T/CFAS 0003-2019 信息安全技术 开源代码安全审计规范

范围:开源代码安全不同于对开源软件使用和开源环境的安全监控，开源代码安全审计和漏洞评估属于代码级漏洞扫描的应用，主要是对于开源代码自身存在的缺陷以及该代码所使用和涉及到的开源源代码包等，进行全方位的安全漏洞扫描，在该代码未成为软件产品前进行漏洞检测。将漏洞扼杀于产品未成形的摇篮之中。减少软件产品化后的安全漏洞隐患，从而真正做到防患于未然。本标准主要规范了开源代码安全审计和评估上的各种安全规范，将在不同阶段中所需要注意的安全问题和相关安全规范进行进一步的描述和规定，以提高开源软件的安全性和抵御攻击的能力; 主要技术内容:开源代码安全审计可以从软件程序开发的源头进行代码级的安全审计和漏洞检测，并按照安全风险级别将代码漏洞进行有效的归类管理。因此，代码安全审计提供了一种针对代码自身安全进行高效的安全管控的方式和方法。开源代码安全审计包括的标准:a) 定义对开源代码安全审计及涉及此规范的行业内要求;b) 为建立、实施、维护和改进开源代码安全审计的整个过程提供直接支持、详细指南和/或解释;c) 针对特定行业提出开源代码安全审计指南;d) 阐述开源代码安全审计的合格评定方法