|
建议项目名称
(中文)
|
开源软件治理能力评价方法 第4部分:面向开源解决方案
|
建议项目名称
(英文)
|
Part 4 of Open source software governance capability evaluation method : open source business solutions
|
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
|
ICS分类号
|
35.240
|
中国标准分类号
|
L67
|
|
牵头单位
|
中国信息通信研究院
|
体系编号
|
S-99
|
|
参与单位
|
中兴通讯股份有限公司,北京小米移动软件有限公司,北京百度网讯科技有限公司,华为技术有限公司,深圳市腾讯计算机系统有限公司
|
完成周期(月)
|
24
|
|
目的、意义
或必要性
|
随着近些年开源技术的广泛应用,开源技术已经成为云计算、大数据、人工智能、区块链等新兴领域的主流技术,众多软件开发企业和云服务商引入开源进行二次开发并提供产品和云服务给下游用户,基于开源商业解决方案中存在开源安全漏洞风险、开源许可证兼容性冲突、开源软件版本未收敛等问题,如何规避开源风险成为企业关注的焦点。
为解决上述问题,建议制定《开源软件治理能力评价方法 第4部分:面向开源解决方案》,其目的是为了帮助软件开发企业和云服务商在供应过程中开展开源商业解决方案风险治理,降低开源带来的风险问题,享受开源带来的便利,构建一个良好和健康的开源生态。该标准带来的实际意义有:
1、 通过本标准,明确基于开源的商业解决方案应该开展的开源治理指标,从而帮助此类产品规范和提高开源治理能力,规避交付物中的开源风险。
2、 通过本标准,为下游用户企业和个人提供选型参考,帮助此类企业和用户提高采购速度。
|
|
范围和主要
技术内容
|
本标准对基于开源的商业解决方案风险治理指标项和治理程度进行了规范,包括需要考虑的开源风险要素和开源风险判断流程。
本标准适用于基于开源的商业解决方案。
主要技术内容包括:
1、 开源成分判断
2、 加密算法识别与治理
3、 开源组件链接方式识别
4、 开源组件许可证兼容性识别与治理
5、 开源组件许可证传染性识别与治理
6、 开源组件依赖方式识别与治理
7、 开源组件漏洞等级识别与治理
|
|
国内外情况
简要说明
|
对《开源供应链风险管理框架 第1部分:面向软件提供商和云服务商》中的开源交付物进行风险指标量化和细化。
|
|
备注
|
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|