软件成分分析（SCA）知识库 总体技术要求.pdfVIP

软件成分分析 （SCA）知识库总体技术要求 1 范围 本文件规定了软件成分分析 （SCA）知识库系统设计的总体技术要求。 本文件适用于SCA知识库系统的设计、应用和评价。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本 （包括所有的修改单）适用于本 文件。 ISO/IEC5230:2020Informationtechnology — OpenChainSpecification 3 术语和定义 下列术语和定义适用于本文件。 3.1 开源项目 open source project 包含开源代码或开源软件的项目。简称 “项目”。 3.2 组件 component 开源项目内具有独立的工作逻辑的功能模块。 3.3 软件成分分析 software composition analysis；SCA 通过对软件源码、二进制软件包等的静态分析，发现其所存在的开源合规、已知漏洞等合规性和安 全性风险的开源组件应用管理方法。 3.4 知识库 knowledge base；K-base 包含推理规则以及有关某一领域中人类经验和专业知识的信息的数据库 [来源：ISO/IEC2382:2015，2121399，有修改：删除注] 4 知识库技术要求 4.1 知识库一般要求 SCA知识库应满足如下功能和性能要求： a）知识库内容全面准确； b）知识库提供存储、更新与修改能力； c）具备写入、存储、查询、管理数据的基本功能； 5 d）具备与主流外围软硬件系统集成和兼容的能力； e）具备一定的管理能力，包括安装部署能力、配置管理能力及实时监控能力、用户管理能力、在 线升级能力、元数据查看以及导入导出能力； f）具备容错能力，以确保在发生故障时，不会影响到业务的运行，故障包括但不限于硬件故障、 操作系统故障、数据库服务故障； g）具备过载保护能力以及数据多副本能力； h）具备扩展性，包括集群的在线扩容能力和缩容能力； i）具备安全性，保证数据在传输和使用过程中的安全，包括对用户进行身份认证的能力、操作审 计能力以及加解密能力； j）具备较高的性能，需要考察写入性能、 查询性能、 数据导入性能及数据压缩能力。 4.2 知识库内容要求 4.2.1 SCA知识库内容应至少包含源代码库、许可证库、漏洞库和密码算法库。 4.2.2 源代码库内容应满足如下要求： a）代码来源广度：包含主流开源仓库/平台的开源源代码 b）单个项目的元数据齐全和完整： 1）元数据颗粒度：项目级别、组件级别、文件级别、代码片段级别； 2）元数据完整和准确： 1 2 3 • 项目或社区活跃度：最近更新时间，最近commit数量 ，contributor数量 、star数量 、fork数量 4，issue数量 ，下载数量，所属开源社区/基金会等；5 • 组件级元数据：基本元数据：组件名称、描述、创建时间、版本、许可证、URL、拥有者、 程序语言活跃性数据：commit数量、PR数量、Issue数量、Star数量、Fork数量、Contributors数量、下载 量、最新发布时间、资源库大小等 ； • 文件级元数据：文件名称、URL、创建时间、最近更新时间、最近更新人等。 3）元数据关联关系：父子关系、依赖信息、许可证信息、版权信息、额外的许可要求等 c）数据的一致性：原样获取和经过处理的数据均需与来源一致。 4.2.3 许可证库内容应满足如下要求： a）来源覆盖度：业界主要开源软件的许可证； b）信息齐全：许可证SPDX简称、许可证全称、许可证原文URL、许可证原文文本、是否OSI认证、 是否FSF认证； c）许可证解读：权利、义务、约束条件； 4.2.4 漏洞库内容应满足如下要求： a）来源齐全：至少包含NVD、CNNVD、CNVD、CVE和GitHubAdvisor