T/JDFA 01-2024 开源软件安全风险评价标准

ICS 03.080.01
CCS A 11
团体标准
T/ JDFA01-2024
开源软件安全风险评价标准
Open source software security risk assessment standards
2024-9-10 发布2024-9-10 实施
江苏省数字金融协会发布

目次
前言...................................................................................................................II
1 范围..............................................................................................................1
2 规范性引用文件..........................................................................................1
3 认定评价原则..............................................................................................1
4 术语与定义..................................................................................................2
5 开源软件安全风险评价流程......................................................................3
6 风险评估和分类..........................................................................................5
7 更新和维护..................................................................................................7
8 法律和合规性考虑....................................................................................12
附录A................................................................................................................. 14
附录B..................................................................................................................16
附录C................................................................................................................. 18
参考文献............................................................................................................. 19
T/ JDFA01-2024
II
前言
根据中国人民银行等单位联合发布的《关于规范金融业开源技术应用与发展的意
见》，标准编制组经广泛调查研究，认真总结实践经验，参考国内外的相关标准，并在
广泛征求意见的基础上，制定本标准。
本标准按照GB 1.1—2020《标准化工作导则第1 部分：标准化文件的结构和起
草规则》的规定起草。
本标准由中国人民银行江苏省分行提出。
本标准由江苏省数字金融协会归口。
本标准主编单位：中科南京软件技术研究院
本标准参编单位：江苏省软件产品检测中心
江苏省知识产权保护中心
江苏省专利信息服务中心
南京理工大学
南京信息工程大学
南京银行
苏商银行
江苏省联合征信有限公司
江苏省数字化协会
江苏省生产力促进中心产业大数据与软件开发服务中心
联通数字科技有限公司
