悬镜深度支撑国内首个《开源供应链风险评估体系》标准制定

2020/10/19 18:13
阅读数 165

点击蓝字

关注我们

作为开源领域顶级盛会,2020年OSCAR开源产业大会于2020年10月16日召开,本次大会由中国信息通信研究院主办,云计算标准和开源推进委员会承办,云计算开源产业联盟,金融行业开源技术应用社区支持。大会上正式公布《开源供应链风险评估体系》标准,中国信通院云计算与大数据研究所云计算部副主任郭雪进行深度解读!



《开源供应链风险评估体系》标准由中国信息通信研究院牵头,联合农业银行、浦发银行、工商银行、光大银行、宁波银行、腾讯、小米、华胜天成、普元信息、网神信息、中兴、华云数据、金山云、 悬镜安全、甲骨文、思特沃克、宝兰德、棱镜七彩、安恒信息、烽火等企业和组织专家共同编写。悬镜安全专家与众多行业代表就该标准框架和具体指标曾多次进行深度探讨交流。

《开源供应链风险评估体系》标准五大方面

 

《开源供应链风险评估体系》标准适用于涉及开源软件引入的软件开发企业和云服务商。该标准帮助开发企业和云服务商规范开源软件引入、开发和交付流程和制度、帮助企业降低开源供应链风险。

标准分为八个部分,规定了软件开发企业从开源软件引入到交付的全流程中应该具备的五大能力:开源软件引入管理能力,开源软件开发管理能力,软件外包管理能力,商用解决方案管理能力和软件交付物管理能力。 这是国内首次对软件开发企业的开源安全能力要求进行规范。 



随着开源软件开发模式的流行,开源已成为新兴技术领域的主流技术,对于在软件供应链中如何做到开源合规和开源治理,业内的关注度越来越高。过去几年间,开源供应链风险问题日益凸显,基于开源的商业软件产品可能面临开源违约及安全风险。如何在开源供应链中做到开源合规和开源治理,成为业内最关注的问题之一。


为此,中国信息通信研究院牵头编写国内首个《软件供应链开源风险评估体系》标准,针对软件开发企业从开源软件引入到交付的全流程可能导致的相关风险,提出了相应的能力要求和标准。 



该标准是国内首次对软件开发企业的开源安全能力要求进行规范,为相关组织通过标准化手段推动开源治理规范提供了指导,国内开源生态安全又添一道保障。



推荐阅读

悬镜安全作为头部代表强势上榜《2020年中国网络安全市场全景图》开发安全

09-09 悬镜安全

荣誉|悬镜安全荣获CCIA2020年网络安全解决方案优秀奖

08-26 悬镜安全

本文分享自微信公众号 - 悬镜AI安全(Anpro-tech)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部