栗蔚表示,开源是开放无边界的新型协作模式,基于这样的模式我们数字科技创新、产业开放、经济共享、全球协作四个方面都可以受益。开源应用广泛的现状下也面临诸多开源安全问题,主要分为网络安全风险、知识产权风险和供应链风险。
《信息安全技术 软件产品开源代码安全评价方法》国家标准依据开源软件全生命周期的对外开放、开源项目、开源商业化、开源使用等几个环节,从软件产品中的开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价。
栗蔚介绍,通过这四个方面,可以来评价软件产品中的开源部分是否具有可控性、安全性、合规性和稳定性。
可控性是通过评价软件产品中开源代码编码语言、贡献量、丰富度等情况掌握开源代码来源,最大程度降低开源代码供应中断风险,保障软件产品包含的开源代码部分使用过程中能够持续使用开源代码。
安全性是通过考察软件产品中开源代码安全漏洞率、版本更新等情况,最大程度降低开源安全事件发生的可能性,保障软件产品中开源代码安全性不遭到破坏。
合规性是通过考察软件产品中开源代码开源许可证互惠性、兼容性等情况,最大程度降低开源许可证知识产权风险,保障软件产品中开源代码符合开源许可证相关要求。
稳定性是通过考察软件产品中开源代码物料清单、开源代码管理团队情况,应对开源代码管理能力不足,保障软件产品包含的开源代码稳定运行。
栗蔚表示,标准针对每条指标项给出详尽评价方法提高标准可操作性。评价开源代码来源、开源代码安全质量和开源代码知识产权指标项采取检查和测试方法,并依次给出预期结果;评价开源代码管理能力指标项采取检查和访谈的方法,并依次给出预期结果。
栗蔚指出,《信息安全技术 软件产品开源代码安全评价方法》国家标准,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。
