源代码外泄防范对策(下)
文摘
科学
2024-07-05 08:18
北京
本期从机制建设、检测评估2个方面总结了源代码外泄的防范对策。(1)要求重要部门、关键信息基础设施组建重大源代码泄露事件应急小组,在源代码泄露发生后,及时开展源代码重要级别评价、泄露事件影响范围和后果评估、网络源代码下架情况跟踪等措施,并将相关情况和处置结果及时汇报给行业数据安全主管部门。(2)要求因开源软件网络安全漏洞触发源代码泄露的机构,第一时间将漏洞情况同步至网络安全威胁和漏洞信息共享平台,确保漏洞情况和补救措施及时通知至行业其他机构。(3)因第三方外包公司导致源代码泄露的事件,行业主管部门应向下属机构分享外包公司情况,帮助使用相同软件外包服务的机构提前开展泄露审查,并加强相应的合规要求。(1)行业主管部门组织建设开源软件项目安全测试评价机制,大力支持第三方机构针对源代码、运行中的软件系统进行安全漏洞、代码缺陷、后门通道和许可证的测试和评估。(2)建立健全第三方服务机构和人员管理制度规定,不断积极提升软件安全咨询、培训、测试、认证、审计、运维等服务能力。(3)鼓励行业机构在开源软件项目上线前,通过软件数据、网络和内容安全的第三方测试评估,加强软件源代码检测和安全漏洞管理能力,提升开源代码、第三方代码使用的安全风险防控功能,防止因开源代码漏洞导致的大规模数据泄露事件。【摘编自《保密科学技术》2024年2月刊《全球源代码泄露事件影响、成因及对策研究》一文,作者:王伟洁、白利芳、王昊川】