信息安全技術開原始碼安全審計規範

開原始碼安全不同於對開源軟體使用和開源環境的安全監控，開原始碼安全審計和漏洞評估屬於代碼級漏洞掃描的套用，主要是對於開原始碼自身存在的缺陷以及該代碼所使用和涉及到的開源原始碼包等，進行全方位的安全漏洞掃描，在該代碼未成為軟體產品前進行漏洞檢測。將漏洞扼殺於產品未成形的搖籃之中。減少軟體產品化後的安全漏洞隱患，從而真正做到防患於未然。本標準主要規範了開原始碼安全審計和評估上的各種安全規範，將在不同階段中所需要注意的安全問題和相關安全規範進行進一步的描述和規定，以提高開源軟體的安全性和抵禦攻擊的能力。

北京長風信息技術產業聯盟、中國科學院軟體研究所、中科軟智（北京）科技有限公司、北京中科微瀾科技有限公司、北京合睿科技有限公司。

吳敬征、郭維、楊牧天、羅天悅、劉梅、倪琛、吳亞麗、武延軍、孫啟。

開原始碼安全審計可以從軟體程式開發的源頭進行代碼級的安全審計和漏洞檢測，並按照安全風險級別將代碼漏洞進行有效的歸類管理。因此，代碼安全審計提供了一種針對代碼自身安全進行高效的安全管控的方式和方法。

開原始碼安全審計包括的標準:

(a) 定義對開原始碼安全審計及涉及此規範的行業內要求;

(b) 為建立、實施、維護和改進開原始碼安全審計的整個過程提供直接支持、詳細指南和/或解釋;

(c) 針對特定行業提出開原始碼安全審計指南;

(d) 闡述開原始碼安全審計的合格評定方法。