備受業(yè)界關(guān)注的《網(wǎng)絡(luò)安全技術(shù) 軟件產(chǎn)品開源代碼安全評價方法》國家標(biāo)準(zhǔn)宣貫會在北京隆重召開，并取得了圓滿成功。本次會議由國家相關(guān)標(biāo)準(zhǔn)化技術(shù)委員會聯(lián)合多家權(quán)威機構(gòu)共同主辦，吸引了來自全國各地的網(wǎng)絡(luò)安全專家、軟件企業(yè)代表、開源社區(qū)負(fù)責(zé)人、高校學(xué)者及政府監(jiān)管部門代表等數(shù)百人參會，共同就國家標(biāo)準(zhǔn)的深入實施與網(wǎng)絡(luò)信息安全軟件開發(fā)的未來發(fā)展進行了深入研討與交流。

隨著信息技術(shù)的飛速發(fā)展，開源軟件已成為現(xiàn)代軟件開發(fā)的基石，廣泛應(yīng)用于操作系統(tǒng)、數(shù)據(jù)庫、中間件乃至各類應(yīng)用軟件中。開源代碼在帶來高效、靈活和低成本優(yōu)勢的其引入的安全漏洞、許可證合規(guī)風(fēng)險以及供應(yīng)鏈安全問題也日益凸顯，對關(guān)鍵信息基礎(chǔ)設(shè)施和各類數(shù)字化業(yè)務(wù)構(gòu)成了嚴(yán)峻挑戰(zhàn)。在此背景下，制定并推廣一套科學(xué)、統(tǒng)一、可操作的軟件產(chǎn)品開源代碼安全評價方法國家標(biāo)準(zhǔn)，對于提升我國軟件產(chǎn)業(yè)整體安全水平、保障網(wǎng)絡(luò)空間安全具有重大而深遠(yuǎn)的意義。

本次宣貫會核心圍繞《網(wǎng)絡(luò)安全技術(shù) 軟件產(chǎn)品開源代碼安全評價方法》國家標(biāo)準(zhǔn)（以下簡稱“標(biāo)準(zhǔn)”）的詳細(xì)內(nèi)容、制定背景、技術(shù)要點及實施指南展開。標(biāo)準(zhǔn)系統(tǒng)性地規(guī)定了軟件產(chǎn)品中開源代碼的安全評價目標(biāo)、評價模型、評價內(nèi)容、評價過程以及評價結(jié)果表示方法，為軟件開發(fā)商、第三方測評機構(gòu)、采購方和監(jiān)管部門提供了一套完整的技術(shù)依據(jù)和操作規(guī)范。

會議期間，標(biāo)準(zhǔn)的主要起草專家對標(biāo)準(zhǔn)條文進行了權(quán)威解讀。重點闡釋了標(biāo)準(zhǔn)提出的“成分識別、風(fēng)險分析、安全測評、合規(guī)審查”四位一體的評價框架。該框架要求首先全面識別軟件產(chǎn)品中所包含的開源組件及其依賴關(guān)系，構(gòu)建準(zhǔn)確的軟件物料清單（SBOM）；進而，結(jié)合漏洞數(shù)據(jù)庫、威脅情報等，對識別出的開源組件進行安全漏洞與潛在威脅的風(fēng)險分析；通過靜態(tài)分析、動態(tài)測試、交互式應(yīng)用安全測試等多種技術(shù)手段進行深入的安全測評；對開源組件的許可證合規(guī)性進行嚴(yán)格審查，避免知識產(chǎn)權(quán)糾紛。標(biāo)準(zhǔn)強調(diào)評價過程的持續(xù)性和迭代性，倡導(dǎo)將安全評價融入軟件開發(fā)生命周期（SDLC）的全過程。

多位與會專家在主題演講和圓桌論壇中指出，該國家標(biāo)準(zhǔn)的發(fā)布與宣貫，標(biāo)志著我國在開源軟件治理領(lǐng)域邁出了關(guān)鍵一步。它不僅有助于引導(dǎo)軟件企業(yè)建立規(guī)范的開源軟件引入、使用和維護流程，從源頭降低安全風(fēng)險，還能有效提升軟件產(chǎn)品的透明度和可信度，為軟件供應(yīng)鏈安全保駕護航。對于網(wǎng)絡(luò)與信息安全軟件開發(fā)而言，標(biāo)準(zhǔn)提供了明確的安全能力建設(shè)方向，推動開發(fā)者將安全視為內(nèi)生屬性而非外掛功能，促進安全開發(fā)（DevSecOps）理念的落地與實踐。

在“網(wǎng)絡(luò)與信息安全軟件開發(fā)”專題討論環(huán)節(jié)，來自頭部安全企業(yè)、大型互聯(lián)網(wǎng)公司及創(chuàng)新型科技公司的技術(shù)負(fù)責(zé)人分享了他們在實踐中應(yīng)用標(biāo)準(zhǔn)預(yù)研內(nèi)容的經(jīng)驗與案例。大家一致認(rèn)為，標(biāo)準(zhǔn)的實施將促使企業(yè)在軟件開發(fā)早期就充分考慮開源組件的選型安全，建立自動化的開源組件管理與檢測平臺，并將安全評價結(jié)果作為產(chǎn)品發(fā)布和迭代決策的重要依據(jù)。這不僅能顯著提升軟件自身的安全性，還能在整個供應(yīng)鏈中傳遞安全信任，形成良性生態(tài)。

本次宣貫會還設(shè)置了標(biāo)準(zhǔn)應(yīng)用試點經(jīng)驗分享、測評工具展示及互動答疑等環(huán)節(jié)，現(xiàn)場氣氛熱烈，交流充分。與會代表紛紛表示，通過此次會議，對國家標(biāo)準(zhǔn)的技術(shù)內(nèi)涵和實操要求有了更深刻的理解，返回工作崗位后將積極推動標(biāo)準(zhǔn)在本單位、本領(lǐng)域的貫徹落實。

會議最后強調(diào)，標(biāo)準(zhǔn)的生命在于實施。下一步，相關(guān)主管部門、標(biāo)準(zhǔn)化機構(gòu)、行業(yè)組織及領(lǐng)軍企業(yè)將協(xié)同發(fā)力，通過開展系列培訓(xùn)、建設(shè)示范案例、完善配套工具、加強國際對接等方式，持續(xù)推動標(biāo)準(zhǔn)的廣泛落地與應(yīng)用。也將根據(jù)技術(shù)發(fā)展和產(chǎn)業(yè)反饋，對標(biāo)準(zhǔn)進行動態(tài)維護與更新，確保其始終具備先進性和適用性。

《網(wǎng)絡(luò)安全技術(shù) 軟件產(chǎn)品開源代碼安全評價方法》國家標(biāo)準(zhǔn)宣貫會的成功召開，為我國構(gòu)建更安全、更可靠、更可控的軟件供應(yīng)鏈奠定了堅實的標(biāo)準(zhǔn)化基礎(chǔ)，必將有力助推我國網(wǎng)絡(luò)與信息安全軟件開發(fā)邁向高質(zhì)量、高標(biāo)準(zhǔn)發(fā)展的新階段，為筑牢國家網(wǎng)絡(luò)空間安全屏障貢獻關(guān)鍵力量。