GBT 43848-2024 網(wǎng)絡安全技術 軟件產(chǎn)品開源代碼安全評價方法

網(wǎng)絡安全技術軟件產(chǎn)品開源代碼安全評價方法2024-04-25發(fā)布2024-11-01實施國家市場監(jiān)督管理總局國家標準化管理委員會I前言 l2規(guī)范性引用文件 13術語和定義 14概述 15評價要素 25.1評價參數(shù) 25.2開源代碼來源 35.2.1概述 35.2.2開源代碼規(guī)模與占比 35.2.3開源代碼編碼語言 35.2.4開源代碼著作權(quán)人 35.2.5開源代碼貢獻量 35.2.6開源代碼豐富度 35.2.7開源社區(qū)安全管理 35.2.8開源代碼托管平臺 35.2.9開源代碼下載平臺 35.3開源代碼安全質(zhì)量 45.3.1概述 45.3.2開源代碼漏洞率 45.3.3開源代碼漏洞嚴重性 45.3.4開源代碼漏洞修復率 45.3.5開源代碼版本更新情況 45.4開源代碼知識產(chǎn)權(quán) 45.4.1概述 45.4.2開源許可證遵從度 45.4.3開源許可證規(guī)范性 45.4.4開源許可證互惠性 45.4.5開源許可證兼容性 45.4.6開源許可證專利情況 45.4.7開源許可證適用范圍 55.5開源代碼管理 55.5.1概述 5ⅡGB/T43848—20245.5.2開源代碼管理團隊 55.5.3開源代碼物料清單 5.5.4開源代碼設計 55.5.5開源代碼生成 6評價流程 56.1概述 56.2開源代碼來源評價流程 56.2.1開源代碼規(guī)模與占比 56.2.2開源代碼編碼語言 66.2.3開源代碼著作權(quán)人 6.2.4開源代碼貢獻量 6.2.5開源代碼豐富度 66.2.6開源社區(qū)安全管理 66.2.7開源代碼托管平臺 6.2.8開源代碼下載平臺 66.3開源代碼安全質(zhì)量評價流程 6.3.1開源代碼漏洞率 6.3.2開源代碼漏洞嚴重性 6.3.3開源代碼漏洞修復率 76.3.4開源代碼版本更新情況 76.4開源代碼知識產(chǎn)權(quán)評價流程 6.4.1開源許可證遵從度 6.4.2開源許可證規(guī)范性 86.4.3開源許可證互惠性 86.4.4開源許可證兼容性 86.4.5開源許可證專利情況 86.4.6開源許可證適用范圍 86.5開源代碼管理評價流程 86.5.1開源代碼管理團隊 86.5.2開源代碼物料清單 86.5.3開源代碼設計 86.5.4開源代碼生成 附錄A(資料性)開源代碼安全風險 A.1開源網(wǎng)絡安全風險 A.2開源知識產(chǎn)權(quán)風險 A.3開源持續(xù)性風險 參考文獻 ⅢGB/T43848—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國網(wǎng)絡安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國信息通信研究院、螞蟻科技集團股份有限公司、華為技術有限公司、中興通訊股份有限公司、山東浪潮科學研究院有限公司、阿里云計算有限公司、深信服科技股份有限公司、騰訊云計算(北京)有限責任公司、杭州默安科技有限公司、深圳開源互聯(lián)網(wǎng)安全技術有限公司、北京百度網(wǎng)訊科技有限公司、深圳市騰訊計算機系統(tǒng)有限公司、北京天融信網(wǎng)絡安全技術有限公司、奇安信網(wǎng)神信息技術(北京)股份有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、北京小米移動軟件有限公司、北京京東尚科信息技術有限公司、北京金山云網(wǎng)絡技術有限公司、北京火山引擎科技有限公司、恒安嘉新(北京)科技股份公司、啟明星辰信息技術