TJDFA 01-2024 開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)

ICS03.080.01CCSA11團(tuán) 體 標(biāo) 準(zhǔn)T/JDFA01-2024開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)Opensourcesoftwaresecurityriskassessmentstandards2024-9-10發(fā)布 2024-9-10實(shí)施江蘇省數(shù)字金融協(xié)會(huì) 發(fā)布T/JDFA01-2024T/JDFA01-2024PAGE\*ROMANPAGE\*ROMANIII目次前 言 II范圍 1規(guī)范性引用文件 1認(rèn)定評(píng)價(jià)原則 1術(shù)語與定義 2開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)流程 3風(fēng)險(xiǎn)評(píng)估和分類 5更新和維護(hù) 7法律和合規(guī)性考慮 12附錄A 14附錄B 16附錄C 18參考文獻(xiàn) 19前 言根據(jù)中國人民銀行等單位聯(lián)合發(fā)布的《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意GB/T1.1—20201部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起本標(biāo)準(zhǔn)由中國人民銀行江蘇省分行提出。本標(biāo)準(zhǔn)由江蘇省數(shù)字金融協(xié)會(huì)歸口。本標(biāo)準(zhǔn)主編單位：中科南京軟件技術(shù)研究院本標(biāo)準(zhǔn)參編單位：江蘇省軟件產(chǎn)品檢測(cè)中心江蘇省知識(shí)產(chǎn)權(quán)保護(hù)中心江蘇省專利信息服務(wù)中心南京理工大學(xué)江蘇省聯(lián)合征信有限公司江蘇省數(shù)字化協(xié)會(huì)江蘇省生產(chǎn)力促進(jìn)中心產(chǎn)業(yè)大數(shù)據(jù)與軟件開發(fā)服務(wù)中心聯(lián)通數(shù)字科技有限公司中國移動(dòng)紫金（江蘇）創(chuàng)新研究院有限公司南京數(shù)字經(jīng)濟(jì)科技學(xué)會(huì)南京市企業(yè)征信服務(wù)有限公司南京聯(lián)合產(chǎn)權(quán)（科技）交易所南京金盾公共安全技術(shù)研究院有限公司南京揚(yáng)子江數(shù)字科技發(fā)展有限公司包巖、孫凱、吳偉、洪剛、胡成亞、施志暉、王瑋、陳志軍、戴曄、王雷、T/JDFA01-2024T/JDFA01-2024PAGEPAGE10開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)范圍標(biāo)準(zhǔn)規(guī)范了開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)流程及指標(biāo)體系等。本標(biāo)準(zhǔn)適用于開源軟件的安全風(fēng)險(xiǎn)評(píng)價(jià)。規(guī)范性引用文件（單）適用于本文件?！缎畔踩夹g(shù)軟件產(chǎn)品開源代碼安全評(píng)價(jià)方法（征求意見稿）》—《軟件供應(yīng)鏈安全治理實(shí)踐指南白皮書（2023）》—《加快開源軟件發(fā)展三年行動(dòng)計(jì)劃（2023-2025年）》—《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》—《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T39204-2022）—《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》—《網(wǎng)絡(luò)安全審查辦法》—《信息安全技術(shù)術(shù)語》（GB/T25069-2022）—《ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