国内首个《开源供应链风险评估体系》标准即将发布

开源供应链是指上游企业基于开源并以软件、云服务或者其他开源服务等形式供应下游企业或用户的过程。随着开源软件开发模式的流行，过去几年间，开源供应链风险问题日益凸显，基于开源的商业软件产品可能面临开源违约及安全风险。如何在开源供应链中做到开源合规和开源治理，成为业内最关注的问题之一。

在10月16日的OSCAR开源产业大会上，伴随着国内首个《开源供应链风险评估体系》标准的正式发布，这一问题将迎刃而解！

《开源供应链风险评估体系》标准由中国信息通信研究院牵头，联合浦发银行、工商银行、光大银行、宁波银行、腾讯、小米、华胜天成、普元信息、网神信息、中兴、华云数据、金山云、悬镜安全、甲骨文、思特沃克、宝兰德、棱镜七彩、安恒信息、烽火等企业和组织专家共同编写。标准经过多次研讨交流，众多专家就框架和具体指标等进行了深入细致的探讨。

《开源供应链风险评估体系》标准五大方面

据悉，即将发布的《开源供应链风险评估体系》标准适用于涉及开源软件引入的软件开发企业和云服务商。标准分为八个部分，规定了软件开发企业从开源软件引入到交付的全流程中应该具备的五大能力：开源软件引入管理能力，开源软件开发管理能力，软件外包管理能力，商用解决方案管理能力和软件交付物管理能力。这是国内首次对软件开发企业的开源安全能力要求进行规范。

可以预见，该标准的发布将助力国内开源标准体系进一步深化和完善，为相关组织通过标准化手段推动开源治理规范提供了指导，国内开源生态安全又添一道保障。