集團股份有限公司、用友網(wǎng)絡科技股份有限公司、杭州安恒信息技術股份有限公司、北京知道創(chuàng)宇信息技術股份有限公司、長揚科技(北京)股份有限公司、星環(huán)信息科技(上海)股份有限公司、浙江大華技術股份有限公司、超聚變數(shù)字技術有限公司、美的集團股份有限公司、馬上消費金融股份有限公司、泰康保險集團股份有限公司、道普信息技術有限公司、中電科網(wǎng)絡安全科技股份有限公司、國網(wǎng)區(qū)塊鏈科技(北京)有限公司、北京安普諾信息技術有限公司、中國信息安全測評中心、中國軟件評測中心、中電科擬態(tài)安全技術有限公司、杭州孝道科技有限公司、北京珞安科技有限責任公司、深圳華大生命科學研究院、興唐通信科技有限公司、墨菲未來科技(北京)有限公司、北京酷德啄木鳥信息技術有限公司、中國科學院軟件研究所、中國網(wǎng)絡空間研究院、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、國家信息技術安全研究中心、中國科學院信息工程研究所、浙江省電子信息產(chǎn)品檢驗研究院、中國電子信息產(chǎn)業(yè)集團有限公司第六研究所、博鼎實華(北京)技術有限公司、ABB(中國)有限公司、三六零科技集團有限公司、北京神州綠盟科技有限公司、西安交大捷普網(wǎng)絡科技有限公司、深圳市能信安科技股份有限公司、聯(lián)想(北京)有限公司、北京長亭未來科技有限公司、北京山石網(wǎng)科信息技術有限公司、廣東云百科技有限公司、武漢安天信息技術有限責任公司、北京智游網(wǎng)安科技有限公司、北京九章云極科技有限公司、麒麟軟件有限公司、新華三技術有限公司、天翼云科技有限公司、OPPO廣東移動通信有限公司。1網(wǎng)絡安全技術軟件產(chǎn)品開源代碼安全評價方法1范圍本文件規(guī)定了軟件產(chǎn)品中的開源代碼成分安全評價要素和評價流程。本文件適用于對軟件產(chǎn)品包含的開源代碼成分進行靜態(tài)安全評價，為各單位對于軟件產(chǎn)品中的開源代碼成分進行安全性自評價提供依據(jù)，為第三方機構(gòu)開展此類工作提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術術語3術語和定義GB/T25069—2022界定的以及下列術語和定義適用于本文件。軟件產(chǎn)品softwareproduct計算機軟件、信息系統(tǒng)或設備中嵌入的軟件，或在提供計算機信息系統(tǒng)集成、應用等技術服務時提供的計算機軟件，表現(xiàn)形式為一組計算機代碼、規(guī)程以及可能的相關文檔和數(shù)據(jù)。[來源：GB/T36475—2018,3.1,有修改]開源代碼opensourcecode公眾可以獲取源代碼的計算機代碼。注：其著作權(quán)人通過開源許可證將代碼的復制、修改、再發(fā)布的權(quán)利向公眾開放。開源許可證opensourcelicense允許公眾用戶根據(jù)協(xié)議內(nèi)容使用、修改、復制和分發(fā)開源代碼的授權(quán)協(xié)議。開源社區(qū)opensourcecommunity以開源代碼的貢獻者為主體，在開源代碼貢獻過程中形成的具有特定文化、組織結(jié)構(gòu)、運行機制的共同體。4概述當前開源代碼被廣泛應用在軟件產(chǎn)品時，存在開源代碼網(wǎng)絡安全風險、知識產(chǎn)權(quán)風險和持續(xù)性風險(見附錄A)。2軟件產(chǎn)品開源代碼安全評價方法包含評價要素和評價流程。其中，評價要素覆蓋開源代碼來源、開源代碼安全質(zhì)量、開源代碼知識產(chǎn)權(quán)和開源代碼管理，評價流程依據(jù)評價要素給出評價過程與手段。