备受业界关注的《网络安全技术 软件产品开源代码安全评价方法》国家标准宣贯会在北京隆重召开,并取得了圆满成功。本次会议由国家相关标准化技术委员会联合多家权威机构共同主办,吸引了来自全国各地的网络安全专家、软件企业代表、开源社区负责人、高校学者及政府监管部门代表等数百人参会,共同就国家标准的深入实施与网络信息安全软件开发的未来发展进行了深入研讨与交流。
随着信息技术的飞速发展,开源软件已成为现代软件开发的基石,广泛应用于操作系统、数据库、中间件乃至各类应用软件中。开源代码在带来高效、灵活和低成本优势的其引入的安全漏洞、许可证合规风险以及供应链安全问题也日益凸显,对关键信息基础设施和各类数字化业务构成了严峻挑战。在此背景下,制定并推广一套科学、统一、可操作的软件产品开源代码安全评价方法国家标准,对于提升我国软件产业整体安全水平、保障网络空间安全具有重大而深远的意义。
本次宣贯会核心围绕《网络安全技术 软件产品开源代码安全评价方法》国家标准(以下简称“标准”)的详细内容、制定背景、技术要点及实施指南展开。标准系统性地规定了软件产品中开源代码的安全评价目标、评价模型、评价内容、评价过程以及评价结果表示方法,为软件开发商、第三方测评机构、采购方和监管部门提供了一套完整的技术依据和操作规范。
会议期间,标准的主要起草专家对标准条文进行了权威解读。重点阐释了标准提出的“成分识别、风险分析、安全测评、合规审查”四位一体的评价框架。该框架要求首先全面识别软件产品中所包含的开源组件及其依赖关系,构建准确的软件物料清单(SBOM);进而,结合漏洞数据库、威胁情报等,对识别出的开源组件进行安全漏洞与潜在威胁的风险分析;通过静态分析、动态测试、交互式应用安全测试等多种技术手段进行深入的安全测评;对开源组件的许可证合规性进行严格审查,避免知识产权纠纷。标准强调评价过程的持续性和迭代性,倡导将安全评价融入软件开发生命周期(SDLC)的全过程。
多位与会专家在主题演讲和圆桌论坛中指出,该国家标准的发布与宣贯,标志着我国在开源软件治理领域迈出了关键一步。它不仅有助于引导软件企业建立规范的开源软件引入、使用和维护流程,从源头降低安全风险,还能有效提升软件产品的透明度和可信度,为软件供应链安全保驾护航。对于网络与信息安全软件开发而言,标准提供了明确的安全能力建设方向,推动开发者将安全视为内生属性而非外挂功能,促进安全开发(DevSecOps)理念的落地与实践。
在“网络与信息安全软件开发”专题讨论环节,来自头部安全企业、大型互联网公司及创新型科技公司的技术负责人分享了他们在实践中应用标准预研内容的经验与案例。大家一致认为,标准的实施将促使企业在软件开发早期就充分考虑开源组件的选型安全,建立自动化的开源组件管理与检测平台,并将安全评价结果作为产品发布和迭代决策的重要依据。这不仅能显著提升软件自身的安全性,还能在整个供应链中传递安全信任,形成良性生态。
本次宣贯会还设置了标准应用试点经验分享、测评工具展示及互动答疑等环节,现场气氛热烈,交流充分。与会代表纷纷表示,通过此次会议,对国家标准的技术内涵和实操要求有了更深刻的理解,返回工作岗位后将积极推动标准在本单位、本领域的贯彻落实。
会议最后强调,标准的生命在于实施。下一步,相关主管部门、标准化机构、行业组织及领军企业将协同发力,通过开展系列培训、建设示范案例、完善配套工具、加强国际对接等方式,持续推动标准的广泛落地与应用。也将根据技术发展和产业反馈,对标准进行动态维护与更新,确保其始终具备先进性和适用性。
《网络安全技术 软件产品开源代码安全评价方法》国家标准宣贯会的成功召开,为我国构建更安全、更可靠、更可控的软件供应链奠定了坚实的标准化基础,必将有力助推我国网络与信息安全软件开发迈向高质量、高标准发展的新阶段,为筑牢国家网络空间安全屏障贡献关键力量。
