GB/T 43848-2024 网络安全技术 软件产品开源代码安全评价方法

ICS35.030

CCSL80

中华人民共和国国家标准

/—

GBT438482024

网络安全技术软件产品开源代码安全

评价方法

—

CbersecurittechnoloEvaluationmethodforoensourcecode

yygyp

securitofsoftwareroducts

yp

2024-04-25发布2024-11-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT438482024

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4概述………………………1

5评价要素…………………2

5.1评价参数……………2

5.2开源代码来源………………………3

5.2.1概述……………3

5.2.2开源代码规模与占比…………3

5.2.3开源代码编码语言……………3

5.2.4开源代码著作权人……………3

5.2.5开源代码贡献量………………3

5.2.6开源代码丰富度………………3

5.2.7开源社区安全管理……………3

5.2.8开源代码托管平台……………3

5.2.9开源代码下载平台……………3

5.3开源代码安全质量…………………4

5.3.1概述……………4

5.3.2开源代码漏洞率………………4

5.3.3开源代码漏洞严重性…………4

5.3.4开源代码漏洞修复率…………4

5.3.5开源代码版本更新情况………………………4

5.4开源代码知识产权…………………4

5.4.1概述……………4

5.4.2开源许可证遵从度……………4

5.4.3开源许可证规范性……………4

5.4.4开源许可证互惠性……………4

5.4.5开源许可证兼容性……………4

5.4.6开源许可证专利情况…………4

5.4.7开源许可证适用范围…………5

5.5开源代码管理………………………5

5.5.1概述……………5

Ⅰ

/—

GBT438482024

5.5.2开源代码管理团队……………5

5.5.3开源代码物料清单……………5

5.5.4开源代码设计…………………5

5.5.5开源代码生成…………………5

6评价流程…………………5

6.1概述…………………5

6.2开源代码来源评价流程……………5

6.2.1开源代码规模与占比…………5

6.2.2开源代码编码语言……………6

6.2.3开源代码著作权人……………6

6.2.4开源代码贡献量………………6

6.2.5开源代码丰富度………………6

6.2.6开源社区安全管理……………6

6.2.7开源代码托管平台……………6

6.2.8开源代码下载平台……………6

6.3开源代码安全质量评价流程………………………7

6.3.1开源代码漏洞率………………7

6.3.2开源代码漏洞严重性…………7

6.3.3开源代码漏洞修复率…………7

6.3.4开源代码版本更新情况………………………7

6.4开源代码知识产权评价流程………………………7

6.4.1开源许可证遵从度……………7

6.4.2开源许可证规范性……………8

6.4.3开源许可证互惠性……………8

6.4.4开源许可证兼容性……………8

6.4.5开源许可证专利情况…………8

6.4.6开源许可证适用范围…………8

6.5开源代码管理评价流程……………8

6.5.1开源代码管理团队……………8

6.5.2开源代码物料清单……………8

6.5.3开源代码设计…………………8

6.5.4开源代码生成…………………9

()……………………

附录资料性开源代码安全风险

A10

A.1开源网络安全风险………………10

A.2开源知识产权风险………………10

A.3开源持续性风险…………………10

参考文献……………………11

Ⅱ

/—

GBT438482024

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国网络安全标准化技术委员会(/)提出并归口。

SACTC260

:、、、

本文件起草单位中国信息通信研究院蚂蚁科技集团股份有限公司华为技术有限公司中兴通讯

、、、、

股份有限公司山东浪潮科学研究院有限公司阿里云计算有限公司深信服科技股份有限公司腾讯云

()、、、

计算北京有限责任公司杭州默安科技有限公司深圳开源互联网安全技术有限公司北京百度网讯

、、、

科技有限公司深圳市腾讯计算机系统有限公司北京天融信网络安全技术有限公司奇安信网神信息

()、、、

技术北京股份有限公司浪潮电子信息产业股份有限公司北京小米移动软件有限公司北京京东尚

、、、()

