中國信通院與OpenChain達成合作協議 首批可信開源供應鏈雙證啟動

日前，中國信通院成為Linux基金會下OpenChain項目國內首家第三方測評機構。即日起通過中國信通院可信開源供應鏈評估的企業將獲得同時滿足《開源供應鏈風險管理框架》行業標準和OpenChain《ISO/IEC 5230：2020 Information technology — OpenChain Specification》標準并由中國信通院提供證書和測試報告。

開源供應鏈風險管理能力考察軟件提供商供應過程對產品代碼來源風險管控能力。對象為涉及開源引入的軟件提供商和云服務商，此評估針對產品不同代碼來源提出對應的開源風險管控能力要求，包括開源直接引入、開源外包引入和開源商業解決方案引入三種形式，同時考察軟件提供商建立的組織機構和規章制度，也對軟件提供商提供給下游用戶的產品交付物開源風險管理能力進行評估，幫助企業梳理交付物中的開源代碼占比，并對交付物清單中開源組件、開源組件許可證和開源組件安全漏洞進行確認，從而幫助此類企業提高對軟件供應過程中的開源風險的管控能力，保障交付物中開源部分的合規和安全。

即日起通過中國信通院可信開源供應鏈評估可獲得可信開源和OpenChain雙評估結果。