ICS 35.040 CCS A 11 中华人民共和国国家标准 GB/T 42927—2023 金融行业开源软件测评规范 Financial industry open source software evaluation specification 2023-08-06发布 2023-08-06实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42927—2023 目 次 前言 1 范围 规范性引用文件 2 3 术语和定义 4 缩略语 金融行业开源软件测评体系 5 6 金融行业开源软件测评模型 6.1 开源许可证 6.2 行业认可度 6.3 产品活力 6.4 服务支持 6.5 安全性 6.6 兼容性 6.7 可维护性 6.8 可扩展性 6.9 功能性 6.10 可靠性 6.11 易用性 6.12 性能效率 7金融行业开源软件测评方法 10 7.1 说明 10 7.2 权重设定 10 7.3 评分计算· 10 7.4 等级评价 参考文献 12 GB/T42927—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由全国金融标准化技术委员会(SAC/TC180)归口。 本文件起草单位:中国互联网金融协会、中国建设银行股份有限公司、中国工商银行股份有限公司、 中国农业银行股份有限公司、中国银联股份有限公司、交通银行股份有限公司、招商银行股份有限公司、 中信银行股份有限公司、上海银行股份有限公司、深圳前海微众银行股份有限公司、中国人寿保险(集 团)公司、国泰君安证券股份有限公司、中互金认证有限公司、北京银联金卡科技有限公司、华为技术有 限公司、证通股份有限公司、深圳市腾讯计算机系统有限公司、蚂蚁科技集团股份有限公司、北京国家金 融标准化研究院有限责任公司、北京金融科技产业联盟、北京国家金融科技认证中心有限公司。 本文件主要起草人:杨农、何红滢、沈一飞、杨彬、刘绪光、付大源、张维凡、金磐石、李鑫、郭贞、袁巍、 牟宁波、徐葛、孙刚、闫冬梅、刘阳、闫晓林、赖强、岳松颂、刘建珍、姜晓璇、孙权、周雍恺、赵庆杭、王琪、 蒋丹妮、白宗杰、王冠雄、罗文江、李霞、王丽丽、姜建成、钟燕清、董亮、俞枫、刘传友、张忍、刘志刚、 李增局、史汝辉、王鑫、白阳、符海芳、马全一、李永乐、李茂雨、周凌、李克鹏、单致蒙、代威、蒋增增、 陆碧波、彭晋、边思康、王旭、付辉、李家琪、陈达炜、贺宇、唐卓、胡达川、张海燕、李振、冯晓文。 Ⅲ GB/T42927—2023 金融行业开源软件测评规范 1范围 本文件规定了金融行业开源软件测评体系和对应的测评模型与测评方法。 2规范性引用文件 2 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 开源软件 open sourcesoftware 种可以获取源代码的计算机软件。 注:这种软件的著作权持有人通过开源许可证将软件的复制、修改、再发布的权利向公众开放。 3.2 开源许可证 open source license 用于规范受著作权保护的软件在规定条款、条件下被使用或分发等行为的许可证。 注:一般指具备广泛认可性的、具有法律性质的协议,也称开源协议,目的是减少作者及用户针对开源软件权责的 法律解释成本。常见开源许可证有通用公共许可证(GNUGeneralPublicLicense,GPL)、Mozilla公共许可证 (MozillaPublicLicenseMPL),BSD许可证(BerkeleySoftwareDistributionlicense,BSDLicense)等 3.3 衍生品derivativework 基于开源代码进行再次创作的作品。 注:包括对全部或部分开源代码进行修改、重写、翻译、注释、组合或与之链接(包括动态链接或静态链接)而形成的 作品。通过进程间通信或系统调用源代码的作品视为独立作品,不属于衍生品。 3.4 贡献者 contributor 对开源软件以某种方式做出贡献的个人或法人。 注:贡献行为包括但不限于问题解答、撰写文档、提交代码、捐款。 3.5 源代码 sourcecode 以适合于作为汇编程序、编译程序或其他转换程序输人的形式表示的计算机指令和数据定义。 [来源:GB/T11457—2006,2.1541,有修改] 缩略语 4 下列缩略语适用于本文件。 1 GB/T 42927—2023 API:应用程序接口(ApplicationProgrammingInterface) CPU:中央处理器(CentralProcessingUnit) RPO:恢复点目标(RecoveryPointObjective) RTO:恢复时间目标(RecoveryTimeObjective) 金融行业开源软件测评体系 金融行业开源软件测评体系主要分为测评模型和测评方法两部分。 