GB/T -202X 信息安全技術(shù) 軟件產(chǎn)品開(kāi)源代碼安全評(píng)價(jià)方法 英文版
Information security technology -Evaluation method for open source code security of software products

?

前 言
本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定
起草。
本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）?出并歸口。

1 范圍
本文件給出了軟件產(chǎn)品中的開(kāi)源代碼安全評(píng)價(jià)目標(biāo)、評(píng)價(jià)指標(biāo)體系和評(píng)價(jià)方法，評(píng)價(jià)指標(biāo)體系涵蓋
開(kāi)源代碼來(lái)源、開(kāi)源代碼質(zhì)量、開(kāi)源代碼知識(shí)產(chǎn)權(quán)和開(kāi)源代碼管理能力。
本文件適用于軟件產(chǎn)品包含的開(kāi)源代碼安全評(píng)價(jià)工作，為各企事業(yè)單位對(duì)于軟件產(chǎn)品中的開(kāi)源代
碼進(jìn)行安全性自評(píng)價(jià)?供參考，為第三方機(jī)構(gòu)開(kāi)展此類工作?供依據(jù)。
2 規(guī)范性引用文件
下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，
僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本
文件。
GB/T 25069-2022 信息安全技術(shù) 術(shù)語(yǔ)
3 術(shù)語(yǔ)和定義
GB/T 25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。
軟件產(chǎn)品 software product
計(jì)算機(jī)軟件、信息系統(tǒng)或設(shè)備中嵌入的軟件，或在?供計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用等技術(shù)服務(wù)時(shí)?
供的計(jì)算機(jī)軟件，表現(xiàn)形式為一組計(jì)算機(jī)代碼、規(guī)程以及可能的相關(guān)文檔和數(shù)據(jù)。
[來(lái)源：GB/T 36475—2018，3.1，有修改]?
開(kāi)源代碼 open source code
一種可以獲取源代碼的軟件代碼，其著作權(quán)人通過(guò)開(kāi)源許可證將代碼的復(fù)制、修改、再發(fā)布的權(quán)利
向公眾開(kāi)放。
開(kāi)源許可證 open source license
一種具有法律效力的、允許用戶自由使用、修改、復(fù)制或分發(fā)軟件代碼的授權(quán)條款格式合同或協(xié)議。
開(kāi)源社區(qū) open source community
以開(kāi)源代碼的貢獻(xiàn)者為主體，在開(kāi)源代碼貢獻(xiàn)過(guò)程中形成的具有特定文化、組織結(jié)構(gòu)、運(yùn)行機(jī)制的
共同體。
4 評(píng)價(jià)目標(biāo)

開(kāi)源代碼來(lái)源
5.2.1 開(kāi)源代碼規(guī)模占比
主要統(tǒng)計(jì)軟件產(chǎn)品包含的各開(kāi)源代碼模塊字節(jié)數(shù)在軟件產(chǎn)品代碼中所占比例。
5.2.2 開(kāi)源代碼編碼語(yǔ)言
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼模塊所使用的編碼語(yǔ)言種類及其所開(kāi)發(fā)代碼占軟件產(chǎn)品的比例，
并據(jù)此做出評(píng)價(jià)。
5.2.3 開(kāi)源代碼著作權(quán)人
主要統(tǒng)計(jì)軟件產(chǎn)品所包含的各開(kāi)源代碼著作人基本信息，包括名稱、所屬國(guó)家或地區(qū)等，并據(jù)此做
