首页> 技术观点 > 参编国标 | 深度解读《软件产品开源代码安全评价方法》

参编国标 | 深度解读《软件产品开源代码安全评价方法》

发布时间:2024-08-02

近日,国家标准《网络安全技术 软件产品开源代码安全评价方法》正式发布,将于2024年11月1日正式实施。由中国信息通信研究院牵头,爱加密等知名企业共同起草完成!

为深度解读该标准,小编特邀请标准起草人,拥有近20年行业经验的爱加密网络安全专家韩云,对标准进行解读。

《软件产品开源代码安全评价方法》(以下简称“《方法》”)给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法,评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力,其适用于软件产品包含的开源代码安全评价工作,为各企事业单位对于软件产品中的开源代码进行安全性自评价提供参考,为第三方机构开展此类工作提供依据。

 

01

《方法》的评价目标主要有以下几个方面:

1、 可控性:通过评价软件产品中开源代码编码语言、贡献量、丰富度等情况掌握开源代码来源,最大程度降低开源代码供应中断风险,保障软件产品包含的开源代码部分使用过程中能够持续使用开源代码。

2、安全性:通过考察软件产品中开源代码安全漏洞率、版本更新等情况,最大程度降低开源安全事件发生的可能性,保障软件产品中开源代码安全性不遭到破坏。

3、合规性:通过考察软件产品中开源代码开源许可证互惠性、兼容性等情况,最大程度降低开源许可证知识产权风险,保障软件产品中开源代码符合开源许可证相关要求。

4、稳定性:通过考察软件产品中开源代码物料清单、开源代码管理团队等情况,应对开源代码管理能力不足,保障软件产品包含的开源代码的稳定运行。

    

02

《方法》的评价流程主要为评价准备、方案制定、现场实施、分析评估4个阶段:

1、评价准备阶段,评价实施方接收被评价单位提交的评价申请后,与被评价单位沟通所需的评价材料,包括拟提供的软件产品、材料和证据等,依据本文件中的评价体系审核被评价单位提供的评价材料是否满足条件,通过审核后,组建评价实施团队,根据需要可设置专家组;

2、方案制定阶段,评价实施方确定评价方法、程序和进度,形成评价方案;

3、现场实施阶段,评价实施方依据评价方案,结合被评价单位提供的评价材料逐项核查,必要时可要求被评价单位补充相关材料,双方对现场实施结果进行确认;

4、分析评估阶段,评价实施方依据现场实施情况对软件产品包含的开源代码部分进行具体评价和打分

    

03

《方法》的评价内容:

方法评价实施方依据国家相关规定,主要对软件产品中的开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力进行评价。

 

04

《方法》的评价方法:

评价实施方在开展开源代码安全评价工作中应综合采用访谈、检查和测试等基本评价方法,以核实被评价单位所提供评价材料是否满足指标考查内容要求:

1、访谈:评价实施方通过与被评价单位相关人员进行有针对性的交流以帮助理解、厘清或取得证据,访谈的对象为个人或团体,如技术团队负责人、核心技术工程师等;

2、检查:评价实施方对被评价单位提供的相关材料进行观察、查验、分析以帮助理解、厘清或取得证据,检查的对象为制度、文档和记录,如必要的开源代码物料清单、技术设计文档、安全扫描报告、开源代码管理团队背景信息等;

3、测试:评价实施方使用具备开源代码成分识别功能、漏洞检出功能和代码缺陷检出功能的方法/工具使测试对象产生特定的结果,并将运行结果与预期的结果进行比对。

 

    

05

《方法》的评价结果:

1、基本安全(评分≥80),对开源来源进行统一管控,基本满足开源代码稳定使用,对软件产品成分可清晰认知,具备完备运维能力;

2、待加强(评分≥60且<80),使用的的开源来源可查可把控,同时具备替代改造能力;

3、不合格(评分<60),使用的开源来源尚未形成系统管理,存在较大开源代码安全风险。

安全系数大于80的才算合格,也是满足基本安全的基础。但目前部分软件团队只关注自主代码的潜在问题,往往忽视了对应用组件构成和应用中的开源组件中已知漏洞及开源协议的检查,按《方法》进行评分,分数恐远小于60分。

 

企业需建设开源软件安全治理体系,明确开源软件使用的安全准入条件,从软件开发阶段就建立开源软件使用的统一策略,实现开源软件引入和使用的标准化、规范化和合规化。对于明确需要引入的开源软件,在加强版本控制的基础上,一方面开展安全风险评估检测;另一方面持续跟踪相关的漏洞情报,时刻提防软件供应链攻击。从而参考《方法》评分方法,对企业安全情况进行量化管理。

 

为了减少这些组件风险危害,爱加密特推出了软件开源组件成分分析系统(SCA),以期协助企业控制风险。软件开源组件成分分析系统(SCA)是爱加密采用业界领先的静态组件分析技术开发的一款针对软件组成进行静态分析检测的产品。它通过目标软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术,能够高效的检测出软件中的组件分布信息,识别有风险的安全风险,并准确定位告警,从而有效的帮助开发人员消除应用中的漏洞、违禁协议、减少安全隐患,为软件的信息安全保驾护航。

 

爱加密软件成分分析平台拥有四大优势:

准确性高:支持代码组件、代码文件、代码片段级别的扫描和匹配,拥有完善的已知开源漏洞数据库。

高效:扫描速度快,效率高。

覆盖范围广:分析软件成分构成、代码成分构成、分析开源代码许可证(License)、安全漏洞。

在软件开发生命周期(SDLC)的所有阶段,在选择阶段、开发期间甚至部署后,保护和管理开源组件,还可以整合常用构建工具和CI/CD服务。

落地及支持:丰富的API接口,便于与其它系统的无缝集成。简单易用,提供多种落地使用方式。持续跟踪开源组件中的安全漏洞、许可证和软件错误,保障应用安全,提供完善的技术支持服务。

 

 

加入收藏