团 体 标 准 T/CECC 005—2020 软件代码开源成分与安全检测指南 Guidelines for Open source components analyze and code security audit 2020年05月13 日 发布 2020年05月13日 实施 中国电子商会 ICS·35·080 L·77 全国团体标准信息平台 T/CECC 005 -2020 全国团体标准信息平台 T/CECC 005 -2020 I 目 次 前 言 ................................................................................................................................... II 1 范围................................................................................................................................ ... 1 2 规范性引用文件 ................................................................................................ ............... 1 3 术语和定义 ................................................................................................ ....................... 1 4 概述................................................................................................................................ ... 2 5 检测过程 ................................................................................................ ........................... 3 6 成分信息检测 ................................................................................................ ................... 5 7 漏洞信息检测 ................................................................................................ ................... 7 8 许可证信息检测 ............................................................................................................. 10 全国团体标准信息平台 T/CECC 005 -2020 II 前 言 本标准按照 GB/T 1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利， 本文件的发布机构不承担识别这些专利的责任。 本标准由中国电子商会提出并 归口。 本标准起草单位： 中国电子商会自主创新与安全技术委员会、 苏州棱镜七彩信息科技有限 公司、赛迪智库网络安全研究所 、北京中测安华科技有限公司、 中国航天科工集团 706研究所、 交通运输信息安全中心有限公司、国网信通产业集团、中金金融认证中心有限公司。 本标准主要起草人：罗峋、但吉兵、易焕腾、覃业博、 王超、韦安 垒、周鸣爱、魏昂 、刘 彦钊、田斌、付修峰、曾颖明、李宁、戴明、杜渐、郭璐、李飞、靳鑫、张大健、纪崇廉。 全国团体标准信息平台 T/CECC 005 -2020 1 软件代码开源成分与安全检测指南 1 范围 本标准规定了软件代码开源成分及其安全性检测的检测过程及方法， 描述了代码中开源 成分及其安全性检测的检测条款。 本标准适用于软件开发者和管理者对软件代码中开源成分信息及其安全风险的检测活 动。 本标准不涉及源代码安全的传统测试方案如静态扫描、模糊测试、代码审计；不涉及在 开源代码（成分）中挖掘新的安全漏洞；不涉及检测标准的评价体系。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本 适用于本文件。 凡是不注日期的引用文件， 其最新版本 （包括所有的修改单） 适用于本文件。 GB/T 28452 -2012信息安全技术 -应用软件系统通用安全技术要求 GB/T 30279 -2013 信息安全技术 -安全漏洞等级划分指南。 3 术语和定义 GB/T 2 5069界定的以及下列术语和定义适用于本文件。 3.1 开源软件 Open source software 开源软件是指那些源代码公开，在符合许可证要求的前提下，可以被自由使用、复制、 修改和再发布的一系列软件的集合。 3.2 开源成分 Open source components 软件代码中引用了开源项目的源代码、二进制文件或存在引用依赖关系的代码成分。 3.3 开源许可证 Open source license 开源软件的作者对用户使用其开源软件的法律许可。 3.4 克隆Clone 在同一个或者多个不同的源代码文件中， 通常存在一些完全相同或者非常相似的代码段 或代码文件，引入此类代码文件和代码段或其引用的操作即称为克隆。 3.5 知识库 Knowledge database 一种存储特定领域数据的数据库或数据表。 全国团体标准信息平台 T/CECC 005 -2020 2 4 概述 4.1 检测目的 软件代码开源成分与安全检测（以下简称“开源检测” ）的目的是通过检测分析出软件 （含软硬件结合设备）源代码中开源代码成分的构成情况、开源代码成分对应的已知安全漏 洞信息、开源代码带来的软件许可证风险信息。从而提高对软件项目开源代码构成成分与安全风险信息的掌握，规避开源安全风险。 4.2 检测场景 开源检测分为自主检测和第三方检测两个场景。自主检测由项目成员自发开展，通过检 测提高软件安全性，发现风险和预防安全问题发生。自主检测可参考本指南，流程上可适当 裁剪（如签署保密协议、项目背景调研、熟悉代码、检测入场、信息调研等） 。第三方检测 由第三方检测机构进行，一般具有专业性（部分可能存在强制性） ，流程上建议完全参照本 指南。在进行第三方检测前需进行较多准备工作（如签署保密协议、项目背景调研、熟悉代码、检测入场、信息调研等） 。检测工作应于项目验收之前开展。由于第三方检测涉及较多 外部因素，进行检测前应提前通知项目成员，降低检测工作延期风险。在项目代码发生重要 变更后，应根据情况重新进行检测。 4.3 检测人员 检测人员应依次进行检测准备、检测实施、反馈跟踪工作。检测人员应具备代码安全与 软件测试的专业知识，熟悉使用开源成分与安全检测工具；具备客观反映代码问题的工作素质；对项目代码严格保密。 4.4 检测内容 开展检测首先需要制订并遵循检测条款（内容与条款可参见第 6、7、8章节）。检测条 款应包括但不限于成分信息检测条款、漏洞信息检测条款、许可证信息检测条款 3个方面的 具体条款。其中，成分信息检测条款 3条；漏洞信息检测条款 3条；许可证信息检测条款 3 条，总计 9条检测条款。 检测时可根据被检测的具体对象及应用场景对上述 各条款进行调整 制定。 4.5 检测方法 开源检测过程包括工具扫描和人工核实两个步骤，实现对待测条款的逐一检测，所有检 测条款均检测完毕并输出检测结果则视为检测完成。 检测条款应根据项目实际情况进行调整， 以提高检测质量。 由于开源检测需要海量开源数据知识库做支撑，因此需要借助工具检测。同时，工具检 测结果存在一定误报现象，需要人工参与审核。开源检测应将人工核实与工具检测相结合进行检测工作，采用专业开源检测工具对代码进行检测，形成检测报告。对于检测工具的检测结果中的误报问题，由检测人员人工进行审核。对于漏报问题应使用不同检测工具进行多次 检测，以减少漏报。 全国团体标准信息平台 T/CECC 005 -2020 3 检测实施前应制定合理的检测实施计划， 检测实施过程中应严格按照检测实施计划进行 检测工作，并制定人员分工方案。 5 检测过程 5.1 总体流程 检测过程中应按照检测准备、检测实施、检测报告、结果处置四个阶段依次进行。检测 准备阶段应进行签署保密协议、项目背景调研、熟悉代码、检测条款制定、检测环境准备； 检测实施阶段应进行检测