近日,中国信通院公布首批《信息安全技术 软件产品开源代码安全评价方法》国家标准试点验证结果,麒麟软件银河麒麟桌面操作系统V10(SP1)2203作为唯一的国产操作系统产品成为首批入选的8个试点验证产品之一。
近年来,软件成为社会基本运转组件的同时,开源代码安全事件频发,对于软件产品稳定运行、用户数据保护乃至国家安全造成重大威胁,软件产品中开源代码安全受到业内高度重视。开源代码安全直接关系着软件产品安全。当前企业开源代码安全管理机制不完善,面临软件组成不清晰、供应不稳定、产品不可用等风险。建立开源代码安全标准体系,助力软件产品降低开源代码安全风险势在必行。
据中国信通院报道,在tc260的指导下,中国信息通信研究院牵头立项《信息安全技术 软件产品开源代码安全评价方法》国家标准并持续推进草案编制工作。这一标准从软件产品中开源代码来源、开源代码质量、开源代码知识产权和开源代码管理成熟度四方面进行安全评价,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据,也可为主管监管部门提供参考。同时旨在为加强网络安全和信息化建设贡献力量,营造开源代码安全的网络空间。
软件产品开源代码安全评价方法体系框架图
为提高标准落地实施性,对标准内容进行持续完善,中国信通院牵头组织首批《信息安全技术 软件产品开源代码安全评价方法》国标试点验证工作,经过验证准备和报名、技术测试、材料审查、测试报告生成、专家评审等诸多阶段,共有8家企业的8款产品/能力完成了本次国标试点验证。
首批软件产品开源代码安全试点验证名单
构建安全可信的开源操作系统是我国网络空间安全发展的必然要求。近年来,国产操作系统厂商积极打造国内操作系统根社区,努力建设我国自主开源供应链体系,把握创新发展的主动权。未来,以麒麟软件为代表的国产操作系统厂商将继续与中国信通院等科研机构携手,在国标建设、产品研发等领域持续发力,为我国信息化建设打造安全可信的操作系统产品。