出評(píng)價(jià)。
5.2.4 開(kāi)源代碼貢獻(xiàn)量
主要統(tǒng)計(jì)軟件產(chǎn)品所包含的開(kāi)源代碼貢獻(xiàn)量情況，包括但不限于：
a) 貢獻(xiàn)者數(shù)量及基本信息，包括名稱、所屬國(guó)家或地區(qū)等，并據(jù)此做出評(píng)價(jià)；
b) 各開(kāi)源代碼貢獻(xiàn)者貢獻(xiàn)代碼量及占比，并據(jù)此做出評(píng)價(jià)。
5.2.5 開(kāi)源代碼豐富度
主要統(tǒng)計(jì)軟件產(chǎn)品所包含的開(kāi)源代碼在功能、性能等方面具有等同實(shí)現(xiàn)的其他代碼（含開(kāi)源或商業(yè)
代碼）情況，并據(jù)此做出評(píng)價(jià)。
5.2.6 開(kāi)源社區(qū)安全管理
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼所依賴的開(kāi)源社區(qū)安全管理情況，包括但不限于：
a) 對(duì)于開(kāi)源代碼的安全掃?情況，并據(jù)此做出評(píng)價(jià)；
b) 對(duì)于開(kāi)源代碼的貢獻(xiàn)管理，如簽署開(kāi)源貢獻(xiàn)協(xié)議、具備代碼審查機(jī)制、具備數(shù)字簽名，并據(jù)此
做出評(píng)價(jià)。
5.2.7 開(kāi)源代碼托管平臺(tái)
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼托管平臺(tái)運(yùn)營(yíng)方基本信息，并據(jù)此做出評(píng)價(jià)。
5.2.8 開(kāi)源代碼下載平臺(tái)
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼下載平臺(tái)運(yùn)營(yíng)方基本信息和開(kāi)源代碼下載平臺(tái)對(duì)開(kāi)源代碼完整
性具備保障情況，并據(jù)此做出評(píng)價(jià)。
開(kāi)源代碼質(zhì)量
5.3.1 開(kāi)源代碼漏洞率
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼模塊原始漏洞數(shù)量和千行漏洞率情況，并據(jù)此做出評(píng)價(jià)。
5.3.2 開(kāi)源代碼漏洞嚴(yán)重性

主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼模塊原始漏洞嚴(yán)重性，并據(jù)此做出評(píng)價(jià)，指標(biāo)項(xiàng)可參考
GB/T30279-2020中6.3.3要求。
5.3.3 開(kāi)源代碼漏洞影響程度
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼模塊原始漏洞影響范圍，并據(jù)此做出評(píng)價(jià)，指標(biāo)項(xiàng)可參考
GB/T30279-2020 6.2.2中影響程度要求。
5.3.4 開(kāi)源代碼漏洞利用復(fù)雜度
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼模塊原始漏洞攻擊復(fù)雜性，并據(jù)此做出評(píng)價(jià)，指標(biāo)項(xiàng)可參考
GB/T30279-2020 6.2.1中被利用性要求。
5.3.5 開(kāi)源代碼漏洞修復(fù)率
主要統(tǒng)計(jì)軟件產(chǎn)品中針對(duì)開(kāi)源代碼的漏洞修復(fù)率及修復(fù)時(shí)間，并據(jù)此做出評(píng)價(jià)。
5.3.6 開(kāi)源代碼版本更新情況
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼所用版本和最新版本情況，并據(jù)此做出評(píng)價(jià)。
開(kāi)源代碼知識(shí)產(chǎn)權(quán)
