《软件成分分析SCA知识库总体技术要求(T-ISC 0035—2023).pdf》由会员分享,可在线阅读,更多相关《软件成分分析SCA知识库总体技术要求(T-ISC 0035—2023).pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.080CCS L67团团体体标标准准T/ISC 00352023软件成分分析(SCA)知识库总体技术要求Overall technical requirements for software composition analysis(SCA)knowledge base(发布稿)2023-11-152023-11-15 发布2023-12-01 实施发发 布布中中 国国 互互 联联 网网 协协 会会T/ISC 003520231目次前言.31 范围.52 规范性引用文件.53 术语和定义.54 知识库技术要求.54.1 知识库一般要求.54.2 知识库内容要求.64.3 知识库操
2、作要求.7附 录 A(资料性)常见公开漏洞库.8附 录 B(资料性)漏洞分析结果字段参考.8T/ISC 003520232T/ISC 003520233前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准专业委员会提出并归口。本文件起草单位:中国信息通信研究院 上海安势信息技术有限公司墨菲未来科技(北京)有限公司 中国移动通信集团有限公司 中兴通讯股份有限公司 中国电信股份有限公司研究院中移(苏州)软件技术有限公司 北京火山引擎科技有限公司紫
3、光展銳(上海)科技有限公司 湖南泛联新安信息科技有限公司 北京安普诺信息技术有限公司 工业和信息化部电子第五研究所 苏州棱镜七彩信息科技有限公司 西安奇科厚德信息科技有限公司本文件主要起草人:沈滢 王峰 项曙明 王崇萍 张雷 柴思跃 王鑫辉 朱贤曼 张俊霞 李雪 谢竑申昊鑫 陈泳 孙振华 朱中华 覃子桐 庄表伟 陈泳 欧阳强斌 吴荣兵 龙文选 于金泽 胡滨 张涛 王雪松 但吉兵 王媛媛T/ISC 003520234T/ISC 003520235软件成分分析(SCA)知识库总体技术要求1范围本文件规定了软件成分分析(SCA)知识库系统设计的总体技术要求。本文件适用于SCA知识库系统的设计、应用和
4、评价。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ISO/IEC 5230:2020 Information technology OpenChain Specification3术语和定义下列术语和定义适用于本文件。3.1开源项目open source project包含开源代码或开源软件的项目。简称“项目”。3.2组件component开源项目内具有独立的工作逻辑的功能模块。3.3软件成分分析software composition a
5、nalysis;SCA通过对软件源码、二进制软件包等的静态分析,发现其所存在的开源合规、已知漏洞等合规性和安全性风险的开源组件应用管理方法。3.4知识库knowledge base;K-base包含推理规则以及有关某一领域中人类经验和专业知识的信息的数据库来源:ISO/IEC 2382:2015,2121399,有修改:删除注4知识库技术要求4.1 知识库一般要求SCA知识库应满足如下功能和性能要求:a)知识库内容全面准确;b)知识库提供存储、更新与修改能力;c)具备写入、存储、查询、管理数据的基本功能;T/ISC 003520236d)具备与主流外围软硬件系统集成和兼容的能力;e)具备一定的
6、管理能力,包括安装部署能力、配置管理能力及实时监控能力、用户管理能力、在线升级能力、元数据查看以及导入导出能力;f)具备容错能力,以确保在发生故障时,不会影响到业务的运行,故障包括但不限于硬件故障、操作系统故障、数据库服务故障;g)具备过载保护能力以及数据多副本能力;h)具备扩展性,包括集群的在线扩容能力和缩容能力;i)具备安全性,保证数据在传输和使用过程中的安全,包括对用户进行身份认证的能力、操作审计能力以及加解密能力;j)具备较高的性能,需要考察写入性能、查询性能、数据导入性能及数据压缩能力。4.2 知识库内容要求4.2.1SCA 知识库内容应至少包含源代码库、许可证库、漏洞库和密码算法库