江苏省国信数字科技有限公司
江苏省软件产业股份有限公司
江苏移动信息系统集成有限公司
中国移动紫金（江苏）创新研究院有限公司
南京数字经济科技学会
南京市企业征信服务有限公司
南京联合产权（科技）交易所
南京金盾公共安全技术研究院有限公司
南京扬子江数字科技发展有限公司
T/ JDFA01-2024
III
南京可信数据服务有限公司
南京大数据检测技术有限公司
江苏风云科技服务有限公司
金盾检测技术股份有限公司
苏州市软件评测中心有限公司
北京中科微澜科技有限公司
南京睿鲸数字科技有限公司
本标准主要起草人员：刘斌、吴敬征、李千目、吴奕、王亚利、刘琦、张晖、吴真
炜、徐小锋、任坚斌、王治平、陈俊、何满怀、王品亮、田健、曾飞、张继栋、施琦、
王宏图、包岩、孙凯、吴伟、洪刚、胡成亚、施志晖、王玮、陈志军、戴晔、王雷、
黄道芹、付蓉、孔桂兰、何平、杨加钰
T/ JDFA01-2024
1
开源软件安全风险评价标准
1 范围
标准规范了开源软件安全风险评价流程及指标体系等。
本标准适用于开源软件的安全风险评价。
2 规范性引用文件
下列文件对本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期
的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改
单）适用于本文件。
—《信息安全技术软件产品开源代码安全评价方法（征求意见稿）》
—《软件供应链安全治理实践指南白皮书（2023）》
—《加快开源软件发展三年行动计划（2023-2025 年）》
—《“十四五”软件和信息技术服务业发展规划》
—《信息安全技术关键信息基础设施安全保护要求》（GB 39204-2022）
—《关键信息基础设施安全保护条例》
—《网络安全审查办法》
—《信息安全技术术语》（GB 25069-2022）
—《ICT 供应链安全风险管理指南》（GB 36637-2018）
—《开源软件安全使用规范》（T/CFAS 0001-2019）
3 认定评价原则
开源软件安全风险评价应遵循以下原则：
a） 全面性：评价过程应该覆盖开源软件的各个方面，包括源代码、依
赖关系、社区支持、文档质量等。全面性的评估有助于全面了解软件的安全性。
b） 透明性：评价的过程和结果是透明的，能够为利益相关方提供清晰
的了解。这包括评估方法、标准、指标的明确说明，以及评估报告的及时发布。
c） 实证性：评价应该基于实际的证据和数据，而非仅仅依赖猜测或主
观判断。这可以通过对源代码的溯源、漏洞管理工具的使用等手段来实现。
T/ JDFA01-2024
2
d） 持续性：安全风险评价是一个持续的过程，而不是一次性的活动。
由于软件和威胁环境的不断变化，定期的评估可以及时发现和应对新的安全风险。
e） 合规性：评价过程应该符合相关的法规和标准，例如开源软件的许
可证合规性、隐私法规等。合规性的考量有助于确保评价过程的合法性和可信度。
f） 用户中心：评价以最终用户的安全利益为中心，考虑他们的使用场
景和需求。这有助于确保评价结果与实际应用场景相匹配。
4 术语与定义
下列术语和定义适用于本文件。
4.1
开源软件open source software
允许用户查看、修改和重新分发源代码的软件。其许可证通常符合开源定义
的标准。
4.2
开源许可证open Source License
一种具有法律效力的、允许用户自由使用、修改、复制或分发软件代码的授
权条款格式合同或协议。
4.3
开源社区open source community
以开源代码的贡献者为主体，在开源代码贡献过程中形成的具有特定文化、
组织结构、运行机制的共同体。
4.4
代码标准合规性Code Standards Compliance
估开源软件的代码是否符合制定的编码标准，以确保代码的一致性、可读性
和可维护性。
4.5
开源软件安全风险评价Open Source Software Security Risk Assessment
通过系统性的方法评估开源软件中存在的潜在安全风险，包括漏洞、威胁和
合规性问题。
T/ JDFA01-2024
3
4.6
许可证冲突License conflict
开源许可证冲突是当一个软件项目或者组件中存在多个许可证，处于上层控
制域的许可证（如项目许可）和上层控制域的许可证（如代码文件声明的许可）
不相同时，若上层许可的各项规定均严格于下层许可，则不存在冲突，反之存在
许可证冲突。
5 开源软件安全风险评价流程
开源软件安全风险评价流程为：
