備受業(yè)界關注的《網(wǎng)絡安全技術 軟件產(chǎn)品開源代碼安全評價方法》國家標準宣貫會在北京隆重召開,并取得了圓滿成功。本次會議由國家相關標準化技術委員會聯(lián)合多家權(quán)威機構(gòu)共同主辦,吸引了來自全國各地的網(wǎng)絡安全專家、軟件企業(yè)代表、開源社區(qū)負責人、高校學者及政府監(jiān)管部門代表等數(shù)百人參會,共同就國家標準的深入實施與網(wǎng)絡信息安全軟件開發(fā)的未來發(fā)展進行了深入研討與交流。
隨著信息技術的飛速發(fā)展,開源軟件已成為現(xiàn)代軟件開發(fā)的基石,廣泛應用于操作系統(tǒng)、數(shù)據(jù)庫、中間件乃至各類應用軟件中。開源代碼在帶來高效、靈活和低成本優(yōu)勢的其引入的安全漏洞、許可證合規(guī)風險以及供應鏈安全問題也日益凸顯,對關鍵信息基礎設施和各類數(shù)字化業(yè)務構(gòu)成了嚴峻挑戰(zhàn)。在此背景下,制定并推廣一套科學、統(tǒng)一、可操作的軟件產(chǎn)品開源代碼安全評價方法國家標準,對于提升我國軟件產(chǎn)業(yè)整體安全水平、保障網(wǎng)絡空間安全具有重大而深遠的意義。
本次宣貫會核心圍繞《網(wǎng)絡安全技術 軟件產(chǎn)品開源代碼安全評價方法》國家標準(以下簡稱“標準”)的詳細內(nèi)容、制定背景、技術要點及實施指南展開。標準系統(tǒng)性地規(guī)定了軟件產(chǎn)品中開源代碼的安全評價目標、評價模型、評價內(nèi)容、評價過程以及評價結(jié)果表示方法,為軟件開發(fā)商、第三方測評機構(gòu)、采購方和監(jiān)管部門提供了一套完整的技術依據(jù)和操作規(guī)范。
會議期間,標準的主要起草專家對標準條文進行了權(quán)威解讀。重點闡釋了標準提出的“成分識別、風險分析、安全測評、合規(guī)審查”四位一體的評價框架。該框架要求首先全面識別軟件產(chǎn)品中所包含的開源組件及其依賴關系,構(gòu)建準確的軟件物料清單(SBOM);進而,結(jié)合漏洞數(shù)據(jù)庫、威脅情報等,對識別出的開源組件進行安全漏洞與潛在威脅的風險分析;通過靜態(tài)分析、動態(tài)測試、交互式應用安全測試等多種技術手段進行深入的安全測評;對開源組件的許可證合規(guī)性進行嚴格審查,避免知識產(chǎn)權(quán)糾紛。標準強調(diào)評價過程的持續(xù)性和迭代性,倡導將安全評價融入軟件開發(fā)生命周期(SDLC)的全過程。
多位與會專家在主題演講和圓桌論壇中指出,該國家標準的發(fā)布與宣貫,標志著我國在開源軟件治理領域邁出了關鍵一步。它不僅有助于引導軟件企業(yè)建立規(guī)范的開源軟件引入、使用和維護流程,從源頭降低安全風險,還能有效提升軟件產(chǎn)品的透明度和可信度,為軟件供應鏈安全保駕護航。對于網(wǎng)絡與信息安全軟件開發(fā)而言,標準提供了明確的安全能力建設方向,推動開發(fā)者將安全視為內(nèi)生屬性而非外掛功能,促進安全開發(fā)(DevSecOps)理念的落地與實踐。
在“網(wǎng)絡與信息安全軟件開發(fā)”專題討論環(huán)節(jié),來自頭部安全企業(yè)、大型互聯(lián)網(wǎng)公司及創(chuàng)新型科技公司的技術負責人分享了他們在實踐中應用標準預研內(nèi)容的經(jīng)驗與案例。大家一致認為,標準的實施將促使企業(yè)在軟件開發(fā)早期就充分考慮開源組件的選型安全,建立自動化的開源組件管理與檢測平臺,并將安全評價結(jié)果作為產(chǎn)品發(fā)布和迭代決策的重要依據(jù)。這不僅能顯著提升軟件自身的安全性,還能在整個供應鏈中傳遞安全信任,形成良性生態(tài)。
本次宣貫會還設置了標準應用試點經(jīng)驗分享、測評工具展示及互動答疑等環(huán)節(jié),現(xiàn)場氣氛熱烈,交流充分。與會代表紛紛表示,通過此次會議,對國家標準的技術內(nèi)涵和實操要求有了更深刻的理解,返回工作崗位后將積極推動標準在本單位、本領域的貫徹落實。
會議最后強調(diào),標準的生命在于實施。下一步,相關主管部門、標準化機構(gòu)、行業(yè)組織及領軍企業(yè)將協(xié)同發(fā)力,通過開展系列培訓、建設示范案例、完善配套工具、加強國際對接等方式,持續(xù)推動標準的廣泛落地與應用。也將根據(jù)技術發(fā)展和產(chǎn)業(yè)反饋,對標準進行動態(tài)維護與更新,確保其始終具備先進性和適用性。
《網(wǎng)絡安全技術 軟件產(chǎn)品開源代碼安全評價方法》國家標準宣貫會的成功召開,為我國構(gòu)建更安全、更可靠、更可控的軟件供應鏈奠定了堅實的標準化基礎,必將有力助推我國網(wǎng)絡與信息安全軟件開發(fā)邁向高質(zhì)量、高標準發(fā)展的新階段,為筑牢國家網(wǎng)絡空間安全屏障貢獻關鍵力量。
