開源軟件安全風(fēng)險評價（征求意見稿）

1—《信息安全技術(shù)軟件產(chǎn)品開源代碼安全評價方a）全面性：評價過程應(yīng)該覆蓋開源軟件的各個方面，包括源代碼、依b）透明性：評價的過程和結(jié)果是透明的，能夠為利益相關(guān)方提供清晰c）實證性：評價應(yīng)該基于實際的證據(jù)和數(shù)據(jù)，而非僅僅依賴猜測或主觀判斷。這可以通過對源代碼的溯源、漏洞管理工2d）持續(xù)性：安全風(fēng)險評價是一個持續(xù)的過程，而不是一次性的活動。e）合規(guī)性：評價過程應(yīng)該符合相關(guān)的法規(guī)和標(biāo)準(zhǔn)，例如開源軟件的許f）用戶中心：評價以最終用戶的安全利益為中心，考慮他們的使用場開源軟件安全風(fēng)險評價OpenSo3事件了解已解決的問題數(shù)量和速度，以判斷維4使用的工具、攻擊技術(shù)等。分析開源軟件是否與已知的APT攻擊有關(guān)，了解軟件是否容易受到特定威脅。獲取其最新的APT攻擊情報，包括攻擊模式、使用APT攻擊相關(guān)情報，形成更全面的數(shù)據(jù)集。通過將外部提供的APT攻擊工具映射到開源軟件的使用情況，深入了解軟件是否使用了與已知APT攻擊相關(guān)的工具。對已知APT攻擊中常見的攻擊技術(shù)進(jìn)行分析，驗證開源軟件是否易受到這5a)收集大型開放安全漏洞庫、開源社區(qū)安全公告、威脅情報等開源軟件b)對收集到的漏洞進(jìn)行威脅分析，包括攻擊方式、危害程度a)使用基于圖匹配的代碼標(biāo)準(zhǔn)合規(guī)檢測方法對開源軟件的許可證進(jìn)行檢6b)確保許可證符合組織內(nèi)部政策和法c)使用代碼審查工具檢測代碼中是否存在a)使用大規(guī)模數(shù)據(jù)庫和文本分類算法獲b)構(gòu)建精確到條款的開源項目許可證沖突列c)分析開源軟件所使用的許可證，輸出準(zhǔn)確、清晰的許可證使用與條款d)評估開源軟件是否符合公司或項目a)評估開源軟件項目的活躍度，包括最近的b)分析開源社區(qū)的健康狀況，包括社區(qū)規(guī)模、反饋響應(yīng)速度c)分析開源項目的問題跟蹤系統(tǒng)，了解已b)分析開源軟件是否與已知的APT攻7d)聯(lián)系維護(hù)團(tuán)隊：向開源項目的維護(hù)團(tuán)隊報告漏洞，提供詳細(xì)的漏洞b)根據(jù)評估結(jié)果，計算每個因素的得8b)驗證數(shù)字簽名：在確認(rèn)軟件版本時，通過驗證官方發(fā)布的數(shù)字簽名公鑰，例如通過HTTPS訪問項目網(wǎng)站、使用PGP密鑰服務(wù)器等。使用專業(yè)的簽名驗證工具，如GnuPG（GNUPrivacyGuard）或類a)下載來源驗證：對于所有對開源軟件的獲取過程，確保從官方來源b)使用安全通信協(xié)議：在下載、更新或修改軟件的過程中，使用安全對于使用鏡像站點的情況，驗證這些站點是否同樣通過HTTPS提9保其不會篡改或劫持下載的軟件。定期檢查用于加密通信的a)全面變更分析：在進(jìn)行任何繼承系統(tǒng)變更之前，進(jìn)行全面的軟件安b)安全評審流程：制定吸引人的安全評審流程，確保所有變更計劃均測試人員等。確保評審團(tuán)隊具備全面的技術(shù)知識和經(jīng)驗，能夠全面可能影響等方面的信息。召開定期的評審會議，確保所有關(guān)鍵人員的效率和全面性。