近日，國(guó)家标准《网络安(ān)全技(jì )术 软件产(chǎn)品开源代码安(ān)全评价方法》正式发布，将于2024年11月1日正式实施。由中(zhōng)國(guó)信息通信研究院牵头，爱加密等知名(míng)企业共同起草(cǎo)完成！

為(wèi)深度解读该标准，小(xiǎo)编特邀请标准起草(cǎo)人，拥有(yǒu)近20年行业经验的爱加密网络安(ān)全专家韩云，对标准进行解读。

《软件产(chǎn)品开源代码安(ān)全评价方法》（以下简称“《方法》”）给出了软件产(chǎn)品中(zhōng)的开源代码安(ān)全评价目标、评价指标體(tǐ)系和评价方法，评价指标體(tǐ)系涵盖开源代码来源、开源代码质(zhì)量、开源代码知识产(chǎn)权和开源代码管理(lǐ)能(néng)力，其适用(yòng)于软件产(chǎn)品包含的开源代码安(ān)全评价工(gōng)作(zuò)，為(wèi)各企事业单位对于软件产(chǎn)品中(zhōng)的开源代码进行安(ān)全性自评价提供参考，為(wèi)第三方机构开展此类工(gōng)作(zuò)提供依据。

《方法》的评价目标主要有(yǒu)以下几个方面：

1、 可(kě)控性：通过评价软件产(chǎn)品中(zhōng)开源代码编码语言、贡献量、丰富度等情况掌握开源代码来源，最大程度降低开源代码供应中(zhōng)断风险，保障软件产(chǎn)品包含的开源代码部分(fēn)使用(yòng)过程中(zhōng)能(néng)够持续使用(yòng)开源代码。

2、安(ān)全性：通过考察软件产(chǎn)品中(zhōng)开源代码安(ān)全漏洞率、版本更新(xīn)等情况，最大程度降低开源安(ān)全事件发生的可(kě)能(néng)性，保障软件产(chǎn)品中(zhōng)开源代码安(ān)全性不遭到破坏。

3、合规性：通过考察软件产(chǎn)品中(zhōng)开源代码开源许可(kě)证互惠性、兼容性等情况，最大程度降低开源许可(kě)证知识产(chǎn)权风险，保障软件产(chǎn)品中(zhōng)开源代码符合开源许可(kě)证相关要求。

4、稳定性：通过考察软件产(chǎn)品中(zhōng)开源代码物(wù)料清单、开源代码管理(lǐ)团队等情况，应对开源代码管理(lǐ)能(néng)力不足，保障软件产(chǎn)品包含的开源代码的稳定运行。

《方法》的评价流程主要為(wèi)评价准备、方案制定、现场实施、分(fēn)析评估4个阶段：

1、评价准备阶段，评价实施方接收被评价单位提交的评价申请后，与被评价单位沟通所需的评价材料，包括拟提供的软件产(chǎn)品、材料和证据等，依据本文(wén)件中(zhōng)的评价體(tǐ)系审核被评价单位提供的评价材料是否满足条件，通过审核后，组建评价实施团队，根据需要可(kě)设置专家组；

2、方案制定阶段，评价实施方确定评价方法、程序和进度，形成评价方案；

3、现场实施阶段，评价实施方依据评价方案，结合被评价单位提供的评价材料逐项核查，必要时可(kě)要求被评价单位补充相关材料，双方对现场实施结果进行确认；

4、分(fēn)析评估阶段，评价实施方依据现场实施情况对软件产(chǎn)品包含的开源代码部分(fēn)进行具(jù)體(tǐ)评价和打分(fēn)

《方法》的评价内容：

方法评价实施方依据國(guó)家相关规定，主要对软件产(chǎn)品中(zhōng)的开源代码来源、开源代码质(zhì)量、开源代码知识产(chǎn)权和开源代码管理(lǐ)能(néng)力进行评价。

《方法》的评价方法：

评价实施方在开展开源代码安(ān)全评价工(gōng)作(zuò)中(zhōng)应综合采用(yòng)访谈、检查和测试等基本评价方法，以核实被评价单位所提供评价材料是否满足指标考查内容要求：

1、访谈：评价实施方通过与被评价单位相关人员进行有(yǒu)针对性的交流以帮助理(lǐ)解、厘清或取得证据，访谈的对象為(wèi)个人或团體(tǐ)，如技(jì )术团队负责人、核心技(jì )术工(gōng)程师等；