测评模型具有一级评估属性、二级评估属性、测评指标三个层次。评估属性指开源软件在某一方面 的特征,测评指标是反映开源软件在该方面特征表现好坏的具体测评项目。通过对所有评估属性进行 综合考察后,得到开源软件的测评结果。 测评方法对测评过程中的权重设定、评分计算和等级评价进行了说明。金融行业开源软件测评模 型评估属性见表1。 表1 金融行业开源软件测评模型评估属性 序号 ·级评估属性 二级评估属性 开源许可证信息 1 开源许可证 开源许可证权利和限制 开源许可证兼容性 商业版本 2 行业认可度 商业化实践或应用案例 第三方测评结果 产品活跃度 社区活跃度 3 产品活力 代码生命周期 关注度 参与软件开发的企业情况 文档质量 4 服务支持 运维服务 支持工具 漏洞情况 人侵检测与防御 5 安全性 保密性 完整性 抗抵赖性 运行环境兼容 6 兼容性 接口兼容 数据兼容 2 GB/T42927—2023 表1 金融行业开源软件测评模型评估属性(续) 序号 级评估属性 二级评估属性 模块化 7 可维护性 规范性 可管理性 资源扩展 8 可扩展性 架构扩展 二次开发 功能完备性 功能正确性 6 功能性 功能适合性 功能合规性 成熟性 可用性 10 可靠性 容错性 易恢复性 易理解性 11 易用性 易使用性 处理效率 12 性能效率 容量 资源占用 金融行业开源软件测评模型 6 6.1 开源许可证 6.1.1 开源许可证信息 测评指标如下: a) 开源许可证,即开源软件源代码中有无许可证; b) 不同许可证文件数量,即开源软件源代码中不同许可证文件的数量; c) 双授权,即是否存在开源版本和商业授权版本。 6.1.2 开源许可证权利和限制 测评指标如下: a) 基于开源软件提供服务,即许可证条款对于基于开源软件产品对外提供服务方面的权利和 限制; b) 许可证变更,即许可证条款对于衍生产品许可证变更方面的权利和限制; c) 闭源限制,即许可证条款对于衍生产品变更代码及变更后在开源方面的权利和限制; 3 GB/T42927—2023 d)i 商业应用,即许可证条款对于发布商业衍生产品方面的权利和限制; e) 版权归属,即许可证条款对于开源软件及其衍生产品版权归属方面的权利和限制; f) 专利归属,即许可证条款对于开源软件及其衍生产品专利归属方面的权利和限制; g) 商标归属,即许可证条款对于开源软件及其衍生产品商标归属方面的权利和限制。 6.1.3开源许可证兼容性 测评指标如下: a)许可证内部兼容冲突,即软件产品包含多个开源软件许可证时,不同许可证条款的冲突情况 许可证外部兼容冲突,即所使用开源软件的许可证条款与其他相关软件或产品的许可证、软件 b) 使用者商业目标的冲突情况。 6.2 行业认可度 6.2.1商业版本 测评指标如下: a)) 版本数量,即开源软件的商业版本数量及相应的收费情况: b)2 发行企业,即发行开源软件商业版的企业数量和规模 6.2.2商业化实践或应用案例 测评指标如下: a) 案例数量,即应用开源软件的商业化实践案例数量; b) 应用企业,即应用开源软件的企业信息(规模、行业等); c) 上线时间,即应用开源软件的业务上线时间(精确至年月); d)i 运行时间,即应用开源软件的业务运行时间; e) 应用重要程度,即按照行业属性的级别、类别等重要程度信息,区分应用案例的重要性情况。 6.2.3第三方测评结果 测评指标如下: a) 测评机构,即测评机构的权威性和影响力; b) 测评结果,即测评机构对开源软件的评估结果,如整体评价、技术特色和解决的问题等。 6.3产品活力 6.3.1产品活跃度 测评指标如下: a)近一年版本发布情况,即开源软件近一年的版本发布数量和版本号; b)i 近三个版本发布周期,即开源软件近三个版本的发布时间间隔; 近一年代码贡献量,即开源软件近一年每季度的代码贡献量变化情况; (P 近一年提交数量,即开源软件近一年每季度的提交数量变化情况; 近一年提交和修复问题数量,即开源软件近一年每季度的提交问题和修复问题数量变化情况。 6.3.2社区活跃度 测评指标如下: a)开源社区受关注情况,即开源软件受到关注、加星和拷贝等操作的情况; 4
GB-T 42927-2023 金融行业开源软件测评规范
文档预览
中文文档
15 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共15页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2023-09-10 13:10:28上传分享