中国信通院可信开源能力评估正式启动
近年来开源技术快速发展,在云计算、大数据、人工智能等领域成为主流。企业在广泛应用开源软件的过程中逐步开始了解开源的风险,进而关注开源的治理。与此同时,市场上涌现了大量开源项目、开源治理方法和配套的开源治理工具。针对水平不一的市场参与者,中国信通院将继续推动开源治理类评估,对开源项目的健康程度、工具厂商的检测能力、企业的治理水平和企业开源供应链风险管理开展测评,以降低开源软件的使用风险,为开源市场的良性发展提供指引。
目前,开源治理类评估依托《开源项目选型参考框架》、《开源软件组成分析平台能力要求》、《开源治理能力评价办法 第1部分:面向自发开源企业》《开源软件治理能力成熟度模型》《开源软件组成分析平台能力要求》《开源供应链风险管理框架 第1部分:面向软件提供商和云服务商》
前期由中国信通院牵头举办了多次专家研讨会,来自农业银行、中国银行、工商银行、浦发银行、上海银行、兴业银行、中信银行、北京银行、光大银行、宁波银行、人保财险、微众银行、平安科技、中兴、腾讯、小米、中国电信、国网经研院、奇安信、新思科技、杰蛙、亚信科技、京东云、金山云、红帽、博云、华胜天成、华云数据、富通云腾、默安科技、悬镜安全、甲骨文、思特沃克、宝兰德、安恒信息、烽火、北大软件中心、棱镜七彩、FOSSID、普元信息、开源之道等企业和组织的专家积极参与讨论,为标准的制定提出了宝贵意见。
为用户提供有效参考
可信开源项目评估启动
可信开源项目评估:评估对象为社区版的开源项目。重点考察开源项目在许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容性六个方面的能力,全面衡量社区版开源项目的健康程度,为开源项目使用方提供选型的参考依据。
此前通过评估的项目有:Apache APISIX、Apache Pulsar、Apache Kylin、腾讯蓝盾平台BK-CI、TARS、Apache ShardingSphere
成熟度模型升级
企业开源治理能力评估持续深化
面向用户企业:评估对象为使用开源软件的企业用户。开源软件在企业中广泛使用的同时也从安全和合规角度对企业的开源治理能力提出了更高的要求。针对开源用户在使用开源软件时面临的风险,重点考察企业在组织机制、管理制度、风险管理、软件测评选型、技术使用管理、技术运维管理、定期健康评估和软件退出管理等方面的能力。根据企业开源治理水平实际所处的不同阶段,将划分为基础级、增强级和先进级。
此前通过评估的企业有:中国农业银行股份有限公司、上海浦东发展银行股份有限公司、中国太平洋保险(集团)股份有限公司、中信银行股份有限公司
面向自发开源企业:评估对象为发起开源项目的企业。重点考察企业在开源治理组织架构、开源项目管理制度、开源工具平台建设、开源项目申请、开源项目审批、开源项目发布、开源项目运行维护、开源社区管理、开源项目关闭九个方面的规范性。
此前通过评估的企业有:腾讯科技(深圳)有限公司
覆盖多种应用场景
可信开源治理工具评估启动
可信开源治理工具能力评估:适用于具有开源组成和安全性分析功能的开源组件扫描工具(SaaS版本,本地部署版本)对其基本能力,技术支持能力,易用性,部署能力,安全性,兼容性进行评估,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考。
此前通过评估的工具有:Synopsys BlackDuck、奇安信开源卫士、Jfrog X-Ray、棱镜七彩FossEye、悬镜源鉴开源威胁管控平台
面向软件提供商和云服务商
首批可信开源供应链风险评估启动
首批可信开源供应链风险评估:适用于软件提供商和云服务商,对其管理机构、流程制度、开发管理、外包管理、商业解决方案管理和交付物风险管理能力进行评估,帮助此类企业提高对软件供应过程中的开源风险的管控能力,保障交付物的开源合规和安全。
即日起至12月28日开放报名,评估结果将自2021年4月起分批次公布。
报名或咨询可联系
李晓明 lixiaoming1@caict.ac.cn
精彩内容推荐