近年來,軟件成為社會基本運轉組件的同時,開源代碼安全事件頻發,對于軟件產品穩定運行、用戶數據保護乃至國家安全造成重大威脅,軟件產品中開源代碼安全受到業內高度重視。開源代碼安全直接關系著軟件產品安全。當前企業開源代碼安全管理機制不完善,面臨軟件組成不清晰、供應不穩定、產品不可用等風險。建立開源代碼安全標準體系,助力軟件產品降低開源代碼安全風險勢在必行。
在tc260的指導下,中國信息通信研究院牽頭立項《信息安全技術 軟件產品開源代碼安全評價方法》國家標準并持續推進草案編制工作。本標準從軟件產品中開源代碼來源、開源代碼質量、開源代碼知識產權和開源代碼管理成熟度四方面進行安全評價,為各單位對于自身軟件產品開源代碼安全性自評價提供參考,為第三方機構對于軟件產品開源代碼安全能力進行審查和評估時提供依據,也可為主管監管部門提供參考。同時旨在為加強網絡安全和信息化建設貢獻力量,營造開源代碼安全的網絡空間。
軟件產品開源代碼安全評價方法體系框架圖
為提高標準落地實施性,對標準內容進行持續完善,中國信通院牽頭組織首批《信息安全技術 軟件產品開源代碼安全評價方法》國標試點驗證工作,經過驗證準備和報名、技術測試、材料審查、測試報告生成、專家評審等諸多階段,共有8家企業的8款產品/能力完成了本次國標試點驗證。
首批軟件產品開源代碼安全試點驗證名單
構建安全可信的開源操作系統是我國網絡空間安全發展的必然要求。麒麟軟件作為中國操作系統的核心力量,積極打造國內操作系統根社區,努力建設我國自主開源供應鏈體系,把握創新發展的主動權。未來,麒麟軟件將繼續與中國信通院等科研機構攜手,在國標建設、產品研發等領域持續發力,為我國信息化建設打造安全可信的操作系統產品。
