ICS35.030 CCSL80 中华人民共和国国家标准 GB/T43848—2024 网络安全技术 软件产品开源代码安全 评价方法 Cybersecuritytechnology—Evaluationmethodforopensourcecode securityofsoftwareproducts 2024-04-25发布 2024-11-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 概述 1 ……………………………………………………………………………………………………… 5 评价要素 2 ………………………………………………………………………………………………… 5.1 评价参数 2 …………………………………………………………………………………………… 5.2 开源代码来源 3 ……………………………………………………………………………………… 5.2.1 概述 3 …………………………………………………………………………………………… 5.2.2 开源代码规模与占比 3 ………………………………………………………………………… 5.2.3 开源代码编码语言 3 …………………………………………………………………………… 5.2.4 开源代码著作权人 3 …………………………………………………………………………… 5.2.5 开源代码贡献量 3 ……………………………………………………………………………… 5.2.6 开源代码丰富度 3 ……………………………………………………………………………… 5.2.7 开源社区安全管理 3 …………………………………………………………………………… 5.2.8 开源代码托管平台 3 …………………………………………………………………………… 5.2.9 开源代码下载平台 3 …………………………………………………………………………… 5.3 开源代码安全质量 4 ………………………………………………………………………………… 5.3.1 概述 4 …………………………………………………………………………………………… 5.3.2 开源代码漏洞率 4 ……………………………………………………………………………… 5.3.3 开源代码漏洞严重性 4 ………………………………………………………………………… 5.3.4 开源代码漏洞修复率 4 ………………………………………………………………………… 5.3.5 开源代码版本更新情况 4 ……………………………………………………………………… 5.4 开源代码知识产权 4 ………………………………………………………………………………… 5.4.1 概述 4 …………………………………………………………………………………………… 5.4.2 开源许可证遵从度 4 …………………………………………………………………………… 5.4.3 开源许可证规范性 4 …………………………………………………………………………… 5.4.4 开源许可证互惠性 4 …………………………………………………………………………… 5.4.5 开源许可证兼容性 4 …………………………………………………………………………… 5.4.6 开源许可证专利情况 4 ………………………………………………………………………… 5.4.7 开源许可证适用范围 5 ………………………………………………………………………… 5.5 开源代码管理 5 ……………………………………………………………………………………… 5.5.1 概述 5 …………………………………………………………………………………………… ⅠGB/T43848—2024 5.5.2 开源代码管理团队 5 …………………………………………………………………………… 5.5.3 开源代码物料清单 5 …………………………………………………………………………… 5.5.4 开源代码设计 5 ………………………………………………………………………………… 5.5.5 开源代码生成 5 ………………………………………………………………………………… 6 评价流程 5 ………………………………………………………………………………………………… 6.1 概述 5 ………………………………………………………………………………………………… 6.2 开源代码来源评价流程 5 …………………………………………………………………………… 6.2.1 开源代码规模与占比 5 ………………………………………………………………………… 6.2.2 开源代码编码语言 6 …………………………………………………………………………… 6.2.3 开源代码著作权人 6 …………………………………………………………………………… 6.2.4 开源代码贡献量 6 ……………………………………………………………………………… 6.2.5 开源代码丰富度 6 ……………………………………………………………………………… 6.2.6 开源社区安全管理 6 …………………………………………………………………………… 6.2.7 开源代码托管平台 6 …………………………………………………………………………… 6.2.8 开源代码下载平台 6 …………………………………………………………………………… 6.3 开源代码安全质量评价流程 7 ……………………………………………………………………… 6.3.1 开源代码漏洞率 7 ……………………………………………………………………………… 6.3.2 开源代码漏洞严重性 7 ………………………………………………………………………… 6.3.3 开源代码漏洞修复率 7 ………………………………………………………………………… 6.3.4 开源代码版本更新情况 7 ……………………………………………………………………… 6.4 开源代码知识产权评价流程 7 ……………………………………………………………………… 6.4.1 开源许可证遵从度 7 …………………………………………………………………………… 6.4.2 开源许可证规范性 8 …………………………………………………………………………… 6.4.3 开源许可证互惠性 8 …………………………………………………………………………… 6.4.4 开源许可证兼容性 8 …………………………………………………………………………… 6.4.5 开源许可证专利情况 8 ………………………………………………………………………… 6.4.6 开源许可证适用范围 8 ………………………………………………………………………… 6.5 开源代码管理评价流程 8 …………………………………………………………………………… 6.5.1 开源代码管理团队 8 …………………………………………………………………………… 6.5.2 开源代码物料清单 8 …………………………………………………………………………… 6.5.3 开源代码设计 8 ………………………………………………………………………………… 6.5.4 开源代码生成 9 ………………………………………………………………………………… 附录A(资料性) 开源代码安全风险 10 …………………………………………………………………… A.1 开源网络安全风险 10 ……………………………………………………………………………… A.2 开源知识产权风险 10 ……………………………………………………………………………… A.3 开源持续性风险 10 ………………………………………………………………………………… 参考文献 11 …………………………………………………………………………………………………… ⅡGB/T43848—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国信息通信研究院、蚂蚁科技集团股份有限公司、华为技术有限公司、中兴通讯 股份有限公司、山东浪潮科学研究院有限公司、阿里云计算有限公司、深信服科技股份有限公司、腾讯云 计算(北京)有限责任公司、杭州默安科技有限公司、深圳开源互联网安全技术有限公司、北京百度网讯 科技有限公司、深圳市腾讯计算机系统有限公司、北京天融信网络安全技术有限公司、奇安信网神信息 技术(北京)股份有限公司、浪潮电子信息产业股份有限公司、北京小米移动软件有限公司、北京京