A）安全漏洞分析：收集大型开放安全漏洞库、开源社区安全公告、威胁情
报等开源软件的漏洞信息，并对收集到的漏洞进行威胁分析、影响范围分析等。
B）代码合规性检测：使用基于图匹配的代码标准合规检测等方法对开源软
件的许可证进行检查，确保其符合组织内部政策和法规；使用代码审查工具检测
代码中是否存在违反合规性规定的部分。
C）开源许可证合规性分析：使用基于大规模数据库和文本分类算法，获取
不同许可证的条款信息来构建精确到条款的开源项目许可证冲突列表，构建开源
许可证分析器、许可证嗅探器和计算引擎三部分来进行开源项目许可证冲突检测。
通过分析开源软件所使用的许可证，输出准确可靠、清晰易懂、多维度多层次的
许可证使用与条款级冲突检测结果，并评估开源软件是否符合公司或项目的许可
证合规性标准。
D）软件可维护性分析：评估开源软件项目的活跃度，包括最近的更新频率、
提交者活动等，以判断项目是否仍在积极维护。分析开源社区的健康状况，包括
社区规模、反馈响应速度等，以了解用户和开发者参与度。分析开源项目的问题
跟踪系统，对于git 仓库，通过获取gitlog 的commit 记录来获取更新频率和提交
者相关活动。对于github 仓库可以获取push 事件、commit comment 事件等event
事件了解已解决的问题数量和速度，以判断维护团队的响应效率。
E） PoC 判定：分析可能存在的PoC，了解攻击者如何利用软件漏洞进行攻
击。基于PoC 的分析，评估潜在风险和漏洞的危害程度。
F）APT 攻击跟踪：收集关于高级持续威胁（APT）的情报，包括攻击模式、
T/ JDFA01-2024
4
使用的工具、攻击技术等。分析开源软件是否与已知的APT 攻击有关，了解软
件是否容易受到特定威胁。获取其最新的APT 攻击情报，包括攻击模式、使用
的工具、攻击技术等，积极参与安全社区，借助专业社区的力量共同收集和分析
APT 攻击相关情报，形成更全面的数据集。通过将外部提供的APT 攻击工具映
射到开源软件的使用情况，深入了解软件是否使用了与已知APT 攻击相关的工
具。对已知APT 攻击中常见的攻击技术进行分析，验证开源软件是否易受到这
些技术的威胁，为软件加固提供指导。
G）漏洞的响应和修复策略：确定修复优先级、选择适当的修复方法和工具，
以及规划修复的时间和资源。根据漏洞的严重性和影响范围，可以决定优先修复
高风险的漏洞。修复方法可以包括安装补丁、更新软件版本、配置安全设置等。
H）设置权重计算安全风险：制定不同安全风险因素的权重，以反映其在整
体风险中的相对重要性。根据安全漏洞、合规性、可维护性等方面的评估结果，
计算每个因素的得分。将各个方面的得分整合，计算整体的安全风险得分，用于
优先级排序和决策制定。
该评价流程以系统性和综合性的方式评估开源软件的安全风险等级，确保在
使用和集成开源软件时能够充分考虑潜在的安全问题。
T/ JDFA01-2024
5
图1 开源软件安全风险评价流程示意图
6 风险评估和分类
1) 安全漏洞分析：
a) 收集大型开放安全漏洞库、开源社区安全公告、威胁情报等开源软件的
漏洞信息；
b) 对收集到的漏洞进行威胁分析，包括攻击方式、危害程度等；
c) 进行影响范围分析，评估漏洞对系统、数据的潜在影响；
d) 判定漏洞的严重性，建立漏洞等级体系。
2) 代码合规性检测：
a) 使用基于图匹配的代码标准合规检测方法对开源软件的许可证进行检查；
b) 确保许可证符合组织内部政策和法规；
T/ JDFA01-2024
6
c) 使用代码审查工具检测代码中是否存在违反合规性规定的部分；
d) 形成代码合规性报告，包含违规部分的详细信息。
3) 开源许可证合规性分析：
a) 使用大规模数据库和文本分类算法获取不同许可证的条款信息；
b) 构建精确到条款的开源项目许可证冲突列表；
c) 分析开源软件所使用的许可证，输出准确、清晰的许可证使用与条款级
冲突检测结果；
d) 评估开源软件是否符合公司或项目的许可证合规性标准。
4) 软件可维护性分析：
a) 评估开源软件项目的活跃度，包括最近的更新频率、提交者活动等；
b) 分析开源社区的健康状况，包括社区规模、反馈响应速度等；
c) 分析开源项目的问题跟踪系统，了解已解决的问题数量和速度；
d) 判断维护团队的响应效率，形成维护性评估结果。
5) PoC 判定：
a) 分析可能存在的PoC，了解攻击者如何利用软件漏洞进行攻击；
b) 基于PoC 的分析，评估潜在风险和漏洞的危害程度；
c) 判断PoC 是否公开，是否存在可用的防护措施。
6) APT 攻击跟踪：
