中 国 软 件 行 业 协 会 团 体 标 准 T/SIA056 -2025 开源操作系统社区可控开源体系建设规范 security controllability requirements of open source operating system community construction 2025-9-4发布 2025-9-4实施 中国软件行业协会发 布 ICS 35.020 T/ SIA CCS L77 全国团体标准信息平台 I 目 录 前 言 ................................ ............................. II 1 范围 ................................ ............................. 1 2 规范性引用文件 ................................ ................... 1 3 术语和定义 ................................ ....................... 1 3.1 开源软件 ................................ ...................... 1 3.2 开源社区 ................................ ...................... 1 3.3 可控开源 ................................ ...................... 2 3.4 开源许可协议 ................................ .................. 2 3.5 冗余代码 ................................ ...................... 2 3.6 被动错误检测 ................................ .................. 2 3.7 主动错误检测 ................................ .................. 2 3.8 完整性 ................................ ........................ 2 3.9 宽松型许可证 ................................ .................. 2 3.10 互惠型许可证 ................................ ................. 3 3.11 中危安全漏洞 ................................ ................. 3 4 缩略语 ................................ ........................... 3 5 可控开源操作系统社区必要性 ................................ ....... 3 6 可控开源操作系统社区能力框架 ................................ ..... 4 7 可控开源操作系统社区规范 ................................ ......... 5 7.1 来源可控 ................................ ...................... 5 7.2 设计可控 ................................ ...................... 6 7.3 开发可控 ................................ ...................... 7 参考文献 ................................ .......................... 10 全国团体标准信息平台 T/SIA056 -2025 开源操作系统社区可控开源体系建设规范 II 前 言 开源操作系统社区中的开源组件由于在软件来源、软件设计、软件开发的过程中缺乏相 关的流程标准，使得开源操作系统的可控性难以得到保障。现有的开源规范主要是针对单个 软件产品的规范，而开源操作 系统社区需解决供应链协同等系统性问题，为此，提出“开源 操作系统社区可控开源体系建设规范”，统一开源操作系统社区的可控开源要求，以促进开 源操作系统社区高水平发展。 本标准由中国软件行业协会提出并归口。 本标准起草单位：麒麟软件有限公司、国防科技大学、联想开天科技有限公司、海光信 息技术股份有限公司、沐曦集成电路 (上海)股份有限公司、飞腾信息技术有限公司、北京中 科通量科技有限公司、清华大学、国家工业信息安全发展研究中心、先进计算与关键软件海 河实验室。 本标准主要起草人：毛周、刘敏、李剑峰、张超、朱晨、康艳红、余杰 、马俊、刘晓东、 曹先念、和志华、郑臣明、李伟、章津楠、黄勇才、刘勇鹏、胡湘华、吴冬冬、罗鑫、刘知 远、辛晓华、赵娆、王文竹、田舒洋、 谢炜、刘美燕、卢光明、张然、曾雪征。 本标准的某些内容可能涉及专利，本标准的发布机构不承担识别这些专利的责任。 本标准为首次制定。 本标准按照 GB／T 1.1-2020 给出的规则起草。 全国团体标准信息平台 T/SIA056 -2025 开源操作系统社区可控开源体系建设规范 1 开源操作系统社区可控开源体系建设规范 1 范围 本文件规定了桌面、服务器、嵌入式与实时、移动与互联网专用、分布式、安全强化型 和车控开源操作系统社区建设在组件来源、软件设计、软件开发等方面的 可控要求。 本文件适用于指导开源操作系统社区的规范化建设， 也可对开发者向开源社区贡献安全 的代码以及用户安全使用开源社区软件提供指导。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版 本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 15272 -1994 程序设计语言 C ISO/TS 10303 -27:2000 Industrial automation systems and integration — Product data representation and exchange — Part 27: Implementation methods: Java TM programming language binding to the standard data access interface with Internet/Intranet extensions GB/T 16260.1 -2006 软件工程 产品质量 ISO/IEC 25010:2011 软件质量评估模型 ISO/IEC 33004:2015 Information technology – Process assessment – Requirements for process reference, Process assessment and maturity models ISO/IEC/IEEE 12207:2017 Systems and software engineering – Software life cycleprocesses 可靠性工程师手册 GB/T 44272 -2024 开源许可证框架 ISO/IEC 5230: 2020 Information technology - OpenChain Specification H-202104251959 可信开源社区评估规范 T/NIFA 7 -2021 金融行业开源软件评测规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 开源软件 open source software 开源软件是指根据开源软件许可协议发布的、软件源代码可公开获得的软件。 3.2 开源社区 open source community 开源社区又称为开放源代码社区，是指开发 /管理/推动开源软件 项目、发布开源软件源 代码及相关文档、分享 /交流开源软件相关问题、托管开源软件源代码等功能的网络平台或 者团体、组织等。 全国团体标准信息平台 T/SIA056 -2025 开源操作系统社区可控开源体系建设规范 2 3.3 可控开源 controlled open source 可控开源是指在开源社区建设中，通过制定和实施一系列规章制度、技术方案，确保开 源社区中的代码来源可控、系统设计可控、开发过程可控，