可信开源最新评估结果即将重磅发布!
共 5870字,需浏览 12分钟
·
2023-08-19 15:28
中国信通院自2015年筹备成立国内首个开源联盟,率先提出“可信开源”理念,围绕“安全”“合规”“持续”“健康”的开源生态发展目标,打造并持续丰富“可信开源”标准及评估体系。目前已形成覆盖对外开源、开源项目、开源商业化、开源使用等方面的开源全生命周期系列标准,为可信开源系列评估的开展提供坚实依托。2023年上半年,中国信通院组织开展新一批“可信开源”评估,最新评估结果将在9月21日OSCAR开源产业大会上正式发布,敬请期待!
企业开源治理系列评估结果
企业开源治理成熟度评估(含证券行业首批)
评估对象为证券、银行、通信等多个行业所有使用开源软件的企业,从过程维度和能力维度出发,重点考察组织机制、管理制度、风险管理以及测评选型、使用管理、研发过程管理、运维管理、定期健康评估、退出管理、存量管理、第三方管理等重点内容,实现问题和风险识别、风险管理优化等功能,提高企业开源软件治理能力,提升企业合规性和可信度。
企业开源治理工具和平台评估(首批)
评估对象为企业内部使用的开源软件治理工具链和平台,基于企业对于自动化开源治理平台的需求,从通用能力和研发流程集成能力出发,重点考察台账管理、法律合规管理、漏洞管理、开源软件资产可视化、引入审批管理、开源软件运维管理、服务平台、开放接口以及准入管控、组件管控、持续集成、交付准出管控、下线影响分析等内容,指导企业建立、保持和改进开源软件治理工具和平台。
企业内源治理能力评估(首批)
评估对象为已经实施内源的企业,重点企业在高层领导支持、内源治理职责分配、选任机制、社区治理、项目统筹、透明协作、内源项目使用工具、内源项目管理工具等八个方面的能力,引导企业快速了解内源文化理念,以评促建,指导企业全面落成内部协作能力,加速数智化转型,释放开源协作效能。
软件产品开源合规能力评估(首批)
评估对象为使用开源组件/软件的软件产品,基于企业对开源软件的合规管理需求,从许可证合规角度出发,重点考察软件产品的SBOM清单、持续感知、精准定位、引入审批、发布验证、问题反馈、许可证授予权利行使、许可证规定义务履行等八大方面能力,帮助企业考察软件产品的开源合规管理落地情况,引导企业遵循对应开源许可证规定,从而降低企业使用开源软件的法律风险。
项目开源治理能力评估
评估对象为企业内部具体的软件项目,从感知能力、预防能力、修复能力三个角度出发,重点考察企业内软件项目的软件台账、风险感知、精准定位、引入管理、使用管理、运维管理、持续跟踪、退出管理、安全风险、法律合规等内容,帮助企业对内部软件项目的开源规范性、合规性和安全性等方面进行评估,为企业考察整体开源治理落地情况提供现实依据。
开源供应链系列评估结果
可信开源代码库评估(首批)
评估对象为具有托管开源代码或镜像的开源代码库,分别从功能性、灵活性、安全性、易用性四个维度进行评估,帮助规范和提升开源代码库基础能力,同时为采购此类产品的用户提供选型参考。
开源治理平台解决方案评估(首批)
评估对象为用户搭建具备开源治理统一收口管理的平台,分别从台账管理、法律合规管理、漏洞管理、开源资产可视化、引入审批管理、开源软件运维管理、服务平台、开放接口八个维度能力进行评估,帮助规范和提升开源治理平台的搭建能力,同时为采购此类产品的用户提供选型参考。
软件自研创新能力评估(首批)
评估对象为软件行业企业自研创新产品,分别从代码自研率、代码安全、开源代码合规、代码管理四个维度,通过源码级别的开源同源匹配技术,分析软件产品的代码组成成分,帮助用户了解其中的开源应用情况,实现“自研率高”“安全性强”“合规度高”“稳定性好”四大目标, 提升自研创新产品的可信度。
开源供应链-OpenChain双评估
评估对象为基于开源软件提供商业解决方案的软件提供商或者提供云服务的云服务商,评估类型包括企业开源供应链风险管理能力评估和产品开源供应链风险管理能力评估,帮助软件提供商和云服务商规范开源软件引入、开发和交付流程和制度,帮助企业降低开源供应链风险。
开源治理工具评估(SCA)
评估对象为具有开源组成和安全性分析功能的开源组件扫描工具,对其基本能力,技术支持能力,易用性,部署能力,安全性,兼容性进行评估,帮助规范和提升开源治理工具质量,同时适用于采购此类工具的开源用户,帮助用户企业采购此类工具作为选型参考,评估评估类型包括SaaS版评估、本地部署版评估、SaaS版+本地部署版评估。
开源项目系列评估结果
开源项目能力评估
评估对象为社区版的开源项目。重点考察开源项目在许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容性六个方面的能力,全面衡量社区版开源项目的健康程度,为开源项目使用方提供选型的参考依据。
开源社区成熟度评估
评估对象为开源社区,开源社区=人+项目+基础设施平台,一个好的开源社区有助于开源项目营造良好的开源生态并扩大影响力。可信开源社区评估从基础设施、社区治理、社区运营与社区开发等角度,梳理开源社区应关注的内容及指标,聚焦于如何构建活跃的开发者生态与可信的开源社区。
2023年OSCAR开源产业大会将于2023年9月21日举办。本届大会聚集国内外顶级开源基金会和开源社区负责人、开源厂商代表、优秀开源企业用户、顶尖开源开发者同台论道,共同探索开源生态发展未来。此外大会还将发布《开源生态白皮书》(2023年)等多本白皮书报告、对最新可信开源标准体系进行梳理和解读、在开源治理、开源合规、开源项目和社区、数字公共品、开源安全和供应链等方面与业内专家共同探讨技术产业发展方向。
参会报名通道现已开启,请各参会代表扫描下方二维码或点击“阅读原文”报名参会。