7、。4.2.2源代码库内容应满足如下要求:a)代码来源广度:包含主流开源仓库/平台的开源源代码b)单个项目的元数据齐全和完整:1)元数据颗粒度:项目级别、组件级别、文件级别、代码片段级别;2)元数据完整和准确:项目或社区活跃度:最近更新时间,最近commit数量1,contributor数量2、star数量3、fork数量4,issue数量5,下载数量,所属开源社区/基金会等;组件级元数据:基本元数据:组件名称、描述、创建时间、版本、许可证、URL、拥有者、程序语言活跃性数据:commit数量、PR数量、Issue数量、Star数量、Fork数量、Contributors数量、下载量、最新发布时
8、间、资源库大小等;文件级元数据:文件名称、URL、创建时间、最近更新时间、最近更新人等。3)元数据关联关系:父子关系、依赖信息、许可证信息、版权信息、额外的许可要求等c)数据的一致性:原样获取和经过处理的数据均需与来源一致。4.2.3许可证库内容应满足如下要求:a)来源覆盖度:业界主要开源软件的许可证;b)信息齐全:许可证SPDX简称、许可证全称、许可证原文URL、许可证原文文本、是否OSI认证、是否FSF认证;c)许可证解读:权利、义务、约束条件;4.2.4漏洞库内容应满足如下要求:a)来源齐全:至少包含NVD、CNNVD、CNVD、CVE和GitHub Advisory漏洞库;(更广泛的漏
9、洞来源参见附录A)b)漏洞时效性:在漏洞被发现第一时间能收录;1)commit 数量是指代码提交次数2)contributor 数量是指代码贡献者的数量3)star 数量是开源项目被用户点击星按钮的次数4)fork 数量是指开源项目被克隆的次数5)issue 数量是指开源项目的使用者针对该项目所提出的问题的次数T/ISC 003520237c)漏洞关联的准确性:能识别到所有受影响的版本;d)漏洞关联的颗粒度:关联到项目级别、组件级别、文件级别、函数级别、代码片段级别;e)漏洞分析:至少包含解决建议(修复或规避建议)、漏洞分级、影响范围。(体现更强漏洞分析能力的指标参见附录B)4.2.5密码算法
10、库内容应满足如下要求:a)来源齐全:是否包含业界各常用密码算法,尤其是非标准密码算法b)密码算法特征:针对具体某个密码算法,其特征库是否涵盖各主流编程语言的特征,不因编程语言不同而影响识别;c)密码算法和组件关联关系:是否能准确方便地识别到使用密码算法的组件/版本;d)能区分标准密码算法和非标准密码算法。4.3 知识库操作要求4.3.1知识库存储应满足如下要求:a)以合理的组织方式存储或压缩,尽量减少知识库大小,方便存储、更新和检索;b)数据格式方便转换,至少支持json、txt等目标格式。4.3.2知识库更新应满足如下要求:a)更新能力:出现新的组件和漏洞等知识数据,及时更新;b)更新方式:
11、同时支持在线更新(不影响软件正常运行)和离线更新。4.3.3知识库修改应满足如下要求:知识库具备可修改功能,包括不限于提供接口以供用户按照约定的格式进行内容修改与定制化。T/ISC 003520238AA附 录 A(资料性)常见公开漏洞库常见公开漏洞库包括(但不限于):NVD(National Vulnerability Database)CVE(Common Vulnerabilities and Exposures)CNNVD(国家信息安全漏洞库)CNVD(国家信息安全漏洞共享平台)GitHub Advisory DatabaseGitLab Advisory DatabaseOSV(Open Source Vulnerability)GSD(Global Security Database)附 录 B(资料性)漏洞分析结果字段参考漏洞分析结果字段通常包括(但不限于):漏洞原因分析漏洞危害描述漏洞分级漏洞类型影响范围(含影响软件及版本)解决建议(修复或规避建议)可利用的证明代码(PoC)利用条件利用成本利用成熟度处置优先级漏洞可达性说明参考链接_