应考虑不同行业间的通用性 比亚迪 -4- 序号 标准条文号 25. 第3章 意见内容 术语定义需要增加开源代码 提出单位 处理意见 天翼云 采纳 -5- 备注 已增加开源代码定义。