TCESA-2024-127 《区块链源代码评估方法》.pdf

ICS

CCS

团体标准

T/CESAXXXX—202X

区块链源代码评估方法

Methodologyforblockchainsourcecodeevaluating

征求意见稿

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

已授权的专利证明材料为专利证书复印件或扉页，已公开但尚未授权的专利申请

证明材料为专利公开通知书复印件或扉页，未公开的专利申请的证明材料为专利申请

号和申请日期。

202X-XX-XX发布202X-XX-XX实施

中国电子工业标准化技术协会发布

T/CESAXXXX—202X

目次

前  言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

4评估原则3

5评估过程3

5.1概述3

5.2评估准备阶段4

5.3正式评估阶段4

5.4结果确认阶段4

6源代码扫描分析评估要素5

7开源成分6

7.1项目基本信息6

7.2开源代码成分6

7.3代码溯源信息6

8漏洞信息6

8.1源代码漏洞6

8.2组件漏洞7

9开源许可证信息7

9.1开源许可证基本信息7

9.2开源许可证兼容性7

9.3开源许可证风险7

10区块链源代码评估方法7

10.1评估域权重7

10.2评估分数计算方法8

10.3评分等级8

参考文献10

II

T/CESAXXXX-202X

区块链源代码评估方法

1范围

本文件提出了针对区块链系统源代码的扫描分析及结果评估方法。

本文件适用于指导第三方测评机构和其他相关机构对区块链系统源代码的自研率、安全性以及有效

源代码容量进行扫描分析，并对扫描结果提供评估方法参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,

仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文

件。

GB/T11457-2006信息技术软件工程术语

GB/T42129-2022数据管理能力成熟度评估方法

GB/T42752-2023区块链和分布式记账技术参考架构

T/CESA1269—2023信息技术开源术语与综述

3术语和定义

GB/T42752-2023界定的以下术语和定义适用于本文件。

3.1

区块链blockchain

使用密码技术链接将共识确认过的区块按顺序追加形成的分布式账本。

[来源：GB/T42752-2013，3.12]

3.2

源代码sourcecode

以适合于作为汇编程序、编译程序或其他转换程序输人的形式表示的计算机指令和数据定义。

[来源:GB/T11457-2006,2.1541]

3.3

开源代码opensourcecode

一种公众人可以获取源代码的计算机代码，其著作权人