5.4.1 開(kāi)源許可證規(guī)范性
主要統(tǒng)計(jì)軟件產(chǎn)品開(kāi)源許可證規(guī)范性情況，包括但不限于：
a) 軟件產(chǎn)品包含的開(kāi)源代碼相關(guān)許可證的規(guī)范性，評(píng)價(jià)內(nèi)容涉及授權(quán)范圍、授權(quán)條件、違約與授
權(quán)終止、免責(zé)聲明等；
b) 軟件產(chǎn)品履行開(kāi)源許可證規(guī)定的相關(guān)條款、義務(wù)情況。
5.4.2 開(kāi)源許可證互惠性
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼是否存在互惠性開(kāi)源許可證，對(duì)自由互惠的開(kāi)源許可證進(jìn)行識(shí)
別和風(fēng)險(xiǎn)評(píng)估，判斷自研代碼與開(kāi)源代碼之間的合規(guī)使用情況。
5.4.3 開(kāi)源許可證兼容性
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源許可證兼容性情況，判斷開(kāi)源代碼之間的許可證合規(guī)使用情況。
5.4.4 開(kāi)源許可證專利情況
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼涉及專利是否得到授予，并據(jù)此做出評(píng)價(jià)。
5.4.5 開(kāi)源許可證適用范圍
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源許可證的適用范圍和出現(xiàn)糾紛時(shí)法律聲明情況，并據(jù)此做出評(píng)價(jià)。
開(kāi)源代碼管理能力
5.5.1 開(kāi)源代碼物料清單
主要統(tǒng)計(jì)軟件產(chǎn)品包含的開(kāi)源代碼物料清單的完備性，包括建立和維護(hù)可追溯性的策略和程序，記
錄和保留開(kāi)源代碼的原始供應(yīng)方、開(kāi)源社區(qū)或開(kāi)發(fā)貢獻(xiàn)者等相關(guān)信息，并據(jù)此做出評(píng)價(jià)。
5.5.2 開(kāi)源代碼設(shè)計(jì)

主要統(tǒng)計(jì)軟件產(chǎn)品設(shè)計(jì)階段開(kāi)源代碼使用部分設(shè)計(jì)文檔的完備性，以及梳理開(kāi)源代碼兼容性、使用
規(guī)范性情況，并據(jù)此做出評(píng)價(jià)。
5.5.3 開(kāi)源代碼生成
主要統(tǒng)計(jì)軟件產(chǎn)品程序的源代碼編寫(xiě)完成后，在編譯以及鏈接過(guò)程中對(duì)使用的開(kāi)源代碼采取的安
全措施，包括配置檢查，漏洞掃?等，達(dá)到代碼生成安全。
5.5.4 開(kāi)源代碼管理團(tuán)隊(duì)
主要統(tǒng)計(jì)軟件產(chǎn)品中開(kāi)源代碼的管理團(tuán)隊(duì)完善程度，內(nèi)容包括但不限于：
a) 建立管理團(tuán)隊(duì)對(duì)開(kāi)源代碼進(jìn)行統(tǒng)一管控，并進(jìn)行相應(yīng)管理角色劃分，并據(jù)此做出評(píng)價(jià)；
b) 建立開(kāi)源代碼管理人員白名單和退出機(jī)制，并據(jù)此做出評(píng)價(jià)。
6 評(píng)價(jià)方法
概述
6.1.1 評(píng)價(jià)流程
評(píng)價(jià)流程主要包括評(píng)價(jià)準(zhǔn)備、方案制定、現(xiàn)場(chǎng)實(shí)施、分析評(píng)估4個(gè)階段：
a) 在評(píng)價(jià)準(zhǔn)備階段，評(píng)價(jià)實(shí)施方接收被評(píng)價(jià)單位?交的評(píng)價(jià)申請(qǐng)后，與被評(píng)價(jià)單位溝通所需的評(píng)
價(jià)材料，包括擬?供的軟件產(chǎn)品、材料和證據(jù)等，依據(jù)本文件中的評(píng)價(jià)體系審核被評(píng)價(jià)單位?
