附:《信息安全技术软件产品开源代码安全评价方法》国际标准(征求意见稿)
https://www.tc260.org.cn/file/2023-04-0 ... 1fb168.pdf
为进一步推动国内开源供应链安全发展,提升各企事业单位开源供应链安全管理能力,降低开源供应链安全风险,2023 年 7 月 18 日上午 9:00,由中国信息通信研究院和中国通信标准化协会合办的 “2023 中国互联网大会开源供应链论坛” 在北京举办。
作为论坛的重磅环节,中国信通院发布了第三批《信息安全技术 软件产品开源代码安全评价方法》国家标准试点验证结果。在 tc260 的指导下,中国信息通信研究院牵头立项《信息安全技术 软件产品开源代码安全评价方法》国家标准并持续推进标准编制工作。本标准从软件产品中开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。同时旨在为加强网络安全和信息化建设贡献力量,营造开源代码安全的网络空间。
软件产品开源代码安全评价方法体系框架图
为提高标准落地实施性,对标准内容进行持续完善,中国信通院分批次组织《信息安全技术 软件产品开源代码安全评价方法》国标试点验证工作,经过验证准备和报名、技术测试、材料审查、测试报告生成、专家评审等诸多阶段,共有 5 家企业的 5 款产品 / 能力完成了本次国标试点验证。
第三批软件产品开源代码安全试点验证名单
后续,中国信通院将持续对相关单位进行软件产品开源代码安全国标试点验证工作。