對軟件產(chǎn)品包含的開源代碼進行安全評價，有利于達到以下目的。a)可控性：通過評價軟件產(chǎn)品中開源代碼編碼語言、貢獻量、豐富度等開源代碼來源情況，掌握開源代碼供應中斷風險的情況，實現(xiàn)對可控性的判斷。b)安全性：通過考察軟件產(chǎn)品中開源代碼安全漏洞率、版本更新等情況，掌握開源代碼網(wǎng)絡安全事件發(fā)生可能性的情況，實現(xiàn)對安全性的判斷。c)合規(guī)性：通過考察軟件產(chǎn)品中開源代碼開源許可證互惠性、兼容性等情況，掌握開源許可證知識產(chǎn)權(quán)風險的情況，實現(xiàn)對合規(guī)性的判斷。d)穩(wěn)定性：通過考察軟件產(chǎn)品中開源代碼管理團隊、開源代碼物料清單等情況，掌握軟件產(chǎn)品整體應對開源代碼網(wǎng)絡安全風險、知識產(chǎn)權(quán)風險和持續(xù)性風險的情況，實現(xiàn)對穩(wěn)定性的判斷。5評價要素5.1評價參數(shù)評價參數(shù)體系由開源代碼來源、開源代碼安全質(zhì)量、開源代碼知識產(chǎn)權(quán)、開源代碼管理四個方面的兩級參數(shù)構(gòu)成，具體見表1。表1軟件產(chǎn)品包含的開源代碼安全評價參數(shù)一級參數(shù)二級參數(shù)開源代碼來源開源代碼規(guī)模與占比開源代碼編碼語言開源代碼著作權(quán)人開源代碼貢獻量開源代碼豐富度開源社區(qū)安全管理開源代碼托管平臺開源代碼下載平臺開源代碼安全質(zhì)量開源代碼漏洞率開源代碼漏洞嚴重性開源代碼漏洞修復率開源代碼版本更新情況開源代碼知識產(chǎn)權(quán)開源許可證遵從度開源許可證規(guī)范性開源許可證互惠性開源許可證兼容性開源許可證專利情況開源許可證適用范圍3表1軟件產(chǎn)品包含的開源代碼安全評價參數(shù)(續(xù))一級參數(shù)二級參數(shù)開源代碼管理開源代碼管理團隊開源代碼物料清單開源代碼設計開源代碼生成5.2開源代碼來源此類參數(shù)主要掌握軟件產(chǎn)品中開源代碼來源情況，實現(xiàn)對其可控性的判斷。5.2.2開源代碼規(guī)模與占比統(tǒng)計軟件產(chǎn)品包含的各開源代碼模塊字節(jié)數(shù)規(guī)模及其在軟件產(chǎn)品代碼中所占比例。5.2.3開源代碼編碼語言統(tǒng)計軟件產(chǎn)品包含的開源代碼模塊所使用的編碼語言種類及其所開發(fā)代碼占軟件產(chǎn)品的比例。統(tǒng)計軟件產(chǎn)品包含的各開源代碼著作權(quán)人基本信息，包括名稱、所在國家或地區(qū)、所屬組織、貢獻承諾簽署情況等。5.2.5開源代碼貢獻量統(tǒng)計軟件產(chǎn)品包含的開源代碼參與者的貢獻量情況，包括但不限于：a)各開源代碼貢獻者貢獻代碼量及占比；b)開源代碼維護者情況，包括翻譯、測試、活動組織等。5.2.6開源代碼豐富度統(tǒng)計軟件產(chǎn)品包含的開源代碼在功能等方面具有可更換的其他代碼(含開源或商業(yè)代碼)情況。5.2.7開源社區(qū)安全管理統(tǒng)計軟件產(chǎn)品包含的開源代碼所依賴的開源社區(qū)安全管理情況，包括但不限于：a)統(tǒng)計開源社區(qū)對于開源代碼的安全掃描情況；b)統(tǒng)計開源社區(qū)對于開源代碼的貢獻管理，如簽署開源貢獻協(xié)議、具備代碼審查機制、具備數(shù)字簽名。5.2.8開源代碼托管平臺統(tǒng)計軟件產(chǎn)品包含的開源代碼托管平臺運營方基本信息。5.2.9開源代碼下載平臺統(tǒng)計軟件產(chǎn)品包含的開源代碼下載平臺運營方情況，包括但不限于：4a)統(tǒng)計軟件產(chǎn)品包含的開源代碼下載平臺運營方基本信息；b)統(tǒng)計開源代碼下載平臺對開源代碼完整性的保障情況。