T_JDFA 01-2024 开源软件安全风险评价标准.docx

ICS03.080.01CCSA11

团体标准

T/JDFA01-2024

开源软件安全风险评价标准

Opensourcesoftwaresecurityriskassessmentstandards

2024-9-10发布2024-9-10实施

江苏省数字金融协会发布

I

T/JDFA01-2024

目次

前言 II

1范围 1

2规范性引用文件 1

3认定评价原则 1

4术语与定义 2

5开源软件安全风险评价流程 3

6风险评估和分类 5

7更新和维护 7

8法律和合规性考虑 12

附录A 14

附录B 16

附录C 18

参考文献 19

II

T/JDFA01-2024

前言

根据中国人民银行等单位联合发布的《关于规范金融业开源技术应用与发展的意见》，标准编制组经广泛调查研究，认真总结实践经验，参考国内外的相关标准，并在广泛征求意见的基础上，制定本标准。

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本标准由中国人民银行江苏省分行提出。本标准由江苏省数字金融协会归口。

本标准主编单位：中科南京软件技术研究院

本标准参编单位：江苏省软件产品检测中心江苏省知识产权保护中心江苏省专利信息服务中心南京理工大学

南京信息工程大学南京银行

苏商银行

江苏省联合征信有限公司江苏省数字化协会

江苏省生产力促进中心产业大数据与软件开发服务中心联通数字科技有限公司

江苏省国信数字科技有限公司

江苏省软件产业股份有限公司

江苏移动信息系统集成有限公司

中国移动紫金（江苏）创新研究院有限公司南京数字经济科技学会

南京市企业征信服务有限公司南京联合产权（科技）交易所

南京金盾公共安全技术研究院有限公司南京扬子江数字科技发展有限公司

III

T/JDFA01-2024

南京可信数据服务有限公司

南京大数据检测技术有限公司江苏风云科技服务有限公司

金盾检测技术股份有限公司

苏州市软件评测中心有限公司北京中科微澜科技有限公司

南京睿鲸数字科技有限公司

本标准主要起草人员：刘斌、吴敬征、李千目、吴奕、王亚利、刘琦、张晖、吴真炜、徐小锋、任坚斌、王治平、陈俊、何满怀、王品亮、田健、曾飞、张继栋、施琦、王宏图、包岩、孙凯、吴伟、洪刚、胡成亚、施志晖、王玮、陈志军、戴晔、王雷、黄道芹、付蓉、孔桂兰、何平、杨加钰

1

T/JDFA01-2024

开源软件安全风险评价标准

1范围

标准规范了开源软件安全风险评价流程及指标体系等。本标准适用于开源软件的安全风险评价。

2规范性引用文件

下列文件对本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

—《信息安全技术软件产品开源代码安全评价方法（征求意见稿）》

—《软件供应链安全治理实践指南白皮书（2023）》

—《加快开源软件发展三年行动计划（2023-2025年）》—《“十四五”软件和信息技术服务业发展规划》

—《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）

—《关键信息基础设施安全保护条例》—《网络安全审查办法》

—《信息安全技术术语》（GB/T25069-2022）

—《ICT供应链安全风险管理指南》（GB/T36637-2018）—《开源软件安全使用规范》（T/CFAS0001-2019）

3认定评价原则

开源软件安全风险评价应遵循以下原则：

a）全面性：评价过程应该覆盖开源软件的各个方面，包括源代码、依赖关系、社区支持、文档质量等。全面性的评估有助于全面了解软件的安全性。

b）透明性：评价的过程和结果是透明的，能够为利益相关方提供清晰的了解。这包括评估方法、标准、指标的明确说明，以及评估报告的及时发布。

c）实证性：评价应该基于实际的证据和数据，而非仅仅依赖猜测或主观判断。这可以通过对源代码的溯源、漏洞管理工具的使用等手段来实现。

2

T/JDFA01-2024

d）持续性：安全风险评价是一个持续的过程，而不是一次性的活动。

由于软件和威胁环境的不断变化，定期的评估可以及时发现和应对新的安全风险。

e）合规性：评价过程应该符合相关的法规