其他
首批可信开源供应链风险管理能力评估启动报名
1、评估背景
开源供应链是指上游企业基于开源并以软件、云服务或者其他开源服务等形式供应下游企业或用户的过程。随着开源软件开发模式的流行,过去几年间,国内软件提供商基于开源软件提供商业解决方案,国内云服务商基于开源软件提供云服务产品已成为普遍现象,但此类企业在引入开源软件的过程中可能会忽略开源软件的使用规则,容易造成开源使用安全风险和合规风险。如何在开源供应链中做到开源合规和开源治理,成为业内最关注的问题之一。
2、评估对象和内容
在此背景下,中国信通院开展首批可信开源供应链风险管理能力评估报名,此评估针对软件提供商和云服务商产品,以《开源供应链风险管理框架 第1部分:面向软件提供商和云服务商》标准为依据,对其产品生产中涉及开源的管理机构、流程制度进行考察,同时针对开源代码三种不同的引入方式评估对应的开源管理,包括开源直接引入管理、开源外包引入管理和开源商业解决方案引入管理,最后对交付物风险管理能力进行评估,梳理交付物开源物料清单,并对清单中开源组件、开源组件许可证和开源组件安全漏洞进行确认。
3、评估意义
可信开源供应链风险管理能力评估通过对软件提供商的交付物和云服务商上线前的软件进行开源软件引入到交付的全流程管理能力进行评估,完善此类企业开源管理机构和开源管理制度建设,帮助企业提高对软件供应过程中的开源风险的管控能力,规避因开源引起的知识产权、安全漏洞等方面的风险,保障交付物的开源合规和安全。
《开源供应链风险管理能力》框架图
即日起到2020年12月31日开放首批可信开源供应链风险管理能力评估报名,评估结果将自2021年4月起分批次公布。
报名联系人:李晓明 lixiaoming1@caict.ac.cn
精彩内容推荐