》（GB/T36637-2018）—《開源軟件安全使用規(guī)范》（T/CFAS0001-2019）認(rèn)定評(píng)價(jià)原則開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)遵循以下原則：全面性：評(píng)價(jià)過程應(yīng)該覆蓋開源軟件的各個(gè)方面，包括源代碼、依透明性：評(píng)價(jià)的過程和結(jié)果是透明的，能夠?yàn)槔嫦嚓P(guān)方提供清晰實(shí)證性：評(píng)價(jià)應(yīng)該基于實(shí)際的證據(jù)和數(shù)據(jù)，而非僅僅依賴猜測(cè)或主觀判斷。這可以通過對(duì)源代碼的溯源、漏洞管理工具的使用等手段來實(shí)現(xiàn)。持續(xù)性：安全風(fēng)險(xiǎn)評(píng)價(jià)是一個(gè)持續(xù)的過程，而不是一次性的活動(dòng)。合規(guī)性：評(píng)價(jià)過程應(yīng)該符合相關(guān)的法規(guī)和標(biāo)準(zhǔn)，例如開源軟件的許用戶中心：評(píng)價(jià)以最終用戶的安全利益為中心，考慮他們的使用場(chǎng)景和需求。這有助于確保評(píng)價(jià)結(jié)果與實(shí)際應(yīng)用場(chǎng)景相匹配。術(shù)語與定義下列術(shù)語和定義適用于本文件。4.1開源軟件opensourcesoftware允許用戶查看、修改和重新分發(fā)源代碼的軟件。其許可證通常符合開源定義的標(biāo)準(zhǔn)。4.2開源許可證openSourceLicense權(quán)條款格式合同或協(xié)議。4.3開源社區(qū) opensourcecommunity以開源代碼的貢獻(xiàn)者為主體，在開源代碼貢獻(xiàn)過程中形成的具有特定文化、組織結(jié)構(gòu)、運(yùn)行機(jī)制的共同體。4.4代碼標(biāo)準(zhǔn)合規(guī)性 CodeStandardsCompliance和可維護(hù)性。4.5開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià) OpenSourceSoftwareSecurityRiskAssessment合規(guī)性問題。4.6許可證沖突 Licenseconflict開源許可證沖突是當(dāng)一個(gè)軟件項(xiàng)目或者組件中存在多個(gè)許可證，處于上層控制域的許可證（如項(xiàng)目許可）和上層控制域的許可證（如代碼文件聲明的許可開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)流程開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)流程為：代碼中是否存在違反合規(guī)性規(guī)定的部分。gitgitlogcommit記錄來獲取更新頻率和提githubpushcommitcomment事件等event事件了解已解決的問題數(shù)量和速度，以判斷維護(hù)團(tuán)隊(duì)的響應(yīng)效率。PoCPoC的分析，評(píng)估潛在風(fēng)險(xiǎn)和漏洞的危害程度。F）APT攻擊跟蹤：收集關(guān)于高級(jí)持續(xù)威脅（APT）的情報(bào)，包括攻擊模式、APT攻擊有關(guān)，了解軟APT攻擊情報(bào)，包括攻擊模式、使用APTAPT攻擊工具映APT攻擊相關(guān)的工APT攻擊中常見的攻擊技術(shù)進(jìn)行分析，驗(yàn)證開源軟件是否易受到這些技術(shù)的威脅，為軟件加固提供指導(dǎo)。使用和集成開源軟件時(shí)能夠充分考慮潛在的安全問題。圖1開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)流程示意圖風(fēng)險(xiǎn)評(píng)估和分類安全漏洞分析：漏洞信息；對(duì)收集到的漏洞進(jìn)行威脅分析，包括攻擊方式、危害程度等；進(jìn)行影響范圍分析，評(píng)估漏洞對(duì)系統(tǒng)、數(shù)據(jù)的潛在影響；判定漏洞的嚴(yán)重性，建立漏洞等級(jí)體系。