a) 收集关于高级持续威胁（APT）的情报，包括攻击模式、使用的工具、
攻击技术等；
b) 分析开源软件是否与已知的APT 攻击有关；
c) 了解软件是否容易受到特定威胁；
d) 形成APT 攻击跟踪报告，提供防范建议。
7) 漏洞的响应和修复策略：
T/ JDFA01-2024
7
a) 识别漏洞：使用漏洞扫描工具或监测系统，及时发现开源软件项目中的
潜在漏洞；
b) 评估漏洞严重性：对发现的漏洞进行评估，确定其对系统安全的影响程
度，以便有针对性地处理；
c) 寻找已有解决方案：查看开源社区、漏洞数据库等资源，了解是否已经
存在关于发现漏洞的解决方案或补丁。
d) 联系维护团队：向开源项目的维护团队报告漏洞，提供详细的漏洞信息
和可能的修复建议，包括安装补丁、更新软件版本、配置安全设置等。
e) 跟踪漏洞修复进度：在开源项目的问题跟踪系统中跟踪漏洞修复的进度，
了解维护团队的响应速度和解决效率。
f) 定期审查：建立定期的漏洞审查机制，对开源软件项目进行定期评估，
确保漏洞响应和修复策略的持续有效性。
8) 设置权重计算安全风险：
a) 制定不同安全风险因素的权重，考虑漏洞、合规性、可维护性等方面的
相对重要性；
b) 根据评估结果，计算每个因素的得分；
c) 整合各个方面的得分，计算整体的安全风险得分；
d) 用于优先级排序和决策制定，形成安全风险权重计算。
7 更新和维护
（一） 版本确认与官方发布：
a) 开源社区互动： 在版本确认过程中，积极参与相关开源社区，关注
官方发布通道，确保及时获取最新版本信息。例如，加入相关开源
项目的邮件列表，定期查看和参与讨论，这有助于了解即将发布的
版本、解决的问题以及社区的最新动态。关注项目在社交媒体平台
上的官方账号，及时获取项目的最新消息、版本发布和重要更新。
积极参与社交媒体上的讨论，获取其他用户的反馈和经验。使用RSS
T/ JDFA01-2024
8
工具订阅项目的更新源，以确保第一时间收到最新的博客文章、新
闻和发布通知，及时了解项目的动态。。
b) 验证数字签名：在确认软件版本时，通过验证官方发布的数字签名
确保最大限度的完整性和真实性，以防止在下载过程中遭遇潜在的
篡改。确保了解项目使用的数字签名算法，以及它们的安全性和可
靠性。常见的签名算法包括RSA、DSA 和ECDSA。从官方渠道获
取开发团队的公钥，确保公钥的完整性。最好是通过多个途径获取
公钥，例如通过HTTPS 访问项目网站、使用PGP 密钥服务器等。
使用专业的签名验证工具，如GnuPG（GNU Privacy Guard）或类
似工具，对下载的软件进行数字签名的验证。验证签名时，了解项
目的公开信任模型。了解开发团队如何建立信任链，以确保所使用
的公钥是合法和可信的。
（二） 获取与维护活动安全评估：
a) 下载来源验证：对于所有对开源软件的获取过程，确保从官方来源
或受信任的镜像站点下载软件，减少中间人攻击的风险。在无法直
接从官方获取时，选择使用被广泛认可和信任的镜像站点。确保这
些站点是由软件项目或相关社区官方认可的，并定期检查它们的可
信度。载软件包之前，检查它是否附带了数字签名。使用开发者的
公钥验证签名，以确保软件的完整性和真实性。数字签名提供了对
软件包是否被篡改的额外验证层。
b) 使用安全通信协议：在下载、更新或修改软件的过程中，使用安全
的通信协议，如HTTPS，以保护数据的机密性和完整性。针对软件
下载和更新的服务器，确保其SSL/TLS 配置是最新且安全的。使用
最新的加密算法，禁用不安全的协议版本，以保护通信的安全性。
对于使用镜像站点的情况，验证这些站点是否同样通过HTTPS 提
供服务。避免从未加密的镜像站点下载软件，以减轻中间人攻击和
数据篡改的风险。如果在组织内使用代理服务器，确保代理服务器
本身也使用安全的通信协议。防止代理服务器成为潜在的漏洞，确
T/ JDFA01-2024
9
保其不会篡改或劫持下载的软件。定期检查用于加密通信的
SSL/TLS 证书的有效性。使用过期或被吊销的证书会增加安全风险，
因此要及时更新证书。
（三） 遗留系统变更的安全计划与评审：
a) 全面变更分析：在进行任何继承系统变更之前，进行全面的软件安
全计划，包括变更类型、模块影响和潜在新的安全风险的分析。对
系统的不同模块进行深入分析，明确每个变更对模块的影响。这包
括对模块之间的依赖关系、数据流、接口等进行全面的了解，以便
及时发现潜在的问题并采取相应的安全措施。通过采用先进的漏洞
分析工具和技术，对变更引入的潜在新的安全风险进行详尽的识别。
这包括对代码的静态分析、动态测试以及模糊测试等手段，以保证
