|
建议项目名称
(中文)
|
开源软件治理能力评价方法 第5部分:治理工具和平台
|
建议项目名称
(英文)
|
Open source software governance capability assessment criteria--Part 5:Governance tool and platform
|
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
|
ICS分类号
|
35.240
|
中国标准分类号
|
L67
|
|
牵头单位
|
中国信息通信研究院
|
体系编号
|
S-99
|
|
参与单位
|
中兴通讯股份有限公司,华为技术有限公司,腾讯云计算(北京)有限责任公司,北京安普诺信息技术有限公司
|
完成周期(月)
|
24
|
|
目的、意义
或必要性
|
近几年开源技术快速发展,企业已经在内部大量使用开源软件,但是用户引入开源软件的同时也面临着巨大的风险,包括:缺乏统一的管理架构与制度规范导致大量的开源软件难以监控管理;企业内部针对开源软件运维成本巨大;开源软件的漏洞和缺陷威胁系统安全运行;开源软件知识产权风险影响企业实际业务等。为了解决以上问题,企业内部构建科学有效的开源治理体系具有重要意义。
开源治理初期关键的动作是梳理开源软件,初期可以使用表单手工上报的方式进行开源软件清单梳理,但随着企业引入开源软件的数量剧增,并且软件存在层层依赖问题,仅靠手工形式很难准确掌握开源软件信息变化。在此背景下,企业对于自动化开源治理平台的需求逐渐产生,通过借助专业工具推动开源治理专业化发展。
本标准旨在帮助企业构建从开源软件引入、使用、维护到退出的全生命周期治理平台.可以掌握开源软件许可证变更、安全漏洞、软件闭源、停服等变化情况,及时识别开源软件风险、持续跟踪开源前沿技术、共享开源发展动态信息,实现企业开源常态化管理,提升开源软件应用质量与效率。
本标准带来的实际意义有:1、通过本标准,明确开源软件治理平台应该具备的通用能力,从而帮助此类平台建设者规范和提高产品质量,使平台更适应当前的开源治理需求。2、通过本标准,为有意向采购开源治理平台的企业和个人提供选型参考依据
|
|
范围和主要
技术内容
|
本标准规定了开源治理平台的能力要求,包括软件资产可视化和台账管理要求,漏洞自检与预警能力要求,漏洞态势感知能力要求,法律合规检测能力要求,开放接口能力要求,平台与研发运维流程集成能力要求。
本标准适用于开源治理平台规范自身产品能力,同时适用于开源用户做平台选型。
主要技术内容包括:
1、 软件资产可视化和台账管理要求
2、 漏洞自检与预警能力要求
3、 漏洞态势感知能力要求
4、 法律合规检测能力要求
5、 开放接口能力要求
6、 平台与研发运维流程集成能力要求
|
|
国内外情况
简要说明
|
无
|
|
备注
|
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|