5.3開源代碼安全質(zhì)量此類參數(shù)主要掌握軟件產(chǎn)品中開源代碼安全質(zhì)量情況，實現(xiàn)對其安全性的判斷。5.3.2開源代碼漏洞率統(tǒng)計軟件產(chǎn)品包含的開源代碼模塊的原始漏洞數(shù)量和千行漏洞率情況。5.3.3開源代碼漏洞嚴重性參考GB/T30279—2020中6.3.3統(tǒng)計軟件產(chǎn)品包含的開源代碼模塊原始漏洞嚴重性。5.3.4開源代碼漏洞修復率統(tǒng)計軟件產(chǎn)品包含的開源代碼已修復漏洞在其所有發(fā)現(xiàn)的漏洞中的占比及修復時間。5.3.5開源代碼版本更新情況統(tǒng)計軟件產(chǎn)品包含的開源代碼所用版本與開源社區(qū)最新發(fā)布版本相比的滯后情況。5.4開源代碼知識產(chǎn)權(quán)此類參數(shù)主要掌握軟件產(chǎn)品中開源代碼知識產(chǎn)權(quán)情況，實現(xiàn)對合規(guī)性的判斷。5.4.2開源許可證遵從度統(tǒng)計軟件產(chǎn)品包含的開源代碼履行開源許可證規(guī)定的相關條款、義務情況。5.4.3開源許可證規(guī)范性統(tǒng)計軟件產(chǎn)品包含的開源代碼對應許可證編寫規(guī)范性情況，評價內(nèi)容涉及授權(quán)范圍、授權(quán)條件、違約與授權(quán)終止、免責聲明等。5.4.4開源許可證互惠性統(tǒng)計軟件產(chǎn)品包含的開源代碼是否存在互惠性開源許可證(即許可證明確需分發(fā)修改后的源碼)并采取對應處置措施的情況。軟件產(chǎn)品應對所涉及的自由互惠開源許可證進行識別和風險評估，判斷自研代碼與開源代碼之間的合規(guī)使用情況。5.4.5開源許可證兼容性統(tǒng)計軟件產(chǎn)品包含的開源代碼所使用的各開源許可證之間兼容性情況，以判斷軟件產(chǎn)品對開源許可證合規(guī)使用情況。5.4.6開源許可證專利情況統(tǒng)計軟件產(chǎn)品包含的開源代碼所使用的開源許可證是否明確專利授權(quán)情況。55.4.7開源許可證適用范圍統(tǒng)計軟件產(chǎn)品包含的開源代碼所使用的開源許可證的適用范圍和出現(xiàn)糾紛時法律聲明情況。5.5開源代碼管理此類參數(shù)主要掌握軟件產(chǎn)品中開源代碼管理情況，實現(xiàn)對穩(wěn)定性的判斷。5.5.2開源代碼管理團隊評價軟件產(chǎn)品包含的開源代碼的管理團隊完善程度，內(nèi)容包括但不限于：a)建立管理團隊對開源代碼進行統(tǒng)一管控，并進行相應管理角色劃分；b)建立開源代碼管理人員白名單和退出機制。5.5.3開源代碼物料清單評價軟件產(chǎn)品包含的開源代碼物料清單的完備性，包括建立和維護可追溯性的策略和程序，記錄和保留開源代碼的原始供應方、開源社區(qū)或開發(fā)貢獻者等相關信息。評價軟件產(chǎn)品包含的開源代碼設計文檔完備性，以及梳理開源代碼兼容性、使用規(guī)范性情況。5.5.5開源代碼生成評價軟件產(chǎn)品程序的源代碼編寫完成后，在編譯以及鏈接過程中對使用的開源代碼采取的安全措6評價流程6.1概述評價實施方依據(jù)國家相關規(guī)定，主要對軟件產(chǎn)品中的開源代碼來源、開源代碼安全質(zhì)量、開源代碼知識產(chǎn)權(quán)和開源代碼管理進行評價。評價實施方在開展開源代碼安全評價工作中應綜合采用訪談、檢查和測試等基本評價流程，以核實被評價單位所提供評價材料是否滿足指標考查內(nèi)容要求。a)訪談：評價實施方通過與被評價單位相關人員進行有針對性的交流以幫助理解、厘清或取得證據(jù)，訪談的對象為個人或團體，如技術團隊負責人、核心技術工程師等。