近日,中國信通院“軟件自研創新能力”專項評估(簡稱“可信研創”)結果正式公布,作為唯一的國產操作系統產品,銀河麒麟桌面操作系統V10 (SP1) 2203順利通過評估。“可信研創”通過源碼級別的開源同源匹配技術,分析軟件產品的代碼組成成分,幫助用戶了解其中的開源應用情況,實現“自研率高”“安全性強”“合規度高”“穩定性好”四大目標, 提升自研創新產品的可信度,為用戶采購開源應用提供參考。
《“十四五”軟件和信息技術服務業發展規劃》明確提出持續推動軟件高質量發展的指導思想和壯大信息技術應用創新體系的任務要求。在“數字化”和“信創化”的加速推進下,國內軟件行業自主創新活力不斷釋放,技術迭代和產品升級不斷加速。其中,開源作為產業協同與創新發展的重要模式,有效助力企業加速技術創新,實現“彎道超車”。
然而,我國開源產業尚處于發展階段,企業對開源的應用存在不透明、不安全、不合規、不成熟等問題。用戶企業在招標采購時,亟需清晰準確地衡量軟件產品中的開源應用情況,在開源可知可控的基礎上,切實評價和比較供應商產品的自研創新水平。
中國信息通信研究院(以下簡稱“中國信通院”)自2015年籌備并成立國內首個開源聯盟,率先提出“可信開源”理念,多年來致力于推動國內開源生態“安全”“合規”“持續”“健康”發展。結合前期研究成果和測試驗證積累,中國信通院針對軟件產品自研水平評價的痛點,重磅推出“軟件自研創新能力”專項評估(簡稱“可信研創”)。目前首批試評估工作已圓滿完成,共有4家企業的4款產品通過評估。
評估內容
“軟件自研創新能力”專項評估從“代碼自研率”“代碼安全”“開源代碼合規”“代碼管理”四個維度,提出4大類19項具體指標,為綜合評價軟件產品的可信研創水平提供重要參考。
中國信通院經過長期探索和積累,已構建覆蓋開源代碼成分檢測、代碼溯源信息檢測、安全漏洞風險檢測、開源許可證合規檢測四大功能的軟件成分分析能力,覆蓋Java、C、C++、Go、Python等300余種編程語言,囊括GitHub、Gitee等主流代碼托管平臺的500余萬開源項目,收錄超過25萬條安全漏洞和200余種主流許可證,積累知識庫規模超過200T,為開展“軟件自研創新能力”專項評估提供堅實基礎。
評估價值
“軟件自研創新能力”專項評估旨在通過源碼級別的開源同源匹配技術,分析軟件產品的代碼組成成分,幫助用戶了解其中的開源應用情況,實現“自研率高”“安全性強”“合規度高”“穩定性好”四大目標, 提升自研創新產品的可信度。
??“自研率高”:通過代碼同源分析識別軟件產品中的開源代碼部分,掌握真實可信的代碼構成情況,并從文件數維度和代碼行數維度計算代碼自研率,提升商業軟件的代碼透明度。
??“安全性強”:通過考察軟件產品中代碼安全漏洞率、版本更新周期等情況,最大程度降低安全事件發生的可能性,保障商業軟件中代碼的安全性。
??“合規度高”:通過考察軟件產品中開源代碼的開源許可證互惠性、兼容性等情況,防范開源許可證知識產權侵權風險,保障商業軟件的合規性。
??“穩定性好”:通過考察軟件產品中物料清單、代碼設計使用等情況,評估其代碼應用管理能力,保障商業軟件中的代碼穩定運行。
經過首批試評估驗證,“軟件自研創新能力”專項評估現正式面向市場公開征集參評單位,歡迎有意向的單位報名參與。
往期回顧
