T_JDFA 01—2024 开源软件安全风险评价团体标准-团体标准
目录
| 标准详细信息 | |
|---|---|
| 标准状态 | 现行 |
| 标准编号 | T/JDFA 01—2024 |
| 中文标题 | 开源软件安全风险评价团体标准 |
| 英文标题 | |
| 国际标准分类号 | 35.030 |
| 中国标准分类号 | |
| 国民经济分类 | J694 金融信息服务 |
| 发布日期 | 2024年09月03日 |
| 实施日期 | 2024年09月10日 |
| 起草人 | 刘斌、吴敬征、李千目、吴奕、王亚利、刘琦、张晖、吴真炜、徐小锋、任坚斌、王治平、陈俊、何满怀、王品亮、田健、曾飞、张继栋、施琦、王宏图、包岩、孙凯、吴伟、洪刚、胡成亚、施志晖、王玮、陈志军、戴晔、王雷、黄道芹、付蓉、孔桂兰、何平、杨加钰 |
| 起草单位 | 中国人民银行江苏省分行 江苏省数字金融协会 中科南京软件技术研究院 江苏省软件产品检测中心 江苏省知识产权保护中心 江苏省专利信息服务中心 南京理工大学 南京信息工程大学 南京银行 苏商银行 江苏省联合征信有限公司 江苏省数字化协会 江苏省生产力促进中心产业大数据与软件开发服务中心 联通数字科技有限公司 江苏省国信数字科技有限公司 江苏省软件产业股份有限公司 江苏移动信息系统集成有限公司 中国移动紫金(江苏)创新研究院有限公司 南京数字经济科技学会 南京市企业征信服务有限公司 南京联合产权(科技)交易所 南京金盾公共安全技术研究院有限公司 南京扬子江数字科技发展有限公司 南京可信数据服务有限公司 南京大数据检测技术有限公司 江苏风云科技服务有限公司 金盾检测技术股份有限公司 苏州市软件评测中心有限公司 北京中科微澜科技有限公司 南京睿鲸数字科技有限公司 |
| 范围 | 标准规范了开源软件安全风险评价流程及指标体系等。 本标准适用于开源软件的安全风险评价。 |
| 主要技术内容 | 开源软件安全风险评价应遵循以下原则: a) 全面性:评价过程应该覆盖开源软件的各个方面,包括源代码、依赖关系、社区支持、文档质量等。全面性的评估有助于全面了解软件的安全性。 b) 透明性:评价的过程和结果是透明的,能够为利益相关方提供清晰的了解。这包括评估方法、标准、指标的明确说明,以及评估报告的及时发布。 c) 实证性:评价应该基于实际的证据和数据,而非仅仅依赖猜测或主观判断。这可以通过对源代码的溯源、漏洞管理工具的使用等手段来实现。 d) 持续性:安全风险评价是一个持续的过程,而不是一次性的活动。由于软件和威胁环境的不断变化,定期的评估可以及时发现和应对新的安全风险。 e) 合规性:评价过程应该符合相关的法规和标准,例如开源软件的许可证合规性、隐私法规等。合规性的考量有助于确保评价过程的合法性和可信度。 f) 用户中心:评价以最终用户的安全利益为中心,考虑他们的使用场景和需求。这有助于确保评价结果与实际应用场景相匹配。 |
| 是否包含专利信息 | 否 |
| 标准文本 | 查看 |
| 团体详细信息 | |||
|---|---|---|---|
| 团体名称 | 江苏省数字金融协会 | ||
| 登记证号 | 51320000509183620Y | 发证机关 | 江苏省民政厅 |
| 业务范围 | 行业自律、信息收集、培训、合作与交流、咨询服务、政策研究与宣传、出版刊物 | ||
| 法定代表人/负责人 | 黄金老 | ||
| 依托单位名称 | 江苏省地方金融监督管理局 | ||
| 通讯地址 | 江东中路359号国睿大厦一号楼B区2楼208室 | 邮编 : 210079 | |