栗蔚表示,開(kāi)源是開(kāi)放無(wú)邊界的新型協(xié)作模式,基于這樣的模式我們數字科技創(chuàng )新、產(chǎn)業(yè)開(kāi)放、經(jīng)濟共享、全球協(xié)作四個(gè)方面都可以受益。開(kāi)源應用廣泛的現狀下也面臨諸多開(kāi)源安全問(wèn)題,主要分為網(wǎng)絡(luò )安全風(fēng)險、知識產(chǎn)權風(fēng)險和供應鏈風(fēng)險。
《信息安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評價(jià)方法》國家標準依據開(kāi)源軟件全生命周期的對外開(kāi)放、開(kāi)源項目、開(kāi)源商業(yè)化、開(kāi)源使用等幾個(gè)環(huán)節,從軟件產(chǎn)品中的開(kāi)源代碼來(lái)源、開(kāi)源代碼安全質(zhì)量、開(kāi)源代碼知識產(chǎn)權和開(kāi)源代碼管理四方面進(jìn)行安全評價(jià)。
栗蔚介紹,通過(guò)這四個(gè)方面,可以來(lái)評價(jià)軟件產(chǎn)品中的開(kāi)源部分是否具有可控性、安全性、合規性和穩定性。
可控性是通過(guò)評價(jià)軟件產(chǎn)品中開(kāi)源代碼編碼語(yǔ)言、貢獻量、豐富度等情況掌握開(kāi)源代碼來(lái)源,最大程度降低開(kāi)源代碼供應中斷風(fēng)險,保障軟件產(chǎn)品包含的開(kāi)源代碼部分使用過(guò)程中能夠持續使用開(kāi)源代碼。
安全性是通過(guò)考察軟件產(chǎn)品中開(kāi)源代碼安全漏洞率、版本更新等情況,最大程度降低開(kāi)源安全事件發(fā)生的可能性,保障軟件產(chǎn)品中開(kāi)源代碼安全性不遭到破壞。
合規性是通過(guò)考察軟件產(chǎn)品中開(kāi)源代碼開(kāi)源許可證互惠性、兼容性等情況,最大程度降低開(kāi)源許可證知識產(chǎn)權風(fēng)險,保障軟件產(chǎn)品中開(kāi)源代碼符合開(kāi)源許可證相關(guān)要求。
穩定性是通過(guò)考察軟件產(chǎn)品中開(kāi)源代碼物料清單、開(kāi)源代碼管理團隊情況,應對開(kāi)源代碼管理能力不足,保障軟件產(chǎn)品包含的開(kāi)源代碼穩定運行。
栗蔚表示,標準針對每條指標項給出詳盡評價(jià)方法提高標準可操作性。評價(jià)開(kāi)源代碼來(lái)源、開(kāi)源代碼安全質(zhì)量和開(kāi)源代碼知識產(chǎn)權指標項采取檢查和測試方法,并依次給出預期結果;評價(jià)開(kāi)源代碼管理能力指標項采取檢查和訪(fǎng)談的方法,并依次給出預期結果。
栗蔚指出,《信息安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評價(jià)方法》國家標準,為各單位對于自身軟件產(chǎn)品開(kāi)源代碼安全性自評價(jià)提供參考,為第三方機構對于軟件產(chǎn)品開(kāi)源代碼安全能力進(jìn)行審查和評估時(shí)提供依據,也可為主管監管部門(mén)提供參考。
