2024軟件代碼自主率測評(píng)方法

軟件代碼自主率測評(píng)方法11目次前 言 2132范引文件 33語定義 3代審計(jì) 3成分析 33.3源碼 4代自率 4有代行數(shù) 4總碼數(shù) 4開源碼重 4開組比重 44檢45測56置件 57測容規(guī)則 57.1檢內(nèi)容 5相軟的主性檢測 5開組依性測 6代總數(shù)測 6代安性6代自率633軟件代碼自主率測評(píng)方法范圍本文件規(guī)定了對(duì)軟件和應(yīng)用產(chǎn)品代碼自主率的技術(shù)要求，描述了其測試方法。（GB/T25000.10—2016第10:GB/T25000.51—2016第51:（RUSP）GB/T34943—2017C/C++語言源代碼漏洞測試規(guī)范GB/T34944—2017Java語言源代碼漏洞測試規(guī)范GB/T34946—2017C#語言源代碼漏洞測試規(guī)范GJB/Z141—2004軍用軟件測試指南QJ3027A—2016航天型號(hào)軟件測試規(guī)范GB/T34943—2017、GB/T34944—2017、GB/T34946—2017、GJB/Z141—2004、QJ3027A—2016界定的以及下列術(shù)語和定義適用于本文件。sourcecodeaudit一種以發(fā)現(xiàn)程序錯(cuò)誤，安全漏洞和違反程序規(guī)范為目標(biāo)的源代碼分析。softwarecompositionanalysis一種對(duì)軟件的組成部分進(jìn)行識(shí)別、分析和追蹤的技術(shù)，用于分析了解應(yīng)用程序中使用的開源組件和44依賴關(guān)系，以及如何自動(dòng)化地使用這些組件和依賴關(guān)系。sourcecode以適合輸入到匯編程序、編譯器或其他翻譯器的形式表示的代碼。[ISO/IEC2382-7:2000]codeautonomyrate(CAR)代碼自主率是指軟件產(chǎn)品中自主開發(fā)的代碼占總代碼的比例，它反映了軟件產(chǎn)品的自主創(chuàng)新能力和知識(shí)產(chǎn)權(quán)保護(hù)程度。一般來說，代碼自主率越高，軟件產(chǎn)品越具有競爭優(yōu)勢和市場價(jià)值。self-developmentcodelines（SCL）指去掉代碼注釋后的自主代碼行數(shù)，即自主開發(fā)的有效代碼行數(shù)。totalcodelines（TCL）指去掉注釋后的代碼總行數(shù)，即有效代碼總行數(shù)。opensourcecoderate（OSR）即已使用開源源代碼的行數(shù)占總行數(shù)的比例。開源組件比例opensourcecomponentrate（OCR）/為保證檢測的有效性和效率，送檢方需提供以下資料：55檢測環(huán)境應(yīng)由檢測方和送檢方共同搭建。為保證檢測的準(zhǔn)確性，在檢測之前需驗(yàn)證以下內(nèi)容：代碼自主檢測包含以下檢測內(nèi)容：對(duì)軟件運(yùn)行所需要的相關(guān)軟件進(jìn)行分類：FTP（）25%。66通過單獨(dú)使用或組合使用以下方式開展代碼成分分析檢測工作，獲取檢測數(shù)據(jù)：工具檢測（A）：使用成熟的商業(yè)成分分析工具對(duì)項(xiàng)目進(jìn)行掃描，識(shí)別代碼成分組成。人工審核（B）：人工審核掃描結(jié)果，分析成分組成結(jié)果，判斷組件缺陷危害程度，評(píng)估License風(fēng)險(xiǎn)。與送檢方確認(rèn)最后的開源組件依賴清單。使用工具對(duì)源代碼部分的代碼總行數(shù)進(jìn)行檢測。代碼總行數(shù)包括軟件代碼，包括配置文件。注釋內(nèi)容和空行予以扣除。原則上按照分行符計(jì)算代碼行數(shù)。對(duì)于特殊代碼，軟件總行數(shù)小于代碼命令數(shù)10%，檢測方可以酌情考慮是否按照代碼結(jié)束符來計(jì)算代碼行數(shù)。（1）高危漏洞：通常安全檢測工具判斷的，真實(shí)存在的高危漏洞。代碼安全性得分=(嚴(yán)重漏洞數(shù)*5%)+高危漏洞數(shù)/（代碼總數(shù)/10000）*1%代碼自主率基礎(chǔ)計(jì)算公式：CAR1=(SCL/TCL)×(