GB/T 43848-2024網(wǎng)絡(luò)安全技術(shù)軟件產(chǎn)品開源代碼安全評價(jià)方法

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T43848—2024

網(wǎng)絡(luò)安全技術(shù)軟件產(chǎn)品開源代碼安全

評價(jià)方法

Cybersecuritytechnology—Evaluationmethodforopensourcecode

securityofsoftwareproducts

2024-04-25發(fā)布2024-11-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T43848—2024

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………1

評價(jià)要素

5…………………2

評價(jià)參數(shù)

5.1……………2

開源代碼來源

5.2………………………3

概述

5.2.1……………3

開源代碼規(guī)模與占比

5.2.2…………3

開源代碼編碼語言

5.2.3……………3

開源代碼著作權(quán)人

5.2.4……………3

開源代碼貢獻(xiàn)量

5.2.5………………3

開源代碼豐富度

5.2.6………………3

開源社區(qū)安全管理

5.2.7……………3

開源代碼托管平臺

5.2.8……………3

開源代碼下載平臺

5.2.9……………3

開源代碼安全質(zhì)量

5.3…………………4

概述

5.3.1……………4

開源代碼漏洞率

5.3.2………………4

開源代碼漏洞嚴(yán)重性

5.3.3…………4

開源代碼漏洞修復(fù)率

5.3.4…………4

開源代碼版本更新情況

5.3.5………………………4

開源代碼知識產(chǎn)權(quán)

5.4…………………4

概述

5.4.1……………4

開源許可證遵從度

5.4.2……………4

開源許可證規(guī)范性

5.4.3……………4

開源許可證互惠性

5.4.4……………4

開源許可證兼容性

5.4.5……………4

開源許可證專利情況

5.4.6…………4

開源許可證適用范圍

5.4.7…………5

開源代碼管理

5.5………………………5

概述

5.5.1……………5

Ⅰ

GB/T43848—2024

開源代碼管理團(tuán)隊(duì)

5.5.2……………5

開源代碼物料清單

5.5.3……………5

開源代碼設(shè)計(jì)

5.5.4…………………5

開源代碼生成

5.5.5…………………5

評價(jià)流程

6…………………5

概述

6.1…………………5

開源代碼來源評價(jià)流程

6.2……………5

開源代碼規(guī)模與占比

6.2.1…………5

開源代碼編碼語言

6.2.2……………6

開源代碼著作權(quán)人

6.2.3……………6

開源代碼貢獻(xiàn)量

6.2.4………………6

開源代碼豐富度

6.2.5………………6

開源社區(qū)安全管理

6.2.6……………6

開源代碼托管平臺

6.2.7……………6

開源代碼下載平臺

6.2.8……………6

開源代碼安全質(zhì)量評價(jià)流程

6.3………………………7

開源代碼漏洞率

6.3.1………………7

開源代碼漏洞嚴(yán)重性

6.3.2…………7

開源代碼漏洞修復(fù)率

6.3.3…………7

開源代碼版本更新情況

6.3.4………………………7

開源代碼知識產(chǎn)權(quán)評價(jià)流程

6.4………………………7

開源許可證遵從度

6.4.1……………7

開源許可證規(guī)范性

6.4.2……………8

開源許可證互惠性

6.4.3……………8

開源許可證兼容性

6.4.4……………8

開源許可證專利情況

6.4.5…………8

開源許可證適用范圍

6.4.6…………8

開源代碼管理評價(jià)流程

6.5……………8

開源代碼管理團(tuán)隊(duì)

6.5.1……………8

開源代碼物料清單

6.5.2……………8

開源代碼設(shè)計(jì)

6.5.3…………………8

開源代碼生成

6.5.4…………………9

附錄資料性開源代碼安全風(fēng)險(xiǎn)

A()……………………10

開源網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

A.1………………10

開源知識產(chǎn)權(quán)風(fēng)險(xiǎn)

A.2………………10

開源持續(xù)性風(fēng)險(xiǎn)

A.3…………………10

參考文獻(xiàn)

……………………11

Ⅱ

GB/T43848—2024

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國信息通信研究院螞蟻科技集團(tuán)股份有限公司華為技術(shù)有限公司中興通訊

:、、、

股份有限公司山東浪潮科學(xué)研究院有限公司阿里云計(jì)算有限公司深信服科技股份有限公司騰訊云

、、、、

計(jì)算北京有限責(zé)任公司杭州默安科技有限公司深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司北京百度網(wǎng)訊

