YDT 4944.1-2024开源供应链风险管理框架 第1部分：面向软件提供商和云服务商.pdfVIP

ICS35.240

CCSL67YD

中华人民共和国通信行业标准

YD/TXXXX—XXXX

开源供应链风险管理框架第1部分：

面向软件提供商和云服务商

Opensourcesupplychainriskmanagementframework

—Part1:Forsoftwareprovidersandcloudserviceprovider

（报批稿）

[××××]-[××]-[××]发布[××××]-[××]-[××]实施

中华人民共和国工业和信息化部发布

YD/T××××—××××

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是YD/Txxxx《开源供应链管理能力评估》的第1部分。YD/Txxxx已经发布了以下部分：

——第1部分：面向软件提供商和云服务商

——第2部分：面向开源服务商

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信研究院，中国农业银行股份有限公司，中兴通讯股份有限公司，

北京金山云网络技术有限公司，北京小米移动软件有限公司，普元信息技术股份有限公司，杭州安恒

信息技术股份有限公司，浪潮电子信息产业股份有限公司。

本文件主要起草人：李晓明、郭雪、孔令昊、项曙明、钟晓骏、周继玲、刘庆会、孟庆余、江一

鸣、杨欣捷、李维银、杨梦伦、温良、李沅桐、王永雷、薛植元、但吉兵、梁大功、曹柱。

II

YD/T××××—××××

引言

开源供应链是指上游企业基于开源并以软件、云服务或者其他开源服务等形式供应下游企业或用

户的过程。

近些年开源已经成为新兴技术领域的主流技术，运用开源软件进行“混源”开发已经成为常态，

供应过程中开源合规和安全风险不容忽视。。

本文件旨在确立适用于软件开发企业开源供应链风险管理能力，包括开源供应链风险管理机构、

开源供应链风险管理制度、供应过程中开源治理要求。由于不同类型企业对开源软件管理方式存在较

大差异，因此制定本系列标准，拟由两个部分构成。

——第1部分：面向软件提供商和云服务商。目的在于制定软件提供商和云服务商在供应过程中，

在开源供应链风险管理机构、开源供应链风险管理制度、开源软件引入溯源、开源软件直接引入管理、

开源软件外包引入管理、开源软件商业解决方案引入管理、交付物管理的能力七个方面需遵循的规范

和应具备的能力。

——第2部分：面向开源服务商。目的在于制定开源服务商对开源的支持力度和响应速度，为下

游企业或用户提供选型参考。

III

YD/T×××××—××××

开源供应链风险和管理框架第1部分：面向软件提供商和云服务商

1范围

本文件针对软件提供商和云服务商规定了从开源软件引入到交付的全流程中应该具备开源供应链

风险管理机构、开源供应链风险管理制度、开源软件引入溯源、开源软