供的評(píng)價(jià)材料是否滿足條件，通過(guò)審核后，組建評(píng)價(jià)實(shí)施團(tuán)隊(duì)，根據(jù)需要可設(shè)置專家組；
b) 在方案制定階段，評(píng)價(jià)實(shí)施方確定評(píng)價(jià)方法、程序和進(jìn)度，形成評(píng)價(jià)方案；
c) 在現(xiàn)場(chǎng)實(shí)施階段，評(píng)價(jià)實(shí)施方依據(jù)評(píng)價(jià)方案，結(jié)合被評(píng)價(jià)單位?供的評(píng)價(jià)材料逐項(xiàng)核查，必要
時(shí)可要求被評(píng)價(jià)單位補(bǔ)充相關(guān)材料，雙方對(duì)現(xiàn)場(chǎng)實(shí)施結(jié)果進(jìn)行確認(rèn)；
d) 在分析評(píng)估階段，評(píng)價(jià)實(shí)施方依據(jù)現(xiàn)場(chǎng)實(shí)施情況對(duì)軟件產(chǎn)品包含的開(kāi)源代碼部分進(jìn)行具體評(píng)
價(jià)和打分。
6.1.2 評(píng)價(jià)內(nèi)容
評(píng)價(jià)實(shí)施方依據(jù)國(guó)家相關(guān)規(guī)定，主要對(duì)軟件產(chǎn)品中的開(kāi)源代碼來(lái)源、開(kāi)源代碼質(zhì)量、開(kāi)源代碼知識(shí)
產(chǎn)權(quán)和開(kāi)源代碼管理能力進(jìn)行評(píng)價(jià)。
評(píng)價(jià)實(shí)施方在開(kāi)展開(kāi)源代碼安全評(píng)價(jià)工作中應(yīng)綜合采用訪談、檢查和測(cè)試等基本評(píng)價(jià)方法，以核實(shí)
被評(píng)價(jià)單位所?供評(píng)價(jià)材料是否滿足指標(biāo)考查內(nèi)容要求：
a) 訪談：評(píng)價(jià)實(shí)施方通過(guò)與被評(píng)價(jià)單位相關(guān)人員進(jìn)行有針對(duì)性的交流以幫助理解、厘清或取得證
據(jù)，訪談的對(duì)象為個(gè)人或團(tuán)體，如技術(shù)團(tuán)隊(duì)負(fù)責(zé)人、核心技術(shù)工程師等；
b) 檢查：評(píng)價(jià)實(shí)施方對(duì)被評(píng)價(jià)單位?供的相關(guān)材料進(jìn)行觀察、查驗(yàn)、分析以幫助理解、厘清或取
得證據(jù)，檢查的對(duì)象為制度、文檔和記錄，如必要的開(kāi)源代碼物料清單、技術(shù)設(shè)計(jì)文檔、安全
掃?報(bào)告、開(kāi)源代碼管理團(tuán)隊(duì)背景信息等；
c) 測(cè)試：評(píng)價(jià)實(shí)施方使用具備開(kāi)源代碼成分識(shí)別功能、漏洞檢出功能和代碼缺陷檢出功能的方法
/工具使測(cè)試對(duì)象產(chǎn)生特定的結(jié)果，并將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)。
開(kāi)源代碼來(lái)源評(píng)價(jià)方法
6.2.1 開(kāi)源代碼規(guī)模占比

6.2.2 開(kāi)源代碼編碼語(yǔ)言
開(kāi)源代碼編碼語(yǔ)言的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開(kāi)源代碼成分，形成開(kāi)源代碼成分測(cè)試報(bào)告；
2) 檢查測(cè)試報(bào)告中軟件產(chǎn)品開(kāi)源代碼編碼語(yǔ)言名稱；
3) 檢查各類型編碼語(yǔ)言對(duì)應(yīng)的安裝包下載量；
4) 訪談軟件研發(fā)相關(guān)研發(fā)人員獲取軟件產(chǎn)品研發(fā)常用編碼語(yǔ)言信息；
5) 判斷編碼語(yǔ)言是否為應(yīng)用范圍廣、規(guī)范程度高、參與人數(shù)多的。
b) 預(yù)期結(jié)果：
軟件產(chǎn)品包含的開(kāi)源代碼編碼語(yǔ)言使用應(yīng)用范圍廣、規(guī)范程度高、參與人數(shù)多的占比為80%及
