近日,中国信通院“软件自研创新能力”专项评估(简称“可信研创”)结果正式公布,作为唯一的国产操作系统产品,银河麒麟桌面操作系统V10 (SP1) 2203顺利通过评估。“可信研创”通过源码级别的开源同源匹配技术,分析软件产品的代码组成成分,帮助用户了解其中的开源应用情况,实现“自研率高”“安全性强”“合规度高”“稳定性好”四大目标, 提升自研创新产品的可信度,为用户采购开源应用提供参考。
《“十四五”软件和信息技术服务业发展规划》明确提出持续推动软件高质量发展的指导思想和壮大信息技术应用创新体系的任务要求。在“数字化”和“信创化”的加速推进下,国内软件行业自主创新活力不断释放,技术迭代和产品升级不断加速。其中,开源作为产业协同与创新发展的重要模式,有效助力企业加速技术创新,实现“弯道超车”。
然而,我国开源产业尚处于发展阶段,企业对开源的应用存在不透明、不安全、不合规、不成熟等问题。用户企业在招标采购时,亟需清晰准确地衡量软件产品中的开源应用情况,在开源可知可控的基础上,切实评价和比较供应商产品的自研创新水平。
中国信息通信研究院(以下简称“中国信通院”)自2015年筹备并成立国内首个开源联盟,率先提出“可信开源”理念,多年来致力于推动国内开源生态“安全”“合规”“持续”“健康”发展。结合前期研究成果和测试验证积累,中国信通院针对软件产品自研水平评价的痛点,重磅推出“软件自研创新能力”专项评估(简称“可信研创”)。目前首批试评估工作已圆满完成,共有4家企业的4款产品通过评估。
评估内容
“软件自研创新能力”专项评估从“代码自研率”“代码安全”“开源代码合规”“代码管理”四个维度,提出4大类19项具体指标,为综合评价软件产品的可信研创水平提供重要参考。
中国信通院经过长期探索和积累,已构建覆盖开源代码成分检测、代码溯源信息检测、安全漏洞风险检测、开源许可证合规检测四大功能的软件成分分析能力,覆盖Java、C、C++、Go、Python等300余种编程语言,囊括GitHub、Gitee等主流代码托管平台的500余万开源项目,收录超过25万条安全漏洞和200余种主流许可证,积累知识库规模超过200T,为开展“软件自研创新能力”专项评估提供坚实基础。
评估价值
“软件自研创新能力”专项评估旨在通过源码级别的开源同源匹配技术,分析软件产品的代码组成成分,帮助用户了解其中的开源应用情况,实现“自研率高”“安全性强”“合规度高”“稳定性好”四大目标, 提升自研创新产品的可信度。
• “自研率高”:通过代码同源分析识别软件产品中的开源代码部分,掌握真实可信的代码构成情况,并从文件数维度和代码行数维度计算代码自研率,提升商业软件的代码透明度。
• “安全性强”:通过考察软件产品中代码安全漏洞率、版本更新周期等情况,最大程度降低安全事件发生的可能性,保障商业软件中代码的安全性。
• “合规度高”:通过考察软件产品中开源代码的开源许可证互惠性、兼容性等情况,防范开源许可证知识产权侵权风险,保障商业软件的合规性。
• “稳定性好”:通过考察软件产品中物料清单、代码设计使用等情况,评估其代码应用管理能力,保障商业软件中的代码稳定运行。
经过首批试评估验证,“软件自研创新能力”专项评估现正式面向市场公开征集参评单位,欢迎有意向的单位报名参与。
往期回顾