国家标准项目《信息安全技术 软件产品开源代码安全评价方法》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息通信研究院 、蚂蚁科技集团股份有限公司 、华为技术有限公司 、中兴通讯股份有限公司 、深圳市腾讯计算机系统有限公司 、奇安信网神信息技术（北京）股份有限公司 、杭州默安科技有限公司 、深圳开源互联网安全技术有限公司 、中国移动通信集团有限公司 、北京小米移动软件有限公司 、北京京东尚科信息技术有限公司 、北京金山云网络技术有限公司 、北京火山引擎科技有限公司 、北京天融信网络安全技术有限公司 、恒安嘉新（北京）科技股份公司 、启明星辰信息技术集团股份有限公司 、用友网络科技股份有限公司 、杭州安恒信息技术股份有限公司 、成都知道创宇信息技术有限公司 。

本项目针对软件产品开源代码给出安全评价方法，分为代码来源、代码质量、知识产权可控性和产品成熟度四部分，每个部分提取关键安全要素，涉及源组件可控比例、漏洞数量等方面，推动关键信息基础设施运营方落地对开源代码安全管理。代码来源安全评价类通过考察开源组件可控比例、开源软件数量、编码语言、开源软件所属国家及所属组织、代码体积占比、境内代码维护者数量和代码贡献者比例、开源软件丰富度、项目托管地址、项目下载地址9个指标项达到可信度安全原则；代码质量安全评价类主要通过考察漏洞数量、漏洞严重性、漏洞影响范围、漏洞攻击复杂性、新版本更新时间5个指标项达到安全性可控原则；知识产权安全评价类主要通过考察许可证种类、许可证传染型、许可证兼容性、许可证商标权、专利权授予4个指标项达到符合性安全原则；产品成熟度评价类主要通过考察总体架构设计、代码设计、代码生成、项目管理和研制团队背景4个指标项达到可信度、符合性和稳定性安全原则。。 本项目适用于重点行业软件产品中的开源代码安全管控活动，同时也可为第三方机构对于重点行业软件产品开源代码安全能力进行审查和评估时提供依据。