以上。
6.2.3 開(kāi)源代碼著作權(quán)人
開(kāi)源代碼著作權(quán)人的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開(kāi)源代碼成分，形成開(kāi)源代碼成分測(cè)試報(bào)告；
2) 檢查測(cè)試報(bào)告中軟件產(chǎn)品包含的開(kāi)源代碼所在托管地址著作權(quán)人的地址信息、所屬組織信
息；
3) 檢查軟件產(chǎn)品開(kāi)源代碼是否受國(guó)際政治、戰(zhàn)爭(zhēng)、貿(mào)易管制、知識(shí)產(chǎn)權(quán)等一種或多種國(guó)際環(huán)
境影響。
b) 預(yù)期結(jié)果：
軟件產(chǎn)品包含的開(kāi)源代碼不受國(guó)際政治、戰(zhàn)爭(zhēng)、貿(mào)易管制、知識(shí)產(chǎn)權(quán)等一種或多種國(guó)際環(huán)境影
響的比例為60%及以上。
6.2.4 開(kāi)源代碼貢獻(xiàn)量
開(kāi)源代碼貢獻(xiàn)量的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開(kāi)源代碼成分，形成開(kāi)源代碼成分測(cè)試報(bào)告；
2) 檢查測(cè)試報(bào)告中軟件產(chǎn)品開(kāi)源代碼所在托管平臺(tái)地址貢獻(xiàn)者信息；
3) 檢查貢獻(xiàn)者的地址信息和所屬組織信息；
4) 軟件產(chǎn)品包含的開(kāi)源代碼貢獻(xiàn)者是否不受國(guó)際政治、戰(zhàn)爭(zhēng)、貿(mào)易管制、知識(shí)產(chǎn)權(quán)等一種或
多種國(guó)際環(huán)境影響。
b) 預(yù)期結(jié)果：
1) 軟件產(chǎn)品使用的開(kāi)源代碼60%及以上具備不受國(guó)際政治、戰(zhàn)爭(zhēng)、貿(mào)易管制、知識(shí)產(chǎn)權(quán)等一
種或多種國(guó)際環(huán)境影響的代碼貢獻(xiàn)者；

開(kāi)源代碼質(zhì)量評(píng)價(jià)方法
6.3.1 開(kāi)源代碼漏洞率
開(kāi)源代碼漏洞率的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開(kāi)源代碼漏洞，形成漏洞掃?報(bào)告；
2) 檢查軟件產(chǎn)品包含的開(kāi)源代碼是否存在漏洞；
3) 檢查千行漏洞率；
4) 檢查有漏洞的開(kāi)源代碼中平均漏洞個(gè)數(shù)。
b) 預(yù)期結(jié)果：
1) 軟件產(chǎn)品包含的開(kāi)源代碼存在漏洞的千行漏洞率為1.5及以下；
2) 軟件產(chǎn)品有漏洞的開(kāi)源代碼中平均漏洞個(gè)數(shù)為1個(gè)。
6.3.2 開(kāi)源代碼漏洞嚴(yán)重性
開(kāi)源代碼漏洞嚴(yán)重性的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開(kāi)源代碼漏洞，形成漏洞掃?報(bào)告；
2) 對(duì)被利用性指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，參考GB/T30279-2020附錄A計(jì)算得出漏洞被利
用性分級(jí)；
3) 對(duì)影響程度指標(biāo)進(jìn)行賦值，根據(jù)賦值結(jié)果，參考GB/T30279-2020附錄B得到影響程度分級(jí)；
4) 根據(jù)被利用性和影響程度分級(jí)的結(jié)果，參考GB/T30279-2020附錄D，計(jì)算得到安全漏洞分
級(jí)結(jié)果；
5) 檢查軟件產(chǎn)品包含的開(kāi)源代碼是否存在中危及以上漏洞。
b) 預(yù)期結(jié)果：
軟件產(chǎn)品包含的開(kāi)源代碼無(wú)中危及以上漏洞。
6.3.3 開(kāi)源代碼漏洞影響程度
