（正式版）-B-T 43848-2024 网络安全技术 软件产品开源代码安全评价方法.docxVIP

ICS35.030

CCSL80

中华人民共和国国家标准

GB/T43848—2024

网络安全技术软件产品开源代码安全

评价方法

Cybersecuritytechnology—Evaluationmethodforopensourcecode

securityofsoftwareproducts

2024-04-25发布

2024-11-01实施

国家市场监督管理总局国家标准化管理委员会

发布

I

GB/T43848—2024

目次

前言 Ⅲ

1范围 l

2规范性引用文件 1

3术语和定义 1

4概述 1

5评价要素 2

5.1评价参数 2

5.2开源代码来源 3

5.2.1概述 3

5.2.2开源代码规模与占比 3

5.2.3开源代码编码语言 3

5.2.4开源代码著作权人 3

5.2.5开源代码贡献量 3

5.2.6开源代码丰富度 3

5.2.7开源社区安全管理 3

5.2.8开源代码托管平台 3

5.2.9开源代码下载平台 3

5.3开源代码安全质量 4

5.3.1概述 4

5.3.2开源代码漏洞率 4

5.3.3开源代码漏洞严重性 4

5.3.4开源代码漏洞修复率 4

5.3.5开源代码版本更新情况 4

5.4开源代码知识产权 4

5.4.1概述 4

5.4.2开源许可证遵从度 4

5.4.3开源许可证规范性 4

5.4.4开源许可证互惠性 4

5.4.5开源许可证兼容性 4

5.4.6开源许可证专利情况 4

5.4.7开源许可证适用范围 5

5.5开源代码管理 5

5.5.1概述 5

Ⅱ

GB/T43848—2024

5.5.2开源代码管理团队 5

5.5.3开源代码物料清单 5

5.5.4开源代码设计 5

5.5.5开源代码生成 5

6评价流程 5

6.1概述 5

6.2开源代码来源评价流程 5

6.2.1开源代码规模与占比 5

6.2.2开源代码编码语言 6

6.2.3开源代码著作权人 6

6.2.4开源代码贡献量 6

6.2.5开源代码丰富度 6

6.2.6开源社区安全管理 6

6.2.7开源代码托管平台 6

6.2.8开源代码下载平台 6

6.3开源代码安全质量评价流程 7

6.3.1开源代码漏洞率 7

6.3.2开源代码漏洞严重性 7

6.3.3开源代码漏洞修复率 7

6.3.4开源代码版本更新情况 7

6.4开源代码知识产权评价流程 7

6.4.1开源许可证遵从度 7

6.4.2开源许可证规范性 8

6.4.3开源许可证互惠性 8

6.4.4开源许可证兼容性 8

6.4.5开源许可证专利情况 8

6.4.6开源许可证适用范围 8

6.5开源代码管理评价流程 8

6.5.1开源代码管理团队 8

6.5.2开源代码物料清单 8

6.5.3开源代码设计 8

6.5.4开源代码生成 9

附录A(资料性)开源代码安全风险 10

A.1开源网络安全风险 10

A.2开源知识产权风险 10

A.3开源持续性风险 10

参考文献 11

Ⅲ

GB/T43848—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国网络安全标准化技术委员会(SAC/TC260)提