国家标准计划《信息安全技术 软件产品开源代码安全评价方法》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息通信研究院 、蚂蚁科技集团股份有限公司 、华为技术有限公司 、中兴通讯股份有限公司 、深圳市腾讯计算机系统有限公司 、奇安信网神信息技术（北京）股份有限公司 、杭州默安科技有限公司 、深圳开源互联网安全技术有限公司 、中国移动通信集团有限公司 、北京小米移动软件有限公司 、北京京东尚科信息技术有限公司 、北京金山云网络技术有限公司 、北京火山引擎科技有限公司 、北京天融信网络安全技术有限公司 、恒安嘉新（北京）科技股份公司 、启明星辰信息技术集团股份有限公司 、用友网络科技股份有限公司 、杭州安恒信息技术股份有限公司 、成都知道创宇信息技术有限公司 。

当前开源软件应用广泛，超过90%的企业信息系统中涉及开源软件。

与此同时开源安全问题凸显，开源软件自身存在的安全隐患被黑客利用攻击导致一些列安全事件，Log4j等开源软件暴露的安全问题极大程度影响信息系统正常稳定运行。

市场亟需标准化的软件产品开源代码安全评价方法。

本标准针对软件产品开源代码提出安全评价要素，给出开源软件安全指引，降低开源使用的安全风险，拟解决开源软件安全风险传播性强、防控性弱、应对性差等问题。

当前国内外针对开源软件安全尚未形成标准，本标准将有效推动开源生态健康发展。

本标准在制定和应用过程中，一是明确开源软件安全度量方法，针对使用广泛的开源软件给出安全等级划分；二是明确开源软件安全要求，覆盖代码来源、代码质量、知识产权可控性和产品成熟度四方面，有效指导重点行业软件产品，进而带动提升开源代码安全性；三是从安全角度给出重点行业软件产品开源代码选型指引；四是进一步提升应用开源信息系统的安全性。

本项目针对软件产品开源代码给出安全评价方法，分为代码来源、代码质量、知识产权可控性和产品成熟度四部分，每个部分提取关键安全要素，涉及源组件可控比例、漏洞数量等方面，推动关键信息基础设施运营方落地对开源代码安全管理。代码来源安全评价类通过考察开源组件可控比例、开源软件数量、编码语言、开源软件所属国家及所属组织、代码体积占比、境内代码维护者数量和代码贡献者比例、开源软件丰富度、项目托管地址、项目下载地址9个指标项达到可信度安全原则；代码质量安全评价类主要通过考察漏洞数量、漏洞严重性、漏洞影响范围、漏洞攻击复杂性、新版本更新时间5个指标项达到安全性可控原则；知识产权安全评价类主要通过考察许可证种类、许可证传染型、许可证兼容性、许可证商标权、专利权授予4个指标项达到符合性安全原则；产品成熟度评价类主要通过考察总体架构设计、代码设计、代码生成、项目管理和研制团队背景4个指标项达到可信度、符合性和稳定性安全原则。。 本项目适用于重点行业软件产品中的开源代码安全管控活动，同时也可为第三方机构对于重点行业软件产品开源代码安全能力进行审查和评估时提供依据。