近年来，软件成为社会基本运转组件的同时，开源代码安全事件频发，对于软件产品稳定运行、用户数据保护乃至国家安全造成重大威胁，软件产品中开源代码安全受到业内高度重视。开源代码安全直接关系着软件产品安全。当前企业开源代码安全管理机制不完善，面临软件组成不清晰、供应不稳定、产品不可用等风险。建立开源代码安全标准体系，助力软件产品降低开源代码安全风险势在必行。

在此背景下，中国信息通信研究院（以下简称“中国信通院”）在全国信息安全标准化技术委员会牵头立项《信息安全技术 软件产品开源代码安全评价方法》国家标准并持续推进草案编制工作。本标准从软件产品中开源代码来源、开源代码质量、开源代码知识产权和开源代码管理成熟度四方面进行安全评价，为各单位对于自身软件产品开源代码安全性自评价提供参考，为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据，也可为主管监管部门提供参考。同时旨在为加强网络安全和信息化建设贡献力量，营造开源代码安全的网络空间。

软件产品开源代码安全评价方法体系框架图

为提高标准落地实施性，对标准内容进行持续完善，中国信通院牵头组织首批《信息安全技术 软件产品开源代码安全评价方法》国标试点验证工作，经过验证准备和报名、技术测试、材料审查、测试报告生成、专家评审等诸多阶段，共有8家企业的8款产品/能力完成了本次国标试点验证。

首批软件产品开源代码安全试点验证名单

后续，中国信通院将持续对相关单位进行软件产品开源代码安全国标试点验证工作，欢迎有意向参与的单位报名。