b)檢查：評價實施方對被評價單位提供的相關材料進行觀察、查驗、分析以幫助理解、厘清或取得代碼管理團隊背景信息等。c)檢測：評價實施方檢測軟件產(chǎn)品中未經(jīng)改動的開源代碼成分，形成開源代碼清單列表；檢測軟件產(chǎn)品中未經(jīng)改動的開源代碼漏洞，形成開源代碼漏洞檢測報告。6.2開源代碼來源評價流程6.2.1開源代碼規(guī)模與占比檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的規(guī)模大小及所占比例并進行記錄。66.2.2開源代碼編碼語言開源代碼編碼語言的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的編碼語言名稱；b)訪談軟件研發(fā)相關人員獲取軟件產(chǎn)品研發(fā)常用編碼語言信息。6.2.3開源代碼著作權(quán)人開源代碼著作權(quán)人的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的著作權(quán)人的地址信息、所在國家b)檢測開源代碼形成開源代碼清單列表，檢查各開源代碼模塊的著作權(quán)人是否受戰(zhàn)爭、貿(mào)易管制、知識產(chǎn)權(quán)等一種或多種安全因素影響。6.2.4開源代碼貢獻量開源代碼貢獻量的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的貢獻者地址信息、所在國家或地區(qū)和所屬組織信息；b)統(tǒng)計各貢獻者合并代碼次數(shù)占比；c)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的貢獻者是否受戰(zhàn)爭、貿(mào)易管制、知識產(chǎn)權(quán)等一種或多種安全因素影響。6.2.5開源代碼豐富度開源代碼豐富度的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊是否受戰(zhàn)爭、貿(mào)易管制、知識產(chǎn)權(quán)等一種或多種安全因素影響；b)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查此類代碼是否具備可更換的其他代碼(含開源或商業(yè))。6.2.6開源社區(qū)安全管理開源社區(qū)安全管理的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊所依賴的開源社區(qū)聲明文檔是否定期發(fā)布安全問題；b)檢查各開源代碼模塊所依賴的開源社區(qū)開源代碼合并是否具備安全測試標記；c)檢查各開源代碼模塊所依賴的開源社區(qū)貢獻規(guī)則文檔，確認開源社區(qū)是否要求開源貢獻者簽署協(xié)議；d)檢查各開源代碼模塊所依賴的開源社區(qū)組織架構(gòu)，確認是否有專門的人員進行代碼審查；e)檢查各開源代碼模塊所依賴的開源社區(qū)的貢獻代碼列表，確認是否具備數(shù)字簽名。6.2.7開源代碼托管平臺檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的代碼托管平臺運營方是否不受戰(zhàn)爭、貿(mào)易管制、知識產(chǎn)權(quán)等一種或多種安全因素影響。6.2.8開源代碼下載平臺開源代碼下載平臺的評價流程如下：7a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的下載運營方是否不受戰(zhàn)爭、貿(mào)易管制、知識產(chǎn)權(quán)等一種或多種安全因素影響；b)檢查各開源代碼模塊的哈希值和數(shù)字簽名；c)檢查各開源代碼模塊官網(wǎng)地址哈希值和數(shù)字簽名，與軟件產(chǎn)品使用的開源代碼進行比對，判斷軟件產(chǎn)品使用的開源代碼是否被篡改。