2、检查：评价实施方对被评价单位提供的相关材料进行观察、查验、分(fēn)析以帮助理(lǐ)解、厘清或取得证据，检查的对象為(wèi)制度、文(wén)档和记录，如必要的开源代码物(wù)料清单、技(jì )术设计文(wén)档、安(ān)全扫描报告、开源代码管理(lǐ)团队背景信息等；

3、测试：评价实施方使用(yòng)具(jù)备开源代码成分(fēn)识别功能(néng)、漏洞检出功能(néng)和代码缺陷检出功能(néng)的方法/工(gōng)具(jù)使测试对象产(chǎn)生特定的结果，并将运行结果与预期的结果进行比对。

《方法》的评价结果：

1、基本安(ān)全（评分(fēn)≥80），对开源来源进行统一管控，基本满足开源代码稳定使用(yòng)，对软件产(chǎn)品成分(fēn)可(kě)清晰认知，具(jù)备完备运维能(néng)力；

2、待加强（评分(fēn)≥60且＜80），使用(yòng)的的开源来源可(kě)查可(kě)把控，同时具(jù)备替代改造能(néng)力；

3、不合格（评分(fēn)＜60），使用(yòng)的开源来源尚未形成系统管理(lǐ)，存在较大开源代码安(ān)全风险。

安(ān)全系数大于80的才算合格，也是满足基本安(ān)全的基础。但目前部分(fēn)软件团队只关注自主代码的潜在问题，往往忽视了对应用(yòng)组件构成和应用(yòng)中(zhōng)的开源组件中(zhōng)已知漏洞及开源协议的检查，按《方法》进行评分(fēn)，分(fēn)数恐遠(yuǎn)小(xiǎo)于60分(fēn)。

企业需建设开源软件安(ān)全治理(lǐ)體(tǐ)系，明确开源软件使用(yòng)的安(ān)全准入条件，从软件开发阶段就建立开源软件使用(yòng)的统一策略，实现开源软件引入和使用(yòng)的标准化、规范化和合规化。对于明确需要引入的开源软件，在加强版本控制的基础上，一方面开展安(ān)全风险评估检测；另一方面持续跟踪相关的漏洞情报，时刻提防软件供应链攻击。从而参考《方法》评分(fēn)方法，对企业安(ān)全情况进行量化管理(lǐ)。

為(wèi)了减少这些组件风险危害，爱加密特推出了软件开源组件成分(fēn)分(fēn)析系统（SCA），以期协助企业控制风险。软件开源组件成分(fēn)分(fēn)析系统（SCA）是爱加密采用(yòng)业界领先的静态组件分(fēn)析技(jì )术开发的一款针对软件组成进行静态分(fēn)析检测的产(chǎn)品。它通过目标软件包含的一些信息和特征来实现对该软件的识别、管理(lǐ)、追踪的技(jì )术，能(néng)够高效的检测出软件中(zhōng)的组件分(fēn)布信息，识别有(yǒu)风险的安(ān)全风险，并准确定位告警，从而有(yǒu)效的帮助开发人员消除应用(yòng)中(zhōng)的漏洞、违禁协议、减少安(ān)全隐患，為(wèi)软件的信息安(ān)全保驾护航。

爱加密软件成分(fēn)分(fēn)析平台拥有(yǒu)四大优势：

准确性高：支持代码组件、代码文(wén)件、代码片段级别的扫描和匹配，拥有(yǒu)完善的已知开源漏洞数据库。

高效：扫描速度快，效率高。

覆盖范围广：分(fēn)析软件成分(fēn)构成、代码成分(fēn)构成、分(fēn)析开源代码许可(kě)证（License）、安(ān)全漏洞。

在软件开发生命周期（SDLC）的所有(yǒu)阶段，在选择阶段、开发期间甚至部署后，保护和管理(lǐ)开源组件，还可(kě)以整合常用(yòng)构建工(gōng)具(jù)和CI/CD服務(wù)。

落地及支持：丰富的API接口，便于与其它系统的无缝集成。简单易用(yòng)，提供多(duō)种落地使用(yòng)方式。持续跟踪开源组件中(zhōng)的安(ān)全漏洞、许可(kě)证和软件错误，保障应用(yòng)安(ān)全，提供完善的技(jì )术支持服務(wù)。