目前企业使用开源软件构建产品成为主流趋势,开源供应链中的开源合规治理至关重要,未按照开源许可证条款使用开源软件可造成侵权和被迫开源的风险,开源软件中的开源漏洞问题屡屡出现,如何构建开源供应链风险管理成为众多产品企业的痛点问题。
中国信息通信研究院(以下简称“中国信通院”)2015年起开始研究可信开源治理标准体系,中国信通院云计算与大数据研究所牵头制定了行业标准《开源供应链风险管理框架》,对企业从引入开源到最终交付的全流程开源风险管理提出规范要求。中国信通院、工商银行、浦发银行、光大银行、宁波银行、腾讯、小米、华胜天成、普元信息、网神信息、中兴、华云数据、金山云、悬镜安全、甲骨文、思特沃克、宝兰德、棱镜七彩、安恒信息、烽火等企业和组织的相关负责人参与了前期标准讨论。
《开源供应链风险管理框架》相关信息
中国信通院与OpanChain达成合作协议
日前,中国信通院成为Linux基金会下OpenChain项目国内首家第三方测评机构。即日起通过中国信通院可信开源供应链评估的企业将获得同时满足《开源供应链风险管理框架》行业标准和OpenChain《ISO/IEC 5230:2020 Information technology — OpenChain Specification》标准并由中国信通院提供证书和测试报告。
《开源供应链风险管理框架》与OpenChain规范书标准对标
中国信通院牵头制定的行业标准《开源供应链风险管理框架》与OpenChain规范书《ISO/IEC 5230:2020 Information technology — OpenChain Specification》中的要求一致,以下是详细内容:
《开源供应链风险管理框架》与OpenChain规范书标准对照
可信开源供应链评估介绍
开源供应链风险管理能力考察软件提供商供应过程对产品代码来源风险管控能力。对象为涉及开源引入的软件提供商和云服务商,此评估针对产品不同代码来源提出对应的开源风险管控能力要求,包括开源直接引入、开源外包引入和开源商业解决方案引入三种形式,同时考察软件提供商建立的组织机构和规章制度,也对软件提供商提供给下游用户的产品交付物开源风险管理能力进行评估,帮助企业梳理交付物中的开源代码占比,并对交付物清单中开源组件、开源组件许可证和开源组件安全漏洞进行确认,从而帮助此类企业提高对软件供应过程中的开源风险的管控能力,保障交付物中开源部分的合规和安全。
可信开源供应链评估内容
即日起通过中国信通院可信开源供应链评估可获得可信开源和OpenChain双评估结果。
可信开源供应链评估流程
可信开源供应链前期评估结果(中兴、小米通过评估)
可信开源评估结果全家福
评估联系人:lixiaoming1@caict.ac.cn
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
推荐阅读