6.3開源代碼安全質(zhì)量評價流程6.3.1開源代碼漏洞率開源代碼漏洞率的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼漏洞檢測報告，檢查各開源代碼模塊是否存在已知漏洞；b)檢查開源代碼中每千行的已知漏洞數(shù)量；c)計算有漏洞的開源代碼中平均漏洞個數(shù)。6.3.2開源代碼漏洞嚴重性開源代碼漏洞嚴重性的評價流程如下：a)將各已知漏洞的被利用性參數(shù)進行賦值，根據(jù)賦值結(jié)果，參考GB/T30279—2020的附錄A計算得出漏洞被利用性分級；b)將已知漏洞的影響程度參數(shù)進行賦值，根據(jù)賦值結(jié)果，參考GB/T30279—2020的附錄B計算得到影響程度分級；c)根據(jù)被利用性和影響程度分級的結(jié)果，參考GB/T30279—2020的附錄D計算得到安全漏洞分級結(jié)果；d)檢查軟件產(chǎn)品包含的開源代碼是否存在中危及以上漏洞；e)統(tǒng)計軟件產(chǎn)品包含的開源代碼中危及以上漏洞占比。6.3.3開源代碼漏洞修復率開源代碼漏洞修復率的評價流程如下：a)檢查軟件產(chǎn)品包含的開源代碼漏洞修復記錄；b)檢查漏洞出現(xiàn)正式編號的時間；c)檢查修復記錄中危及以上漏洞的平均修復時間是否超過3個月；d)統(tǒng)計中危及以上漏洞的平均修復時間在3個月內(nèi)的占比。6.3.4開源代碼版本更新情況開源代碼版本更新情況的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊當前使用的版本發(fā)布時間；b)檢查各開源代碼模塊在開源社區(qū)中最新版本發(fā)布時間；c)檢查各開源代碼模塊是否為較新穩(wěn)定版本，如4年內(nèi)發(fā)布；d)統(tǒng)計開源代碼為較新穩(wěn)定版本的占比。6.4開源代碼知識產(chǎn)權(quán)評價流程6.4.1開源許可證遵從度開源許可證遵從度的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊是否遵守開源許可證的相關要求；8b)統(tǒng)計軟件產(chǎn)品中按照相關開源許可證要求規(guī)范使用的開源代碼占比。6.4.2開源許可證規(guī)范性檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源許可證條款中是否包含授權(quán)范圍、授權(quán)條件、違約與授權(quán)終止、免責聲明等。6.4.3開源許可證互惠性開源許可證互惠性的評價流程如下：a)檢測軟件產(chǎn)品形成開源代碼清單列表，檢查開源代碼中的弱互惠性開源許可證是否通過弱隔離方式引入，如靜態(tài)鏈接和動態(tài)鏈接等；b)檢查開源代碼中的強互惠性開源許可證是否通過強隔離方式引入，如聚合體。6.4.4開源許可證兼容性檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的開源許可證之間是否兼容。6.4.5開源許可證專利情況檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的開源許可證是否有明確專利授予。6.4.6開源許可證適用范圍檢測軟件產(chǎn)品形成開源代碼清單列表，檢查各開源代碼模塊的開源許可證適用范圍是否為全球。6.5開源代碼管理評價流程6.5.1開源代碼管理團隊開源代碼管理團隊評價流程如下：a)檢查組織架構(gòu)圖，確認軟件產(chǎn)品是否具備開源