開(kāi)源代碼漏洞影響程度的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 測(cè)試軟件產(chǎn)品中未經(jīng)改動(dòng)的開(kāi)源代碼漏洞，形成漏洞掃?報(bào)告；
2) 檢查軟件產(chǎn)品包含的開(kāi)源代碼保密性影響，即漏洞對(duì)受影響實(shí)體承載信息的保密性的影響
程度，判斷賦值是否為嚴(yán)重；
3) 檢查軟件產(chǎn)品包含的開(kāi)源代碼完整性影響，即漏洞對(duì)受影響實(shí)體承載信息的完整性的影響
程度，判斷賦值是否為嚴(yán)重；

開(kāi)源代碼知識(shí)產(chǎn)權(quán)評(píng)價(jià)方法
6.4.1 開(kāi)源許可證規(guī)范性

開(kāi)源代碼管理能力評(píng)價(jià)方法
GB/T XXXXX—XXXX
6.5.1 開(kāi)源代碼物料清單
開(kāi)源代碼物料清單的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 檢查軟件產(chǎn)品是否具備開(kāi)源代碼物料清單，物料清單應(yīng)包括物料清單信息、直接引入的開(kāi)
源代碼基本信息、間接依賴的開(kāi)源代碼基本信息和相關(guān)說(shuō)明材料；
2) 檢查軟件產(chǎn)品包含的開(kāi)源代碼物料清單是否具備可追溯性。
b) 預(yù)期結(jié)果：
軟件產(chǎn)品包含的開(kāi)源代碼存在規(guī)范的物料清單，開(kāi)源代碼信息有記錄、可追溯。
6.5.2 開(kāi)源代碼設(shè)計(jì)
開(kāi)源代碼設(shè)計(jì)的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 檢查軟件產(chǎn)品是否具備開(kāi)源代碼部分的設(shè)計(jì)文檔；
2) 檢查軟件產(chǎn)品包含的開(kāi)源代碼是否與運(yùn)行環(huán)境兼容；
3) 檢查軟件產(chǎn)品包含的開(kāi)源代碼是否具備外包接口兼容和版本接口兼容；
4) 檢查軟件產(chǎn)品包含的開(kāi)源代碼是否具備外部數(shù)據(jù)兼容和版本數(shù)據(jù)兼容；
5) 檢查軟件產(chǎn)品包含的開(kāi)源代碼使用是否具備代碼、數(shù)據(jù)和注釋的規(guī)范性。
b) 預(yù)期結(jié)果：
軟件產(chǎn)品包含的開(kāi)源代碼未出現(xiàn)與其他代碼產(chǎn)生兼容性沖突、使用不規(guī)范情況。
6.5.3 開(kāi)源代碼生成
開(kāi)源代碼生成的評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 檢查軟件產(chǎn)品在生成階段是否具備開(kāi)源代碼部分的安全掃?報(bào)告；
2) 檢查軟件產(chǎn)品包含的開(kāi)源代碼安全掃?策略配置是否合理。
b) 預(yù)期結(jié)果：
軟件產(chǎn)品包含的開(kāi)源代碼生成均經(jīng)過(guò)安全檢查，安全掃?策略配置合理。
6.5.4 開(kāi)源代碼管理團(tuán)隊(duì)
開(kāi)源代碼管理團(tuán)隊(duì)評(píng)價(jià)方法如下：
a) 評(píng)價(jià)方法：
1) 檢查組織架構(gòu)圖，確認(rèn)軟件產(chǎn)品是否具備開(kāi)源代碼管理團(tuán)隊(duì)；
2) 檢查軟件產(chǎn)品開(kāi)源代碼管理團(tuán)隊(duì)是否具備明確角色劃分；
3) 訪談軟件產(chǎn)品團(tuán)隊(duì)人員獲取人員從業(yè)經(jīng)歷情況，確認(rèn)是否符合項(xiàng)目管理要求。
b) 預(yù)期結(jié)果：
1) 具備完善的軟件產(chǎn)品開(kāi)源代碼管理團(tuán)隊(duì)；
2) 人員分工清晰；
3) 從業(yè)人員符合項(xiàng)目管理要求。
評(píng)價(jià)結(jié)果
被評(píng)價(jià)單位結(jié)合所屬行業(yè)和企業(yè)規(guī)模大小實(shí)際情況，依據(jù)評(píng)價(jià)體系及評(píng)價(jià)細(xì)則確認(rèn)軟件產(chǎn)品包
含的開(kāi)源代碼安全性：