()、、、

科技有限公司深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司奇安信網(wǎng)神信息

、、、

技術(shù)北京股份有限公司浪潮電子信息產(chǎn)業(yè)股份有限公司北京小米移動(dòng)軟件有限公司北京京東尚

()、、、

科信息技術(shù)有限公司北京金山云網(wǎng)絡(luò)技術(shù)有限公司北京火山引擎科技有限公司恒安嘉新北京科

、、、()

技股份公司啟明星辰信息技術(shù)集團(tuán)股份有限公司用友網(wǎng)絡(luò)科技股份有限公司杭州安恒信息技術(shù)股

、、、

份有限公司北京知道創(chuàng)宇信息技術(shù)股份有限公司長揚(yáng)科技北京股份有限公司星環(huán)信息科技

、、()、

上海股份有限公司浙江大華技術(shù)股份有限公司超聚變數(shù)字技術(shù)有限公司美的集團(tuán)股份有限公司

()、、、、

馬上消費(fèi)金融股份有限公司泰康保險(xiǎn)集團(tuán)股份有限公司道普信息技術(shù)有限公司中電科網(wǎng)絡(luò)安全科

、、、

技股份有限公司國網(wǎng)區(qū)塊鏈科技北京有限公司北京安普諾信息技術(shù)有限公司中國信息安全測評

、()、、

中心中國軟件評測中心中電科擬態(tài)安全技術(shù)有限公司杭州孝道科技有限公司北京珞安科技有限責(zé)

、、、、

任公司深圳華大生命科學(xué)研究院興唐通信科技有限公司墨菲未來科技北京有限公司北京酷德啄

、、、()、

木鳥信息技術(shù)有限公司中國科學(xué)院軟件研究所中國網(wǎng)絡(luò)空間研究院國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理

、、、

協(xié)調(diào)中心國家信息技術(shù)安全研究中心中國科學(xué)院信息工程研究所浙江省電子信息產(chǎn)品檢驗(yàn)研究院

、、、、

中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所博鼎實(shí)華北京技術(shù)有限公司中國有限公司三

、()、ABB()、

六零科技集團(tuán)有限公司北京神州綠盟科技有限公司西安交大捷普網(wǎng)絡(luò)科技有限公司深圳市能信安

、、、

科技股份有限公司聯(lián)想北京有限公司北京長亭未來科技有限公司北京山石網(wǎng)科信息技術(shù)有限公

、()、、

司廣東云百科技有限公司武漢安天信息技術(shù)有限責(zé)任公司北京智游網(wǎng)安科技有限公司北京九章云

、、、、

極科技有限公司麒麟軟件有限公司新華三技術(shù)有限公司天翼云科技有限公司廣東移動(dòng)通

、、、、OPPO

信有限公司

。

本文件主要起草人栗蔚郭雪李曉明吳江偉程巖白曉媛崔錦國高琨張銳剛項(xiàng)曙明李響

:、、、、、、、、、、、

魏子重方強(qiáng)曾林青趙振陽葉潤國鄭劍鋒沈錫鏞孟瑾聶萬泉王頡郭建領(lǐng)代威楊劍董國偉

、、、、、、、、、、、、、、

曹柱錢佳煜李欣博李曉川張志文李鵬超趙軍凱季晟宇袁明坤周景平范雷劉汪根張劍青

、、、、、、、、、、、、、

惠靜張亮亮劉志強(qiáng)安丙春韓明軍王會波楊珂張濤王曉萌袁薇侯大鵬謝國苗延鵬蔡國瑜

、、、、、、、、、、、、、、

郝高健歐陽強(qiáng)斌史明超晏敏姜偉吳巍吳倩劉楠許麗麗尹肖棟王紹杰董霽王綴張杰

、、、、、、、、、、、、、、

張帆何建鋒李德慶劉俊翟羽佳榮鈺劉超余麗娜韓云方磊劉敏萬曉蘭洪鈞煌朱麗亞

、、、、、、、、、、、、、。

Ⅲ

GB/T43848—2024

網(wǎng)絡(luò)安全技術(shù)軟件產(chǎn)品開源代碼安全

評價(jià)方法

1范圍

本文件規(guī)定了軟件產(chǎn)品中的開源代碼成分安全評價(jià)要素和評價(jià)流程

。

本文件適用于對軟件產(chǎn)品包含的開源代碼成分進(jìn)行靜態(tài)安全評價(jià)為各單位對于軟件產(chǎn)品中的開

,

源代碼成分進(jìn)行安全性自評價(jià)提供依據(jù)為第三方機(jī)構(gòu)開展此類工作提供參考

,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,