系统在变更后不会引入新的漏洞和风险。
b) 安全评审流程：制定吸引人的安全评审流程，确保所有变更计划均
经过专业安全评审，以识别潜在的安全隐患。
i. 安全评审团队组建
建立专业的安全评审团队，包括安全专家、架构师、开发人员和测试人员等。
确保评审团队具备全面的技术知识和经验，能够全面审查变更计划的安全性。
ii. 评审文档和会议
要求变更计划提交详细的评审文档，包括变更的目的、实现方式、可能影响
等方面的信息。召开定期的评审会议，确保所有关键人员都有机会提出问题和建
议，从而更好地发现潜在的安全隐患。
iii. 自动化工具支持
结合自动化安全工具，对变更计划进行自动化审查，以提高评审的效率和全
面性。这包括对代码的静态分析、依赖扫描、漏洞检测等工具的使用，以辅助人
工评审。
iv. 持续监控与反馈
建立变更后的持续监控机制，及时捕捉潜在的安全问题。同时，建立反馈机
T/ JDFA01-2024
10
制，确保评审结果能够及时传达给开发团队，以便及时修复和改进。
（四） 持续更新与维护计划：
a) 制定定期的更新与维护计划：
i. 周期性漏洞扫描与评估：
设定周期性漏洞扫描计划，通过自动化工具对系统进行漏洞扫描，并对扫描
结果进行详细评估，以及确定漏洞的严重程度和紧急性。
ii. 漏洞报告管理：
建立漏洞报告管理系统，记录每一次漏洞扫描的结果，明确漏洞的描述、影
响范围和可能的攻击路径
iii. 制定紧急修复计划：
针对高危漏洞，建立紧急修复计划，确保在最短时间内部署相应的修复措施，
以防范潜在的安全风险
b) 应对安全威胁和技术变化的更新计划：建立技术监测团队，定期追
踪安全领域的新兴威胁、漏洞和攻击技术，并进行趋势分析，以确
保系统始终能够抵御最新的安全威胁。为团队成员提供定期的安全
培训，使其保持对新技术和威胁的敏感性，并能够及时适应变化的
安全环境。引入自动化工具，监测已安装的开源软件，并根据最新
的安全公告自动应用适用的安全补丁。确保系统随时处于最新的安
全状态。
c) 安全补丁的及时应用：制定安全补丁测试流程，确保在应用补丁之
前对其进行充分的测试，以防止不稳定性和不良影响。设计完善的
灾备计划和回滚策略，以应对在安全补丁应用过程中可能发生的问
题，确保系统的可用性和稳定性。设定定期的安全审查计划，检查
已应用的安全补丁是否有效，并对系统进行进一步的安全评估，以
保持系统的整体安全性。
（五） 漏洞响应机制：
T/ JDFA01-2024
11
a) 快速响应团队成立：设立专门的漏洞响应团队，确保漏洞的快速确
认、定级和通知相关团队，以及制定合理的修复计划。
b) 漏洞确认：利用自动化工具和实时监测系统迅速检测潜在漏洞，对
漏洞进行定级，根据潜在风险严重性划分为紧急、重要、一般等级。
设立有效的通信渠道，确保漏洞信息的及时传达、确定紧急响应计
划，确保高危漏洞得到及时处理。
c) 漏洞修复测试：在应用修复之前，进行充分的漏洞修复测试，以确
保修复计划的有效性且不会引入新的问题，测修复对系统性能的影
响，以保证修复后系统的高效运行。
（六） 技术变化适应性：
a) 跟踪行业和技术的变化，定期进行深入的行业趋势研究，包括新技
术的涌现、安全漏洞的曝光以及最佳实践的变化。通过跟踪最新行
业动向，确保团队对技术变化有敏感性。。建立严格的安全标准，
并持续评估系统中使用的开源软件，确保其符合最新的安全标准。
通过定期的安全审查，及时发现并处理潜在的安全风险。
b) 制定技术升级计划：根据评估结果，制定系统中开源软件的技术升
级计划，确保软件在新的技术环境中仍然安全可靠。根据评估结果
确定开源软件的升级优先级和时间表。确保升级过程中不影响系统
的正常运行，并充分测试新版本的兼容性。制定开源软件的技术生
命周期管理策略，提前规划软件更新和替换。通过提前预测软件版
本的停止支持日期，避免因为使用过时版本而面临的安全风险。
（七） 安全计划执行监控：
a) 建立监控机制：建立监控系统，监测安全计划的执行，包括安全补
丁的应用、系统变更的合规性，以及漏洞修复的实际效果。。引入
自动审计工具，监控系统变更的合规性，及时发现并处理违规操作。
制定紧急响应计划，对于监测到的异常情况能够迅速采取措施进行
应对。
T/ JDFA01-2024
12
b) 问题追踪与修订：在监控过程中发现的问题及时纳入修订计划，确
保安全计划的不断完善和适应变化。对于紧急问题，建立快速响应
机制，确保及时制定修订计划。
8 法律和合规性考虑
（一）开源软件在业务关键核心功能中的重要程度
1. 业务依赖性：考虑开源软件在业务运作中的关键程度，以确定其对
