軟件成分分析（SCA）知識庫總體技術(shù)要求

ICS35.080CCSL67團(tuán)體標(biāo)準(zhǔn)軟件成分分析（SCA）知識庫Overalltechnicalrequirementsforsoftwarecom中國互聯(lián)網(wǎng)協(xié)會發(fā)布1T/ISC0035—2023前言 3 52規(guī)范性引用文件 53術(shù)語和定義 54知識庫技術(shù)要求 54.1知識庫一般要求 54.2知識庫內(nèi)容要求 64.3知識庫操作要求 7附錄A（資料性）常見公開漏洞庫 8附錄B（資料性）漏洞分析結(jié)果字段參考 82T/ISC0035—20233T/ISC0035—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中國信息產(chǎn)業(yè)商會團(tuán)體標(biāo)準(zhǔn)專業(yè)委員會提出并歸口。本文件起草單位：中國信息通信研究院上海安勢信息技術(shù)有限公司墨菲未來科技（北京）有限公司中國移動通信集團(tuán)有限公司中興通訊股份有限公司中國電信股份有限公司研究院中移(蘇州)軟件技術(shù)有限公司北京火山引擎科技有限公司紫光展銳（上海）科技有限公司湖南泛聯(lián)新安信息科技有限公司北京安普諾信息技術(shù)有限公司工業(yè)和信息化部電子第五研究所蘇州棱鏡七彩信息科技有限公司西安奇科厚德信息科技有限公司本文件主要起草人：沈瀅王峰項曙明王崇萍張雷柴思躍王鑫輝朱賢曼張俊霞李雪謝竑申昊鑫陳泳孫振華朱中華覃子桐莊表偉陳泳歐陽強斌吳榮兵龍文選于金澤胡濱張濤王雪松但吉兵王媛媛4T/ISC0035—20235T/ISC0035—2023軟件成分分析（SCA）知識庫總體技術(shù)要求本文件規(guī)定了軟件成分分析（SCA）知識庫系統(tǒng)設(shè)計的總體技術(shù)要求。本文件適用于SCA知識庫系統(tǒng)的設(shè)計、應(yīng)用和評價。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1開源項目opensourceproject包含開源代碼或開源軟件的項目。簡稱“項目”。3.2組件component開源項目內(nèi)具有獨立的工作邏輯的功能模塊。3.3軟件成分分析softwarecompositionanalysis；SCA通過對軟件源碼、二進(jìn)制軟件包等的靜態(tài)分析，發(fā)現(xiàn)其所存在的開源合規(guī)、已知漏洞等合規(guī)性和安全性風(fēng)險的開源組件應(yīng)用管理方法。3.4知識庫knowledgebase；K-base包含推理規(guī)則以及有關(guān)某一領(lǐng)域中人類經(jīng)驗和專業(yè)知識的信息的數(shù)據(jù)庫4知識庫技術(shù)要求4.1知識庫一般要求SCA知識庫應(yīng)滿足如下功能和性能要求：a）知識庫內(nèi)容全面準(zhǔn)確；b）知識庫提供存儲、更新與修改能力；c）具備寫入、存儲、查詢、管理數(shù)據(jù)的基本功能；6T/ISC0035—2023d）具備與主流外圍軟硬件系統(tǒng)集成和兼容的能力；e）具備一定的管理能力，包括安裝部署能力、配置管理能力及實時監(jiān)控能力、用戶管理能力、在線升級能力、元數(shù)據(jù)查看以及導(dǎo)入導(dǎo)出能力；f）具備容錯能力，以確保在發(fā)生故障時，不會影響到業(yè)務(wù)的運行，故障包括但不限于硬件故障、操作系統(tǒng)故障、數(shù)據(jù)庫服務(wù)故障；g）具備過載保護(hù)能力以及數(shù)據(jù)多副本能力；h）具備擴展性，包括集群的在線擴容能力和縮容能力；i）具備安全性，保證數(shù)據(jù)在傳輸和使用過程中的安全，包括對用戶進(jìn)行身份認(rèn)證的能力、操作審計能力以及加解密能力；j）具備較高的性能，需要考察寫入性能、查詢性能、數(shù)據(jù)導(dǎo)入性能及數(shù)據(jù)壓縮能力。