ICS35.030 CCS L 80 B 中华人民共和国国家标准 GB/T43848—2024 网络安全技术 软件产品开源代码安全 评价方法 Cybersecurity technology-Evaluation method for open source code security of software products 2024-04-25发布 2024-11-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T43848-2024 目 次 前言 1范围 2规范性引用文件 1 3术语和定义 1 4概述 5评价要素 2 5.1评价参数 2 5.2开源代码来源 3 5.2.1概述 3 5.2.2 开源代码规模与占比 3 5.2.3开源代码编码语言 3 5.2.4开源代码著作权人 3 5.2.5 开源代码贡献量 3 5.2.6开源代码丰富度 3 5.2.7 开源社区安全管理 3 5.2.8开源代码托管平台 3 5.2.9开源代码下载平台 3 5.3开源代码安全质量 4 5.3.1概述 4 5.3.2开源代码漏洞率 4 5.3.3开源代码漏洞严重性 4 5.3.4开源代码漏洞修复率 4 5.3.5开源代码版本更新情况 4 5.4开源代码知识产权 4 5.4.1概述 4 5.4.2开源许可证遵从度 4 5.4.3开源许可证规范性 4 5.4.4开源许可证互惠性 4 5.4.5 开源许可证兼容性 4 5.4.6开源许可证专利情况 4 5.4.7开源许可证适用范围 5 5.5开源代码管理 市 5 5.5.1概述 5 I 54C GB/T43848-2024 5.5.2开源代码管理团队 5 5.5.3开源代码物料清单 5 5.5.4开源代码设计 5 5.5.5 开源代码生成 5 6评价流程 5 6.1概述 5 6.2开源代码来源评价流程 中中中中中中中中 5 6.2.1开源代码规模与占比 5 6.2.2 开源代码编码语言 6 6.2.3开源代码著作权人 6 6.2.4开源代码贡献量 6 6.2.5 开源代码丰富度 6 6.2.6开源社区安全管理 6 6.2.7 开源代码托管平台 6 6.2.8开源代码下载平台 6 6.3开源代码安全质量评价流程 7 6.3.1开源代码漏洞率 7 6.3.2开源代码漏洞严重性 1 6.3.3开源代码漏洞修复率 7 6.3.4开源代码版本更新情况 7 6.4开源代码知识产权评价流程 7 6.4.1开源许可证遵从度 7 6.4.2开源许可证规范性 8 6.4.3 开源许可证互惠性 8 6.4.4开源许可证兼容性 8 6.4.5开源许可证专利情况 6.4.6开源许可证适用范围 8 6.5开源代码管理评价流程 8 6.5.1开源代码管理团队 8 6.5.2开源代码物料清单 8 6.5.3开源代码设计 8 6.5.4开源代码生成 9 附录A(资料性)开源代码安全风险 10 A.1开源网络安全风险 10 A.2开源知识产权风险 10 A.3开源持续性风险 10 参考文献 11 Ⅱ GB/T43848—2024 前 言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口. 本文件起草单位:中国信息通信研究院、蚂蚁科技集团股份有限公司、华为技术有限公司、中兴通讯 股份有限公司、山东浪潮科学研究院有限公司、阿里云计算有限公司、深信服科技股份有限公司、腾讯云 计算(北京)有限责任公司、杭州默安科技有限公司、深圳开源互联网安全技术有限公司、北京百度网讯 科技有限公司、深圳市腾讯计算机系统有限公司、北京天融信网络安全技术有限公司、奇安信网神信息 技术(北京)股份有限公司、浪潮电子信息产业股份有限公司、北京小米移动软件有限公司、北京京东尚 科信息技术有限公司、北京金山云网络技术有限公司、北京火山引擎科技有限公司、恒安嘉新(北京)科 技股份公司、启明星辰信息技术集团股份有限公司、...
GB/T 43848-2024 网络安全技术 软件产品开源代码安全评价方法.pdf
