備受業界關注的《網絡安全技術 軟件產品開源代碼安全評價方法》國家標準宣貫會在北京隆重召開，并取得了圓滿成功。本次會議由國家相關標準化技術委員會聯合多家權威機構共同主辦，吸引了來自全國各地的網絡安全專家、軟件企業代表、開源社區負責人、高校學者及政府監管部門代表等數百人參會，共同就國家標準的深入實施與網絡信息安全軟件開發的未來發展進行了深入研討與交流。

隨著信息技術的飛速發展，開源軟件已成為現代軟件開發的基石，廣泛應用于操作系統、數據庫、中間件乃至各類應用軟件中。開源代碼在帶來高效、靈活和低成本優勢的其引入的安全漏洞、許可證合規風險以及供應鏈安全問題也日益凸顯，對關鍵信息基礎設施和各類數字化業務構成了嚴峻挑戰。在此背景下，制定并推廣一套科學、統一、可操作的軟件產品開源代碼安全評價方法國家標準，對于提升我國軟件產業整體安全水平、保障網絡空間安全具有重大而深遠的意義。

本次宣貫會核心圍繞《網絡安全技術 軟件產品開源代碼安全評價方法》國家標準（以下簡稱“標準”）的詳細內容、制定背景、技術要點及實施指南展開。標準系統性地規定了軟件產品中開源代碼的安全評價目標、評價模型、評價內容、評價過程以及評價結果表示方法，為軟件開發商、第三方測評機構、采購方和監管部門提供了一套完整的技術依據和操作規范。

會議期間，標準的主要起草專家對標準條文進行了權威解讀。重點闡釋了標準提出的“成分識別、風險分析、安全測評、合規審查”四位一體的評價框架。該框架要求首先全面識別軟件產品中所包含的開源組件及其依賴關系，構建準確的軟件物料清單（SBOM）；進而，結合漏洞數據庫、威脅情報等，對識別出的開源組件進行安全漏洞與潛在威脅的風險分析；通過靜態分析、動態測試、交互式應用安全測試等多種技術手段進行深入的安全測評；對開源組件的許可證合規性進行嚴格審查，避免知識產權糾紛。標準強調評價過程的持續性和迭代性，倡導將安全評價融入軟件開發生命周期（SDLC）的全過程。

多位與會專家在主題演講和圓桌論壇中指出，該國家標準的發布與宣貫，標志著我國在開源軟件治理領域邁出了關鍵一步。它不僅有助于引導軟件企業建立規范的開源軟件引入、使用和維護流程，從源頭降低安全風險，還能有效提升軟件產品的透明度和可信度，為軟件供應鏈安全保駕護航。對于網絡與信息安全軟件開發而言，標準提供了明確的安全能力建設方向，推動開發者將安全視為內生屬性而非外掛功能，促進安全開發（DevSecOps）理念的落地與實踐。

在“網絡與信息安全軟件開發”專題討論環節，來自頭部安全企業、大型互聯網公司及創新型科技公司的技術負責人分享了他們在實踐中應用標準預研內容的經驗與案例。大家一致認為，標準的實施將促使企業在軟件開發早期就充分考慮開源組件的選型安全，建立自動化的開源組件管理與檢測平臺，并將安全評價結果作為產品發布和迭代決策的重要依據。這不僅能顯著提升軟件自身的安全性，還能在整個供應鏈中傳遞安全信任，形成良性生態。

本次宣貫會還設置了標準應用試點經驗分享、測評工具展示及互動答疑等環節，現場氣氛熱烈，交流充分。與會代表紛紛表示，通過此次會議，對國家標準的技術內涵和實操要求有了更深刻的理解，返回工作崗位后將積極推動標準在本單位、本領域的貫徹落實。

會議最后強調，標準的生命在于實施。下一步，相關主管部門、標準化機構、行業組織及領軍企業將協同發力，通過開展系列培訓、建設示范案例、完善配套工具、加強國際對接等方式，持續推動標準的廣泛落地與應用。也將根據技術發展和產業反饋，對標準進行動態維護與更新，確保其始終具備先進性和適用性。

《網絡安全技術 軟件產品開源代碼安全評價方法》國家標準宣貫會的成功召開，為我國構建更安全、更可靠、更可控的軟件供應鏈奠定了堅實的標準化基礎，必將有力助推我國網絡與信息安全軟件開發邁向高質量、高標準發展的新階段，為筑牢國家網絡空間安全屏障貢獻關鍵力量。