ICS 03.080.01 CCS A 11 团 体 标 准 T/JDFA01-2024 开源软件安全风险评价标准 Open source software security risk assessment standards 2024-9-10发布 2024-9-10实施 江苏省数字金融协会发布
T/ JDFA01-2024 目次 前 言 1 范围 2 规范性引用文件. 3 认定评价原则, 4 术语与定义, 5 开源软件安全风险评价流程 6 风险评估和分类, 5 7 更新和维护. .7 8 法律和合规性考虑 12 附录A. 14 附录B. 16 附录C. 18 参考文献 19
T/ JDFA01-2024 前言 根据中国人民银行等单位联合发布的《关于规范金融业开源技术应用与发展的意 见》,标准编制组经广泛调查研究,认真总结实践经验,参考国内外的相关标准,并在 广泛征求意见的基础上,制定本标准.
本标准按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起 草规则》的规定起草.
本标准由中国人民银行江苏省分行提出.
本标准由江苏省数字金融协会归口.
本标准主编单位:中科南京软件技术研究院 本标准参编单位:江苏省软件产品检测中心 江苏省知识产权保护中心 江苏省专利信息服务中心 南京理工大学 南京信总工程大学 南京银行 苏商银行 江苏省联合征信有限公司 江苏省数字化协会 江苏省生产力促进中心产业大数据与软件开发服务中心 联通数字科技有限公司 江苏省国信数字科技有限公司 江苏省软件产业股份有限公司 江苏移动信息系统集成有限公司 中国移动紫金(江苏)创新研究院有限公司 南京数字经济科技学会 南京市企业征信服务有限公司 南京联合产权(科技)交易所 南京金盾公共安全技术研究院有限公司 南京扬子江数字科技发展有限公司 II
T/ JDFA01-2024 南京可信数据服务有限公司 南京大数据检测技术有限公司 江苏风云科技服务有限公司 金盾检测技术股份有限公司 苏州市软件评测中心有限公司 北京中科微澜科技有限公司 南京睿鲸数字科技有限公司 本标准主要起草人员:刘斌、吴敬征、李千目、吴奕、王亚利、刘琦、张晖、吴真 炜、徐小锋、任坚斌、王治平、陈俊、何满怀、王品亮、田健、曾飞、张继栋、施琦、 王宏图、包岩、孙凯、吴伟、洪刚、胡成亚、施志晖、王玮、陈志军、戴哗、王雷、 黄道芹、付蓉、孔桂兰、何平、杨加钰 III
T/ JDFA01-2024 开源软件安全风险评价标准 1范围 标准规范了开源软件安全风险评价流程及指标体系等.
本标准适用于开源软件的安全风险评价.
2规范性引用文件 下列文件对本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期 的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括的修改 单)适用于本文件.
一《信息安全技术软件产品开源代码安全评价方法(征求意见稿)》 一《软件供应链安全治理实践指南白皮书(2023)》 一《加快开源软件发展三年行动计划(2023-2025年)》 《“十四五”软件和信息技术服务业发展规划》 一《信息安全技术关键信息基础设施安全保护要求》(GB/T39204-2022) 一《关键信息基础设施安全保护条例》 一《网络安全审查办法》 -《信息安全技术术语》(GB/T25069-2022) -《ICT供应链安全风险管理指南》(GB/T36637-2018) 一《开源软件安全使用规范》(T/CFAS0001-2019) 3认定评价原则 开源软件安全风险评价应遵循以下原则: a)全面性:评价过程应该覆盖开源软件的各个方面,包括源代码、依 赖关系、社区支持、文档质量等.
全面性的评估有助于全面了解软件的安全性.
b)透明性:评价的过程和结果是透明的,能够为利益相关方提供清晰 的了解.
这包括评估方法、标准、指标的明确说明,以及评估报告的及时发布.
c)实证性:评价应该基于实际的证据和数据,而非仅仅依赖猜测或主 观判断.
这可以通过对源代码的溯源、漏洞管理工具的使用等手段来实现.