這包括對代碼的靜態(tài)分析、依賴掃描、漏洞檢測建立反饋機(jī)制，確保評審結(jié)果能夠及時傳達(dá)給開發(fā)團(tuán)隊，以便及時b)應(yīng)對安全威脅和技術(shù)變化的更新計劃：建立技術(shù)監(jiān)測團(tuán)隊，定期追c)安全補丁的及時應(yīng)用：制定安全補丁測試流程，確保在應(yīng)用補丁之a(chǎn))快速響應(yīng)團(tuán)隊成立：設(shè)立專門的漏洞響應(yīng)團(tuán)隊，確保漏洞的快速確b)漏洞確認(rèn)：利用自動化工具和實時監(jiān)測系統(tǒng)迅速檢測潛在漏洞，對c)漏洞修復(fù)測試：在應(yīng)用修復(fù)之前，進(jìn)行充分的漏洞修復(fù)測試，以確a)跟蹤行業(yè)和技術(shù)的變化，定期進(jìn)行深入的行業(yè)趨勢研究，包括新技b)制定技術(shù)升級計劃：根據(jù)評估結(jié)果，制定系統(tǒng)中開源軟件的技術(shù)升a)建立監(jiān)控機(jī)制：建立監(jiān)控系統(tǒng)，監(jiān)測安全計劃的執(zhí)行，包括安全補b)問題追蹤與修訂：在監(jiān)控過程中發(fā)現(xiàn)的問題及時納入修訂計劃，確1.業(yè)務(wù)依賴性：考慮開源軟件在業(yè)務(wù)運作中的關(guān)鍵程度，以確定其對3.對業(yè)務(wù)流程的貢獻(xiàn)：分析開源軟件對業(yè)務(wù)流程的貢獻(xiàn)，確保其能夠1.敏感數(shù)據(jù)和隱私保護(hù)：考慮開源軟件在處理敏感數(shù)據(jù)時的安全2.業(yè)務(wù)中斷和數(shù)據(jù)泄露風(fēng)險：評估開源軟件的漏洞可能導(dǎo)致的業(yè)務(wù)中3.合規(guī)性風(fēng)險：分析開源軟件在滿足法規(guī)和合規(guī)性方面的能力，強調(diào)2.知識產(chǎn)權(quán)合規(guī)性：評估開源軟件的知識產(chǎn)權(quán)合規(guī)性，確保使用的開1.隱私保護(hù)策略：制定和實施嚴(yán)格的隱私保護(hù)策略，包括用戶數(shù)據(jù)的2.定期合規(guī)性審查：定期進(jìn)行開源軟件合規(guī)性審查，確保其滿足最新3.法務(wù)咨詢與合同管理：與法務(wù)團(tuán)隊合作，確保使用開源軟件的合同4.持續(xù)監(jiān)測與響應(yīng)：建立持續(xù)監(jiān)測機(jī)制，及時應(yīng)對新出現(xiàn)的法規(guī)和合5.教育培訓(xùn)：對開發(fā)人員和相關(guān)團(tuán)隊進(jìn)行法規(guī)和合規(guī)性培訓(xùn)，提高對（規(guī)范性附錄）開源軟件安全風(fēng)險評價指標(biāo)體系權(quán)重評分表一級指標(biāo)二級指標(biāo)權(quán)重x50%權(quán)重x100%權(quán)重評價標(biāo)準(zhǔn)安全漏洞分析漏洞信息收集0.10.2信息收集及時、全面，有助于風(fēng)險預(yù)防。威脅分析0.150.3對攻擊方式和危害程度的準(zhǔn)確評估。影響范圍分析0.10.2對漏洞潛在影響的評估是否全面。漏洞嚴(yán)重性判定0.150.3建立漏洞等級體系，判定嚴(yán)重性。代碼合規(guī)性檢測許可證檢查0.10.2對許可證合規(guī)性的全面檢許可證符合政策和法規(guī)0.10.2許可證符合內(nèi)部政策和法規(guī)。代碼審查和合規(guī)性報告0.150.3通過代碼審查工具檢測違規(guī)部分。形成詳細(xì)的合規(guī)性報告0.150.3提供詳細(xì)的違規(guī)部分信息。開源許可證合規(guī)性分析許可證信息獲取0.10.2通過數(shù)據(jù)庫和算法獲取許可證信息。許可證合規(guī)性檢測0.10.2分析許可證使用與條款級沖突檢測。準(zhǔn)確輸出沖突檢測結(jié)果0.150.3輸出精確、清晰的檢測結(jié)果。評估合規(guī)性標(biāo)準(zhǔn)0.150.3評估軟件是否符合公司或項軟件可維護(hù)性分析活躍度評估0.10.2評估開源軟件項目的活躍度。