代碼合規(guī)性檢測(cè)：使用基于圖匹配的代碼標(biāo)準(zhǔn)合規(guī)檢測(cè)方法對(duì)開源軟件的許可證進(jìn)行檢查；確保許可證符合組織內(nèi)部政策和法規(guī)；使用代碼審查工具檢測(cè)代碼中是否存在違反合規(guī)性規(guī)定的部分；形成代碼合規(guī)性報(bào)告，包含違規(guī)部分的詳細(xì)信息。開源許可證合規(guī)性分析：使用大規(guī)模數(shù)據(jù)庫和文本分類算法獲取不同許可證的條款信息；構(gòu)建精確到條款的開源項(xiàng)目許可證沖突列表；沖突檢測(cè)結(jié)果；評(píng)估開源軟件是否符合公司或項(xiàng)目的許可證合規(guī)性標(biāo)準(zhǔn)。軟件可維護(hù)性分析：評(píng)估開源軟件項(xiàng)目的活躍度，包括最近的更新頻率、提交者活動(dòng)等；分析開源社區(qū)的健康狀況，包括社區(qū)規(guī)模、反饋響應(yīng)速度等；分析開源項(xiàng)目的問題跟蹤系統(tǒng)，了解已解決的問題數(shù)量和速度；判斷維護(hù)團(tuán)隊(duì)的響應(yīng)效率，形成維護(hù)性評(píng)估結(jié)果。PoC判定：PoC，了解攻擊者如何利用軟件漏洞進(jìn)行攻擊；PoC的分析，評(píng)估潛在風(fēng)險(xiǎn)和漏洞的危害程度；PoC是否公開，是否存在可用的防護(hù)措施。APT攻擊跟蹤：收集關(guān)于高級(jí)持續(xù)威脅（APT）攻擊技術(shù)等；APT攻擊有關(guān)；了解軟件是否容易受到特定威脅；APT攻擊跟蹤報(bào)告，提供防范建議。漏洞的響應(yīng)和修復(fù)策略：潛在漏洞；度，以便有針對(duì)性地處理；存在關(guān)于發(fā)現(xiàn)漏洞的解決方案或補(bǔ)丁。和可能的修復(fù)建議，包括安裝補(bǔ)丁、更新軟件版本、配置安全設(shè)置等。了解維護(hù)團(tuán)隊(duì)的響應(yīng)速度和解決效率。確保漏洞響應(yīng)和修復(fù)策略的持續(xù)有效性。設(shè)置權(quán)重計(jì)算安全風(fēng)險(xiǎn)：相對(duì)重要性；根據(jù)評(píng)估結(jié)果，計(jì)算每個(gè)因素的得分；整合各個(gè)方面的得分，計(jì)算整體的安全風(fēng)險(xiǎn)得分；用于優(yōu)先級(jí)排序和決策制定，形成安全風(fēng)險(xiǎn)權(quán)重計(jì)算。更新和維護(hù)（一）RSS工具訂閱項(xiàng)目的更新源，以確保第一時(shí)間收到最新的博客文章、新聞和發(fā)布通知，及時(shí)了解項(xiàng)目的動(dòng)態(tài)。。驗(yàn)證數(shù)字簽名：在確認(rèn)軟件版本時(shí)，通過驗(yàn)證官方發(fā)布的數(shù)字簽名RSADSAECDSAHTTPSPGP密鑰服務(wù)器等。GnuPG（GNUPrivacyGuard）或類的公鑰是合法和可信的。（二）獲取與維護(hù)活動(dòng)安全評(píng)估：下載來源驗(yàn)證：對(duì)于所有對(duì)開源軟件的獲取過程，確保從官方來源軟件包是否被篡改的額外驗(yàn)證層。使用安全通信協(xié)議：在下載、更新或修改軟件的過程中，使用安全SSL/TLSHTTPS提保其不會(huì)篡改或劫持下載的軟件。定期檢查用于加密通信的SSL/TLS因此要及時(shí)更新證書。（三）遺留系統(tǒng)變更的安全計(jì)劃與評(píng)審：全面變更分析：在進(jìn)行任何繼承系統(tǒng)變更之前，進(jìn)行全面的軟件安經(jīng)過專業(yè)安全評(píng)審，以識(shí)別潛在的安全隱患。安全評(píng)審團(tuán)隊(duì)組建確保評(píng)審團(tuán)隊(duì)具備全面的技術(shù)知識(shí)和經(jīng)驗(yàn)，能夠全面審查變更計(jì)劃的安全性。評(píng)審文檔和會(huì)議議，從而更好地發(fā)現(xiàn)潛在的安全隱患。自動(dòng)化工具支持工評(píng)審。持續(xù)監(jiān)控與反饋建立變更后的持續(xù)監(jiān)控機(jī)制，及時(shí)捕捉潛在的安全問題。