《网络安全技术 软件产品开源代码安全评价方法》国家标准宣贯会圆满召开！

2024年5月30日,由中国信息通信研究院(简称“中国信通院”)举办的《网络安全技术软件产品开源代码安全评价方法》首次国家标准宣贯会在北京顺利举办。

会议首次对发布后的开源安全国标内容进行解读,同时对测试方法和试点观察进行详细介绍。

“开源安全国标宣贯”系列活动是今年中国信通院推广标准宣贯和应用的一项重要举措,旨在促进开源安全国家标准在各行业、各地方的实施落地,为各行业用户开源安全治理提供有效指引。活动共有来自金融、交通运输、能源、通信、科技公司、安全厂商等领域在内的中国工商银行股份有限公司软件开发中心、中国农业银行股份有限公司、中国银行股份有限公司、中国银行股份有限公司、中国邮政储蓄银行有限责任公司、中国邮政储蓄银行软件研发中心、中信银行股份有限公司、中国民生银行股份有限公司、中国光大银行股份有限公司、上海银行股份有限公司、上海农村商业银行股份有限公司、信达证券股份有限公司、阳光保险集团股份有限公司、北银金融科技有限责任公司、北京银行股份有限公司、国家能源集团、中国第一汽车集团有限公司、吉利汽车集团有限公司、山东浪潮科学研究院有限公司、中国铁道科学研究院集团有限公司、天翼安全科技有限公司、中国铁塔股份有限公司、北京红旗软件有限公司、北京东方通科技股份有限公司、京东科技集团、奇安信科技集团股份有限公司、中国汽车工程研究院股份有限公司等25家企业40余位代表。

(图会议全景图)

2022年10月,中国信通院成功牵头立项首个开源安全国家标准《网络安全技术软件产品开源代码安全评价方法》,2024年4月,经国家市场监督管理总局批准,国家标准正式发布。在标准制定的过程中,汇集来自金融、能源、汽车、互联网、运营商、软件、安全厂商等诸多领域专家的智慧与经验,为标准建设奠定了坚实的基础。

(图 GB/T 43848-2024《网络安全技术软件产品开源代码安全评价方法》)

中国信通院栗蔚发表致辞。栗蔚副所长指出受调研企业存在复杂的开源安全风险:一是各企业普遍存在开源代码安全质量问题,二是各家缺少针对开源知识产权风险应对措施,三是各家开源代码安全管理体系建设不完善,亟需系统性梳理软件产品开源代码漏洞、许可证、管理能力,做好紧急预案,以降低开源安全风险。

中国信通院郭雪对《网络安全技术软件产品开源代码安全评价方法》进行首次正式解读。郭主任指出,在开源赋能数字经济高质量发展同时,安全问题受到各国高度重视,在此背景下,中国信通院承接由中央网信办下发的开源安全国标需求,并成功发布国内首个开源安全标准,标准评价参数体系由开源代码来源、开源代码安全质量、开源代码知识产权、开源代码管理四个方面的两级参数构成,涵盖可控性、安全性、合规性、稳定性四大原则,提供了软件产品中的开源代码成分安全评价要素和评价流程。

中国信通院李晓明介绍了《网络安全技术软件产品开源代码安全评价方法》的测试方法和行业洞察,李晓明指出:国标测试方法由访谈、检查和检测三种手段结合完成,通过前期试点效果来看,国标符合性测试可帮助企业摸清开源安全风险现状,为提高企业开源安全治理水平提供指引。同时她还提出中国信通院下一步围绕开源安全国标,将为金融、汽车、运营商、能源、软件、云服务等重点行业企业提供涵盖培训、咨询、诊断、数据、评估和保险的全套筑源计划,帮助企业整体提升开源安全风险防范意识和水平。

会议邀请开源安全界专家进行企业开源安全风险经验分享,邀请中国农业银行研发中心架构管理办公室专家、主任架构师赖强介绍《开源安全治理经验分享》;奇安信科技集团股份有限公司高级产品经理童小刚分享《软件供应链安全实践》,展示企业最新开源安全落地实践。

会议最后全体成员就开源安全风险与问题进行集中讨论,中信银行、农业银行、民生银行、光大银行、一汽红旗、天翼安全对国标适用范围、国标测试实施细节、企业开源安全治理步骤和措施进行了详细讨论,会议成果充分。

在未来的工作中,中国信通院将围绕开源安全国家标准,分批次开展国标符合性测试工作,并推出“中国信通院开源安全筑源计划”,为金融、汽车、运营商、能源、软件、云服务等重点行业企业提供涵盖培训、咨询、诊断、数据、评估和保险的全套服务,助力解决产业痛点问题,推进我国开源安全生态体系建设,为繁荣我国开源安全产业贡献力量。