整体业务的依赖程度。
2. 核心功能涉及的开源组件：评估核心业务功能中所使用的开源组件，
重点关注对业务稳定性和可用性有重要影响的组件。
3. 对业务流程的贡献：分析开源软件对业务流程的贡献，确保其能够
顺利集成并提供必要的支持。
（二）开源软件安全风险可能带来的危害程度
1. 敏感数据和隐私保护：考虑开源软件在处理敏感数据时的安全性，
以及对用户隐私的保护程度。
2. 业务中断和数据泄露风险：评估开源软件的漏洞可能导致的业务中
断和数据泄露风险，特别关注对业务连续性的潜在影响。
3. 合规性风险：分析开源软件在满足法规和合规性方面的能力，强调
其在保护用户数据和遵守隐私法规方面的合规性。
（三）对法规和合规性的影响
1. 数据隐私法规要求：确保开源软件符合相关数据隐私法规，如GDPR
等，以防范法律责任。
2. 知识产权合规性：评估开源软件的知识产权合规性，确保使用的开
源组件不侵犯任何知识产权。
3. 安全标准遵循：强调开源软件在安全标准（如OWASP Top 10）方面
的符合性，以确保应对当前安全威胁。
（四）法规要求的指导和建议
T/ JDFA01-2024
13
1. 隐私保护策略：制定和实施严格的隐私保护策略，包括用户数据的
加密、访问控制和数据处理透明度。
2. 定期合规性审查：定期进行开源软件合规性审查，确保其满足最新
的法规和合规性要求。
3. 法务咨询与合同管理：与法务团队合作，确保使用开源软件的合同
明确规定了法规和合规性方面的责任和义务。
4. 持续监测与响应：建立持续监测机制，及时应对新出现的法规和合
规性要求，确保开源软件的持续合规性。
5. 教育培训：对开发人员和相关团队进行法规和合规性培训，提高对
合规性要求的认识。
T/ JDFA01-2024
14
附录A
（规范性附录）
开源软件安全风险评价指标体系权重评分表
表A.1 给出了开源软件安全风险评价指标体系权重评分表示例。
表A.1 开源软件安全风险评价指标体系权重评分表示例
一级指标二级指标
权重x
50%
权重x
100%
权重
（分数）
评价标准
安全漏洞分析
漏洞信息收集0.1 0.2 20 信息收集及时、全面，有助
于风险预防。
威胁分析0.15 0.3 30 对攻击方式和危害程度的准
确评估。
影响范围分析0.1 0.2 20 对漏洞潜在影响的评估是否
全面。
漏洞严重性判定0.15 0.3 30 建立漏洞等级体系，判定严
重性。
代码合规性检测
许可证检查0.1 0.2 20 对许可证合规性的全面检
查。
许可证符合政策
和法规0.1 0.2 20 许可证符合内部政策和法
规。
代码审查和合规
性报告0.15 0.3 30 通过代码审查工具检测违规
部分。
形成详细的合规
性报告0.15 0.3 30 提供详细的违规部分信息。
开源许可证合规
性分析
许可证信息获取0.1 0.2 20 通过数据库和算法获取许可
证信息。
许可证合规性检
测0.1 0.2 20 分析许可证使用与条款级冲
突检测。
准确输出冲突检
测结果0.15 0.3 30 输出精确、清晰的检测结果。
评估合规性标准0.15 0.3 30 评估软件是否符合公司或项
目标准。
软件可维护性分
析
活跃度评估0.1 0.2 20 评估开源软件项目的活跃
度。
健康状况分析0.1 0.2 20 分析开源社区的规模和响应
速度。
问题跟踪分析0.15 0.3 30 了解已解决问题的数量和速
度。
维护团队响应效
率0.15 0.3 30 判断维护团队对问题的响应
效率。
PoC 判定攻击方式分析0.1 0.2 20 分析攻击者如何利用漏洞进
T/ JDFA01-2024
15
行攻击。
危害程度评估0.15 0.3 30 评估漏洞的潜在危害程度。
公开PoC 检查0.1 0.2 20 判断PoC 是否公开，是否存
在防护措施。
APT 攻击跟踪
情报收集0.1 0.2 20 收集关于高级持续威胁的情
报。
软件关联APT 攻
击0.1 0.2 20 分析软件是否与已知的APT
攻击有关。
软件易受威胁分
析0.15 0.3 30 了解软件是否容易受到特定
威胁。
APT 攻击跟踪报
告0.15 0.3 30 提供防范建议的APT 攻击跟
踪报告。
T/ JDFA01-2024
16
附录B
（规范性附录）
开源软件安全风险评价相关指标的计算方法
B.1 安全漏洞统计
开源软件中，每个漏洞都有不同的危害程度，可以根据漏洞的影响因素给予
相应的分数，然后对所有漏洞的分数进行加权求和计算软件中漏洞的危害程度总
分。
危害程度总分=