健康狀況分析0.10.2分析開源社區(qū)的規(guī)模和響應(yīng)速度。問題跟蹤分析0.150.3了解已解決問題的數(shù)量和速度。維護(hù)團(tuán)隊響應(yīng)效率0.150.3判斷維護(hù)團(tuán)隊對問題的響應(yīng)效率。PoC判定攻擊方式分析0.10.2分析攻擊者如何利用漏洞進(jìn)行攻擊。危害程度評估0.150.3評估漏洞的潛在危害程度。公開PoC檢查0.10.2判斷PoC是否公開，是否存在防護(hù)措施。APT攻擊跟蹤情報收集0.10.2收集關(guān)于高級持續(xù)威脅的情報。軟件關(guān)聯(lián)APT攻擊0.10.2分析軟件是否與已知的APT攻擊有關(guān)。軟件易受威脅分析0.150.3了解軟件是否容易受到特定威脅。APT攻擊跟蹤報告0.150.3提供防范建議的APT攻擊跟蹤報告。（規(guī)范性附錄）開源軟件安全風(fēng)險評價相關(guān)指標(biāo)的計算方法危害程度總分其中，vi表示軟件的第i個漏洞危險等級，wi表示第i個漏洞的危害程度權(quán)活躍度得分反映了項目的最近更新頻率和提交者活動。活躍度得分計算公式其中RUC表示最近一個固定時間段內(nèi)的項目更新次數(shù)；TPD表示項目的總）；維護(hù)團(tuán)隊響應(yīng)效率得分反映了維護(hù)團(tuán)隊對問題的響應(yīng)速度。具體的計算方式其中IRT表示在規(guī)定時間內(nèi)得到響應(yīng)的問題數(shù)量；TIR是總問題數(shù)量；RTE在開源軟件安全風(fēng)險評估中，設(shè)安全風(fēng)險得分為sr，則基于相關(guān)六個維度定N是六個維度的總數(shù)；wi是第i個維度的權(quán)重；pi,impact是第i個維度影響評（規(guī)范性附錄）相關(guān)國家標(biāo)準(zhǔn)及指南123456（資料性附錄）開源軟件安全風(fēng)險評估流程示例d.安全數(shù)據(jù)：包括安全事件、漏洞信息注：開源軟件的監(jiān)測數(shù)據(jù)和預(yù)測數(shù)據(jù)可能因具體的應(yīng)用場景和用途而有所不對于金融軟件，選擇安全漏洞分析、代碼合規(guī)性檢測、開源許可證合規(guī)性分a)使用基于圖匹配的代碼標(biāo)準(zhǔn)合規(guī)檢測方法對開源軟件的開源許可證合規(guī)a)使用大規(guī)模數(shù)據(jù)庫和文本分類算法獲取不同許可證的條軟件可維護(hù)性分析a)使用大規(guī)模數(shù)據(jù)庫和文本分類算法獲取不同許可證的條金融行業(yè)開源軟件測評過程中對評估屬性和測評指標(biāo)進(jìn)行分級定義和分級運一級評估屬性的權(quán)重反映了金融機(jī)構(gòu)對開源軟件的關(guān)注重點，金融機(jī)構(gòu)重點對于評估指標(biāo)的評估要求，逐一評估是否通過要求，計算得到每個評估指標(biāo)評估指標(biāo)評估要求評估結(jié)果指標(biāo)通過率安全漏洞分析漏洞信息收集通過威脅分析通過影響范圍分析通過漏洞嚴(yán)重性判定通過代碼合規(guī)性檢測許可證檢查通過50%許可證符合政策和法規(guī)通過代碼審查和合規(guī)性報告不通過形成詳細(xì)的合規(guī)性報告不通過開源許可證合規(guī)性分析許可證信息獲取通過許可證合規(guī)性檢測通過準(zhǔn)確輸出沖突檢測結(jié)果通過評估合規(guī)性標(biāo)準(zhǔn)通過軟件可維護(hù)性分析活躍度評估通過75%健康狀況分析通過問題跟蹤分析通過維護(hù)團(tuán)隊響應(yīng)效率不通過金融軟件的測評結(jié)果由第一階段計算得到的指標(biāo)通過率得分乘以相應(yīng)的權(quán)重后相加得出，即Tj表示第j項評估指標(biāo)的評估值；