中国信通院通过CCRC首批软件产品开源代码安全评价能力评估
近日,中国网络安全审查认证和市场监管大数据中心公布了首批软件产品开源代码安全评价能力评估结果,中国信通院顺利通过软件产品开源代码安全评价能力评估,成为全国首批获此权威能力认可的专业机构。


本次评估严格依据中国信息通信研究院牵头制定的GB/T43848-2024《网络安全技术软件产品开源代码安全评价方法》开展,标准从开源代码来源、安全质量、知识产权和管理四大维度构建评价体系,明确漏洞修复率、许可证合规性等关键参数,旨在为各企事业单位对于软件产品中的开源代码进行安全性自评价提供参考,为第三方机构开展此类工作提供依据。

图1 国家标准核心框架示意图
中国信通院SOSS软件产品开源代码安全国标符合性评估

为引导企业逐级提升安全能力,满足企业精细化安全能力评估需求,适配金融、能源等不同行业场景的差异化要求,中国信通院依据国标持续开展国标符合性验证工作,评估详情如下:
1.评估对象:传统软件产品、应用开源大模型的软件及信息系统。
2.评估价值:本评估体系通过构建涵盖开源代码来源分析、安全质量评估、知识产权合规审查及全生命周期管理的四维评价模型,旨在引导企业建立阶梯式软件供应链安全能力成熟度体系,有效降低因开源安全漏洞引发的业务中断风险和知识产权纠纷成本。

评估通过企业

|
企业名称 |
软件产品名称 |
版本号 |
评估等级 |
|
浦发银行 |
性能测试工具 |
V2.1 |
增强级 |
|
海通证券 |
API接口管理系统 |
V2.6.4 |
增强级 |
|
长安汽车 |
电商系统 |
V1.2.1 |
增强级 |
|
兴业银行股份有限公司 |
安全研发服务平台 |
V0.1 |
增强级 |
|
天翼云科技有限公司 |
边缘安全加速平台 |
V1.1.7 |
增强级 |
|
比亚迪汽车工业有限公司 |
支付中心系统 |
V1.0.0 |
全面级 |
|
浪潮云信息技术股份公司 |
浪潮云启操作系统 |
V23.12 |
全面级 |
|
亿咖通(湖北)技术有限公司 |
GKUI项目仓库 |
V1.0 |
增强级 |
|
山西贵恩博信息科技有限公司 |
order管理中心平台 |
V1.0 |
增强级 |
|
中国农业银行股份有限公司 |
分行金融服务云平台管理端 |
V1.0.0 |
增强级 |
|
中信银行股份有限公司 |
手机银行渠道融合前置 |
V1.0 |
全面级 |
|
麒麟软件有限公司 |
银河麒麟桌面操作系统 |
V10(SP1)2203 |
增强级 |
|
国家能源集团信息技术分公司 |
网络资源管理平台 |
UC2.0 E0709 |
增强级 |
|
国能大渡河大数据服务有限公司 |
数据商城 |
V1.0 |
增强级 |
|
宁波银行股份有限公司 |
智能法审系统 |
V1.0 |
全面级 |
|
极氪智能科技(杭州)有限公司 |
手机申领 |
V5.11 |
增强级 |
|
中科方德软件有限公司 |
方德桌面 |
V5.0 |
增强级 |
|
阿里云计算有限公司 |
云服务器ECS |
V3 |
全面级 |
|
阿里云计算有限公司 |
阿里云专有云管理平台(Apsara Uni-manager) |
V3 |
增强级 |
|
OPPO广东移动通信有限公司 |
Car+ 车联 |
V13.7.0 |
全面级 |
|
肯睿(上海)软件有限公司 |
Cloudera Data Platform(CDP) |
V7.0 |
全面级 |
|
北京银行股份有限公司 |
金融操作系统 |
FinOS-2024.3.1 |
全面级 |
|
中国农业银行股份有限公司 |
统一流程服务平台 |
UP5.0 |
全面级 |
|
浪潮云信息技术股份公司 |
浪潮云启操作系统 |
23.12 |
全面级 |

评估报名机制

SOSS国标符合性验证已启动报名通道,具体安排如下:

报名时间:滚动报名
评估周期:1-2月,周期以双方协商为准
报名方式:请发送报名邮件至wangyuanyuan@caict.ac.cn/wujiangwei@caict.ac.cn,邮件主题为相关评估报名,正文应至少包括企业名称、联系人、联系方式等内容。

业务联系人:
王老师 18652930342 wangyuanyuan@caict.ac.cn
吴老师 18810541612 wujiangwei@caict.ac.cn

夜雨聆风