《網路安全技術 軟體産品開源代碼安全評價方法》國家標準宣貫會圓滿召開！

2024年5月30日,由中國資訊通信研究院(簡稱“中國信通院”)舉辦的《網路安全技術軟體産品開源代碼安全評價方法》首次國家標準宣貫會在北京順利舉辦。

會議首次對發佈後的開源安全國標內容進行解讀,同時對測試方法和試點觀察進行詳細介紹。

“開源安全國標宣貫”系列活動是今年中國信通院推廣標準宣貫和應用的一項重要舉措,旨在促進開源安全國家標準在各行業、各地方的實施落地,為各行業用戶開源安全治理提供有效指引。活動共有來自金融、交通運輸、能源、通信、科技公司、安全廠商等領域在內的中國工商銀行股份有限公司軟體開發中心、中國農業銀行股份有限公司、中國銀行股份有限公司、中國銀行股份有限公司、中國郵政儲蓄銀行有限責任公司、中國郵政儲蓄銀行軟體研發中心、中信銀行股份有限公司、中國民生銀行股份有限公司、中國光大銀行股份有限公司、上海銀行股份有限公司、上海農村商業銀行股份有限公司、信達證券股份有限公司、陽光保險集團股份有限公司、北銀金融科技有限責任公司、北京銀行股份有限公司、國家能源集團、中國第一汽車集團有限公司、吉利汽車集團有限公司、山東浪潮科學研究院有限公司、中國鐵道科學研究院集團有限公司、天翼安全科技有限公司、中國鐵塔股份有限公司、北京紅旗軟體有限公司、北京東方通科技股份有限公司、京東科技集團、奇安信科技集團股份有限公司、中國汽車工程研究院股份有限公司等25家企業40余位代表。

(圖會議全景圖)

2022年10月,中國信通院成功牽頭立項首個開源安全國家標準《網路安全技術軟體産品開源代碼安全評價方法》,2024年4月,經國家市場監督管理總局批准,國家標準正式發佈。在標準制定的過程中,匯集來自金融、能源、汽車、網際網路、運營商、軟體、安全廠商等諸多領域專家的智慧與經驗,為標準建設奠定了堅實的基礎。

(圖 GB/T 43848-2024《網路安全技術軟體産品開源代碼安全評價方法》)

中國信通院栗蔚發表致辭。栗蔚副所長指出受調研企業存在複雜的開源安全風險:一是各企業普遍存在開源代碼安全品質問題,二是各家缺少針對開源智慧財産權風險應對措施,三是各家開源代碼安全管理體系建設不完善,亟需系統性梳理軟體産品開源代碼漏洞、許可證、管理能力,做好緊急預案,以降低開源安全風險。

中國信通院郭雪對《網路安全技術軟體産品開源代碼安全評價方法》進行首次正式解讀。郭主任指出,在開源賦能數字經濟高品質發展同時,安全問題受到各國高度重視,在此背景下,中國信通院承接由中央網信辦下發的開源安全國標需求,並成功發佈國內首個開源安全標準,標準評價參數體系由開源代碼來源、開源代碼安全品質、開源代碼智慧財産權、開源代碼管理四個方面的兩級參數構成,涵蓋可控性、安全性、合規性、穩定性四大原則,提供了軟體産品中的開源代碼成分安全評價要素和評價流程。

中國信通院李曉明介紹了《網路安全技術軟體産品開源代碼安全評價方法》的測試方法和行業洞察,李曉明指出:國標測試方法由訪談、檢查和檢測三種手段結合完成,通過前期試點效果來看,國標符合性測試可幫助企業摸清開源安全風險現狀,為提高企業開源安全治理水準提供指引。同時她還提出中國信通院下一步圍繞開源安全國標,將為金融、汽車、運營商、能源、軟體、雲服務等重點行業企業提供涵蓋培訓、諮詢、診斷、數據、評估和保險的全套築源計劃,幫助企業整體提升開源安全風險防範意識和水準。

會議邀請開源安全界專家進行企業開源安全風險經驗分享,邀請中國農業銀行研發中心架構管理辦公室專家、主任架構師賴強介紹《開源安全治理經驗分享》;奇安信科技集團股份有限公司高級産品經理童小剛分享《軟體供應鏈安全實踐》,展示企業最新開源安全落地實踐。

會議最後全體成員就開源安全風險與問題進行集中討論,中信銀行、農業銀行、民生銀行、光大銀行、一汽紅旗、天翼安全對國標適用範圍、國標測試實施細節、企業開源安全治理步驟和措施進行了詳細討論,會議成果充分。

在未來的工作中,中國信通院將圍繞開源安全國家標準,分批次開展國標符合性測試工作,並推出“中國信通院開源安全築源計劃”,為金融、汽車、運營商、能源、軟體、雲服務等重點行業企業提供涵蓋培訓、諮詢、診斷、數據、評估和保險的全套服務,助力解決産業痛點問題,推進我國開源安全生態體系建設,為繁榮我國開源安全産業貢獻力量。