4.2知識庫內(nèi)容要求4.2.1SCA知識庫內(nèi)容應(yīng)至少包含源代碼庫、許可證庫、漏洞庫和密碼算法庫。4.2.2源代碼庫內(nèi)容應(yīng)滿足如下要求：a）代碼來源廣度：包含主流開源倉庫/平臺的開源源代碼b）單個項目的元數(shù)據(jù)齊全和完整：1）元數(shù)據(jù)顆粒度：項目級別、組件級別、文件級別、代碼片段級別；2）元數(shù)據(jù)完整和準(zhǔn)確：，下載數(shù)量，所屬開源社區(qū)/基金會等；?組件級元數(shù)據(jù)：基本元數(shù)據(jù)：組件名稱、描述、創(chuàng)建時間、版本、許可證、URL、擁有者、量、最新發(fā)布時間、資源庫大小等；?文件級元數(shù)據(jù)：文件名稱、URL、創(chuàng)建時間、最近更新時間、最近更新人等。3）元數(shù)據(jù)關(guān)聯(lián)關(guān)系：父子關(guān)系、依賴信息、許可證信息、版權(quán)信息、額外的許可要求等c）數(shù)據(jù)的一致性：原樣獲取和經(jīng)過處理的數(shù)據(jù)均需與來源一致。4.2.3許可證庫內(nèi)容應(yīng)滿足如下要求：a）來源覆蓋度：業(yè)界主要開源軟件的許可證；b）信息齊全：許可證SPDX簡稱、許可證全稱、許可證原文URL、許可證原文文本、是否OSI認(rèn)證、是否FSF認(rèn)證；c）許可證解讀：權(quán)利、義務(wù)、約束條件；4.2.4漏洞庫內(nèi)容應(yīng)滿足如下要求：源參見附錄A）b）漏洞時效性：在漏洞被發(fā)現(xiàn)第一時間能收錄；7T/ISC0035—2023c）漏洞關(guān)聯(lián)的準(zhǔn)確性：能識別到所有受影響的版本；d）漏洞關(guān)聯(lián)的顆粒度：關(guān)聯(lián)到項目級別、組件級別、文件級別、函數(shù)級別、代碼片段級別；e）漏洞分析：至少包含解決建議（修復(fù)或規(guī)避建議）、漏洞分級、影響范圍。（體現(xiàn)更強漏洞分析能力的指標(biāo)參見附錄B）4.2.5密碼算法庫內(nèi)容應(yīng)滿足如下要求：a)來源齊全：是否包含業(yè)界各常用密碼算法，尤其是非標(biāo)準(zhǔn)密碼算法b)密碼算法特征：針對具體某個密碼算法，其特征庫是否涵蓋各主流編程語言的特征，不因編程語言不同而影響識別；c)密碼算法和組件關(guān)聯(lián)關(guān)系：是否能準(zhǔn)確方便地識別到使用密碼算法的組件/版本；d)能區(qū)分標(biāo)準(zhǔn)密碼算法和非標(biāo)準(zhǔn)密碼算法。4.3知識庫操作要求4.3.1知識庫存儲應(yīng)滿足如下要求：a)以合理的組織方式存儲或壓縮，盡量減少知識庫大小，方便存儲、更新和檢索；4.3.2知識庫更新應(yīng)滿足如下要求：a）更新能力：出現(xiàn)新的組件和漏洞等知識數(shù)據(jù)，及時更新；b）更新方式：同時支持在線更新（不影響軟件正常運行）和離線更新。4.3.3知識庫修改應(yīng)滿足如下要求：知識庫具備可修改功能，包括不限于提供接口以供用戶按照約定的格式進(jìn)行內(nèi)容修改與定制化。8T/ISC0035—2023常見公開漏洞