同時(shí)，建立反饋機(jī)制，確保評(píng)審結(jié)果能夠及時(shí)傳達(dá)給開發(fā)團(tuán)隊(duì)，以便及時(shí)修復(fù)和改進(jìn)。（四）持續(xù)更新與維護(hù)計(jì)劃：制定定期的更新與維護(hù)計(jì)劃：周期性漏洞掃描與評(píng)估：結(jié)果進(jìn)行詳細(xì)評(píng)估，以及確定漏洞的嚴(yán)重程度和緊急性。漏洞報(bào)告管理：響范圍和可能的攻擊路徑制定緊急修復(fù)計(jì)劃：以防范潛在的安全風(fēng)險(xiǎn)應(yīng)對(duì)安全威脅和技術(shù)變化的更新計(jì)劃：建立技術(shù)監(jiān)測(cè)團(tuán)隊(duì)，定期追全狀態(tài)。安全補(bǔ)丁的及時(shí)應(yīng)用：制定安全補(bǔ)丁測(cè)試流程，確保在應(yīng)用補(bǔ)丁之保持系統(tǒng)的整體安全性。（五）漏洞響應(yīng)機(jī)制：認(rèn)、定級(jí)和通知相關(guān)團(tuán)隊(duì)，以及制定合理的修復(fù)計(jì)劃。漏洞確認(rèn)：利用自動(dòng)化工具和實(shí)時(shí)監(jiān)測(cè)系統(tǒng)迅速檢測(cè)潛在漏洞，對(duì)漏洞修復(fù)測(cè)試：在應(yīng)用修復(fù)之前，進(jìn)行充分的漏洞修復(fù)測(cè)試，以確響，以保證修復(fù)后系統(tǒng)的高效運(yùn)行。（六）技術(shù)變化適應(yīng)性：跟蹤行業(yè)和技術(shù)的變化，定期進(jìn)行深入的行業(yè)趨勢(shì)研究，包括新技通過定期的安全審查，及時(shí)發(fā)現(xiàn)并處理潛在的安全風(fēng)險(xiǎn)。制定技術(shù)升級(jí)計(jì)劃：根據(jù)評(píng)估結(jié)果，制定系統(tǒng)中開源軟件的技術(shù)升本的停止支持日期，避免因?yàn)槭褂眠^時(shí)版本而面臨的安全風(fēng)險(xiǎn)。（七）安全計(jì)劃執(zhí)行監(jiān)控：建立監(jiān)控機(jī)制：建立監(jiān)控系統(tǒng)，監(jiān)測(cè)安全計(jì)劃的執(zhí)行，包括安全補(bǔ)問題追蹤與修訂：在監(jiān)控過程中發(fā)現(xiàn)的問題及時(shí)納入修訂計(jì)劃，確機(jī)制，確保及時(shí)制定修訂計(jì)劃。法律和合規(guī)性考慮（一）開源軟件在業(yè)務(wù)關(guān)鍵核心功能中的重要程度整體業(yè)務(wù)的依賴程度。重點(diǎn)關(guān)注對(duì)業(yè)務(wù)穩(wěn)定性和可用性有重要影響的組件。順利集成并提供必要的支持。（二）開源軟件安全風(fēng)險(xiǎn)可能帶來的危害程度以及對(duì)用戶隱私的保護(hù)程度。斷和數(shù)據(jù)泄露風(fēng)險(xiǎn)，特別關(guān)注對(duì)業(yè)務(wù)連續(xù)性的潛在影響。其在保護(hù)用戶數(shù)據(jù)和遵守隱私法規(guī)方面的合規(guī)性。（三）對(duì)法規(guī)和合規(guī)性的影響GDPR等，以防范法律責(zé)任。源組件不侵犯任何知識(shí)產(chǎn)權(quán)。（的符合性，以確保應(yīng)對(duì)當(dāng)前安全威脅。（四）法規(guī)要求的指導(dǎo)和建議加密、訪問控制和數(shù)據(jù)處理透明度。的法規(guī)和合規(guī)性要求。明確規(guī)定了法規(guī)和合規(guī)性方面的責(zé)任和義務(wù)。規(guī)性要求，確保開源軟件的持續(xù)合規(guī)性。合規(guī)性要求的認(rèn)識(shí)。附錄A（規(guī)范性附錄）開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系權(quán)重評(píng)分表一級(jí)指標(biāo)二級(jí)指標(biāo)權(quán)重x50%x100%一級(jí)指標(biāo)二級(jí)指標(biāo)權(quán)重x50%x100%權(quán)重（分?jǐn)?shù)）評(píng)價(jià)標(biāo)準(zhǔn)安全漏洞分析漏洞信息收集0.10.220信息收集及時(shí)、全面，有助于風(fēng)險(xiǎn)預(yù)防。