科信息技术有限公司北京金山云网络技术有限公司北京火山引擎科技有限公司恒安嘉新北京科

、、、

技股份公司启明星辰信息技术集团股份有限公司用友网络科技股份有限公司杭州安恒信息技术股

、、()、

份有限公司北京知道创宇信息技术股份有限公司长扬科技北京股份有限公司星环信息科技

()、、、、

上海股份有限公司浙江大华技术股份有限公司超聚变数字技术有限公司美的集团股份有限公司

、、、

马上消费金融股份有限公司泰康保险集团股份有限公司道普信息技术有限公司中电科网络安全科

、()、、

技股份有限公司国网区块链科技北京有限公司北京安普诺信息技术有限公司中国信息安全测评

、、、、

中心中国软件评测中心中电科拟态安全技术有限公司杭州孝道科技有限公司北京珞安科技有限责

、、、()、

任公司深圳华大生命科学研究院兴唐通信科技有限公司墨菲未来科技北京有限公司北京酷德啄

、、、

木鸟信息技术有限公司中国科学院软件研究所中国网络空间研究院国家计算机网络应急技术处理

、、、、

协调中心国家信息技术安全研究中心中国科学院信息工程研究所浙江省电子信息产品检验研究院

、()、()、

中国电子信息产业集团有限公司第六研究所博鼎实华北京技术有限公司ABB中国有限公司三

、、、

六零科技集团有限公司北京神州绿盟科技有限公司西安交大捷普网络科技有限公司深圳市能信安

、()、、

科技股份有限公司联想北京有限公司北京长亭未来科技有限公司北京山石网科信息技术有限公

、、、、

司广东云百科技有限公司武汉安天信息技术有限责任公司北京智游网安科技有限公司北京九章云

、、、、

极科技有限公司麒麟软件有限公司新华三技术有限公司天翼云科技有限公司OPPO广东移动通

信有限公司。

:、、、、、、、、、、、

本文件主要起草人栗蔚郭雪李晓明吴江伟程岩白晓媛崔锦国高琨张锐刚项曙明李响

、、、、、、、、、、、、、、

魏子重方强曾林青赵振阳叶润国郑剑锋沈锡镛孟瑾聂万泉王颉郭建领代威杨剑董国伟

、、、、、、、、、、、、、

曹柱钱佳煜李欣博李晓川张志文李鹏超赵军凯季晟宇袁明坤周景平范雷刘汪根张剑青

、、、、、、、、、、、、、、

惠静张亮亮刘志强安丙春韩明军王会波杨珂张涛王晓萌袁薇侯大鹏谢国苗延鹏蔡国瑜

、、、、、、、、、、、、、、

郝高健欧阳强斌史明超晏敏姜伟吴巍吴倩刘楠许丽丽尹肖栋王绍杰董霁王缀张杰

、、、、、、、、、、、、、。

张帆何建锋李德庆刘俊翟羽佳荣钰刘超余丽娜韩云方磊刘敏万晓兰洪钧煌朱丽亚

Ⅲ

/—

GBT438482024

网络安全技术软件产品开源代码安全

评价方法

1范围

本文件规定了软件产品中的开源代码成分安全评价要素和评价流程。

,

本文件适用于对软件产品包含的开源代码成分进行静态安全评价为各单位对于软件产品中的开

,。

源代码成分进行安全性自评价提供依据为第三方机构开展此类工作提供参考

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—信息安全技术术语

GBT250692022

3术语和定义

/—界定的以及下列术语和定义适用于本文件。

GBT250692022

3.1

软件产品softwareroduct

p

、,、

计算机软件信息系统或设备中嵌入的软件或在提供计算机信息系统集成应用等技术服务时提

,、。

供的计算机软件表现形式为一组计算机代码规程以及可能的相关文档和数据

[:/—,,]

来源GBT3647520183.1有修改

3.2

开源代码oensourcecode

p

公众可以获取源代码的计算机代码。

:、、。

注其著作权人通过开源许可证将代码的复制修改再发布的权利向公众开放

3.3

开源许可证oensourcelicense

p

、、。

允许公众用户根据协议内容使用修改复制和分发开源代码的授权协议

3.4

开源社区oensourcecommunit

py

,、、

以开源代码的贡献者为主体在开源代码贡献过程中形成的具有特定文化组织结构运行机制的

共同体。

4概述

,、

当前开源代码被广泛应用在软件产品时存在开源代码网络安全风险知识产权风险和持续性风险

()。

见附录A

1