威脅分析0.150.330對(duì)攻擊方式和危害程度的準(zhǔn)確評(píng)估。影響范圍分析0.10.220對(duì)漏洞潛在影響的評(píng)估是否全面。漏洞嚴(yán)重性判定0.150.330建立漏洞等級(jí)體系，判定嚴(yán)重性。代碼合規(guī)性檢測(cè)許可證檢查0.10.220對(duì)許可證合規(guī)性的全面檢查。許可證符合政策和法規(guī)0.10.220許可證符合內(nèi)部政策和法規(guī)。代碼審查和合規(guī)性報(bào)告0.150.330通過代碼審查工具檢測(cè)違規(guī)部分。形成詳細(xì)的合規(guī)性報(bào)告0.150.330提供詳細(xì)的違規(guī)部分信息。開源許可證合規(guī)性分析許可證信息獲取0.10.220通過數(shù)據(jù)庫和算法獲取許可證信息。許可證合規(guī)性檢測(cè)0.10.220分析許可證使用與條款級(jí)沖突檢測(cè)。準(zhǔn)確輸出沖突檢測(cè)結(jié)果0.150.330評(píng)估合規(guī)性標(biāo)準(zhǔn)0.150.330評(píng)估軟件是否符合公司或項(xiàng)目標(biāo)準(zhǔn)。軟件可維護(hù)性分析活躍度評(píng)估0.10.220評(píng)估開源軟件項(xiàng)目的活躍度。健康狀況分析0.10.220分析開源社區(qū)的規(guī)模和響應(yīng)速度。問題跟蹤分析0.150.330了解已解決問題的數(shù)量和速度。維護(hù)團(tuán)隊(duì)響應(yīng)效率0.150.330判斷維護(hù)團(tuán)隊(duì)對(duì)問題的響應(yīng)效率。PoC判定攻擊方式分析0.10.220分析攻擊者如何利用漏洞進(jìn)行攻擊。危害程度評(píng)估0.150.330評(píng)估漏洞的潛在危害程度。公開PoC檢查0.10.220判斷PoC是否公開，是否存在防護(hù)措施。APT攻擊跟蹤情報(bào)收集0.10.220收集關(guān)于高級(jí)持續(xù)威脅的情報(bào)。軟件關(guān)聯(lián)APT攻擊0.10.220分析軟件是否與已知的APT攻擊有關(guān)。軟件易受威脅分析0.150.330了解軟件是否容易受到特定威脅。APT攻擊跟蹤報(bào)告0.150.330提供防范建議的APT攻擊跟蹤報(bào)告。附錄B（規(guī)范性附錄）開源軟件安全風(fēng)險(xiǎn)評(píng)價(jià)相關(guān)指標(biāo)的計(jì)算方法B.1安全漏洞統(tǒng)計(jì)分。

?=1

(???)?i??i個(gè)漏洞的危害程度重。B.2可維護(hù)性分析計(jì)算交者活動(dòng)等。1、活躍度得分如下所示：??=???+?????RUC存在時(shí)間以月為單位）；CA交的貢獻(xiàn)者數(shù)量來衡量。2、維護(hù)團(tuán)隊(duì)響應(yīng)效率得分維護(hù)團(tuán)隊(duì)響應(yīng)效率得分反映了維護(hù)團(tuán)隊(duì)對(duì)問題的響應(yīng)速度。具體的計(jì)算方式如下所示：

??=??????????表示在規(guī)定時(shí)間內(nèi)得到響應(yīng)的問題數(shù)量是響應(yīng)時(shí)間的效率，通過計(jì)算平均響應(yīng)時(shí)間來衡量。B.3開源軟件安全風(fēng)險(xiǎn)計(jì)算義一個(gè)綜合的開源軟件安全風(fēng)險(xiǎn)計(jì)算數(shù)學(xué)公式：??=Σ

??????,????)?? ??=1 ?其中：N??i,???i,????i?i。附錄C（規(guī)范性附錄）表C.1相關(guān)國家標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)名稱1GB/T36475—2018《軟件產(chǎn)品分類》2GB/T30279—2020《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》3GB/T39204-2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》4GB/T25069-2022《信息安全技術(shù)術(shù)語》5GB/T36637-2018《ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》6T/CFAS0001-2019《開源軟件安全使用規(guī)范》附錄D（資料性附錄）開源軟件安全風(fēng)險(xiǎn)評(píng)估流程示例下面以金融行業(yè)某一開源軟件為例，說明開源軟件安全風(fēng)險(xiǎn)評(píng)估流程。價(jià)指標(biāo)數(shù)據(jù)庫中。監(jiān)測(cè)數(shù)據(jù)包括但不限于：CPUI/O性能指標(biāo)，這些數(shù)據(jù)可以用于監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)和性能瓶頸。等行為數(shù)據(jù)也可以被收集和分析，以了解用戶的使用習(xí)慣和偏好。訪問日志、操作日志等，可以用于診斷和解決問題。據(jù)可以幫助發(fā)現(xiàn)潛在的安全威脅和漏洞。預(yù)測(cè)數(shù)據(jù)包括但不限于：對(duì)未來的趨勢(shì)進(jìn)行預(yù)測(cè)，如用戶增長(zhǎng)趨勢(shì)、系統(tǒng)負(fù)載趨勢(shì)等。統(tǒng)的風(fēng)險(xiǎn)水平，如預(yù)測(cè)可能出現(xiàn)的故障、安全漏洞等。預(yù)測(cè)用戶對(duì)產(chǎn)品的需求和期望，從而指導(dǎo)產(chǎn)品的設(shè)計(jì)和開發(fā)。自己的需求和偏好來定義和收集特定的監(jiān)測(cè)和預(yù)測(cè)數(shù)據(jù)。步驟二：選擇安全風(fēng)險(xiǎn)評(píng)估指標(biāo)D.1所示。表D.1 金融軟件的評(píng)估指標(biāo)評(píng)估指標(biāo)評(píng)估要求安全漏洞分析情報(bào)等開源軟件的漏洞信息；程度等；響；判定漏洞的嚴(yán)重性，建立漏洞等級(jí)體系。代碼合規(guī)性檢測(cè)的許可證進(jìn)行檢查；確保許可證符合組織內(nèi)部政策和法規(guī)；定的部分；形成代碼合規(guī)性報(bào)告，包含違規(guī)部分的詳細(xì)信息。開源許可證合規(guī)性分析條款信息；構(gòu)建精確到條款的開源項(xiàng)目許可證沖突列表；可證使用與條款級(jí)沖突檢測(cè)結(jié)果；評(píng)估開源軟件是否符合公司或項(xiàng)目的許可證合規(guī)性標(biāo)準(zhǔn)。軟件可維護(hù)性分析條款信息；構(gòu)建精確到條款的開源項(xiàng)目許可證沖突列表；可證使用與條款級(jí)沖突檢測(cè)結(jié)果；標(biāo)準(zhǔn)。步驟三：設(shè)置評(píng)估指標(biāo)的權(quán)重金融行業(yè)開源軟件測(cè)評(píng)過程中對(duì)評(píng)估屬性和測(cè)評(píng)指標(biāo)進(jìn)行分級(jí)定義和分級(jí)合具體開源軟件特點(diǎn)進(jìn)行合理增刪。25%25%25%25%。步驟四：執(zhí)行安全風(fēng)險(xiǎn)評(píng)估，計(jì)算得到評(píng)估得分。步驟4.1：計(jì)算評(píng)估指標(biāo)的指標(biāo)通過率的指標(biāo)通過率。指標(biāo)通過率計(jì)算公式見公式（1）。指標(biāo)通過率=通過測(cè)評(píng)的指標(biāo)數(shù)×100% （1）總測(cè)評(píng)指標(biāo)數(shù)評(píng)估指標(biāo)評(píng)估要求評(píng)估結(jié)果指標(biāo)通過率安全漏洞分析漏洞信息收集通過100%評(píng)估指標(biāo)評(píng)估要求評(píng)估結(jié)果指標(biāo)通過率安全漏洞分析漏洞信息收集通過100%威脅分析通過影響范圍分析通過漏洞嚴(yán)重性判定通過代碼合規(guī)性檢測(cè)許可證檢查通過50%許可證符合政策和法規(guī)通過代碼審查和合規(guī)性報(bào)告不通過形成詳細(xì)的合規(guī)性報(bào)告不通過開