软件自主可控能力测试的核心维度解析，可供参考的团体标准

《自主可控网络安全技术　基于网络靶场的软件自主可控能力测试指南》编号：T/CIIPA 00012-2024 中关村华安关键信息基础设施安全保护联盟 发 布；中国标准出版社 出 版 2025年6月9日发布，2025年6月11日实施； 版权归标准发布及起草者所有，仅作学习交流用途。

《自主可控网络安全技术 基于网络靶场的软件自主可控能力测试指南》作为一项重要的团体标准，为软件自主可控能力的科学测评提供了系统化框架与方法指引。为软件研制、使用和测评单位提供科学严谨的测试指导，强化测试连续性与结果管理，提升技术掌控、持续交付及漏洞管理能力。之前一直以为是针对网络靶场测试的相关标准，后面仔细看了下，发现是基于靶场对软件自主可控评估相关的团体标准，也可以忽略靶场部分。

一、软件自主可控能力的目标

软件自主可控是指软件在核心技术、关键组件、供应链等方面实现自主研发、生产与运营，并具备安全可控的能力。其测试目标在于系统评估软件在技术掌控、持续交付与网络安全三个方面的能力水平，从而识别潜在风险，提升整体安全性和可控性。

二、三大核心测试维度

1. 技术掌控能力

技术掌控能力关注软件是否具备自主开发与技术主导权，核心评价指标为 “代码自主率”。该指标通过计算自主研发组件数和来自国内开源组件数在软件总组件中的占比，反映软件对国外技术的依赖程度。标准中明确将代码自主率划分为五个等级（≥95%、85%~94%、70%~84%、50%~69%、<50%），并对应不同的能力评分，推动软件向更高自主率方向发展。

2. 持续交付能力

持续交付能力重点考察软件中使用的开源与第三方组件的 “许可证合规性”。合规率越高，表明软件在知识产权与法律风险方面的可控性越强。该能力要求软件具备完整的软件物料清单（SBOM），清晰记录各组件的许可证信息、来源及依赖关系，避免因许可证冲突或侵权导致供应链中断或法律纠纷。

3. 网络安全能力

网络安全能力评估软件在代码质量、组件漏洞、运行安全等方面的防御与应对能力，具体包括：

代码安全：通过代码安全审计、成分分析（SCA）等静态测试，识别代码缺陷、安全漏洞及潜在后门。

运行安全：通过仿真测试与实网测试，模拟真实攻击场景，检测软件在动态运行中的安全表现。

漏洞管理：建立漏洞库，对发现的安全漏洞进行分级、跟踪与修复，形成闭环管理。

三、测试方法与实施框架

该标准提出了以 “网络靶场” 为平台的测试环境构建方法，支持从开发到运营的全生命周期测试，具体包括：

1. 静态测试

在非运行环境下对源代码或二进制文件进行分析，识别组件构成、许可证信息与已知漏洞，更新SBOM并评估技术掌控与合规能力。

2. 仿真测试

在网络靶场中构建仿真运行环境，通过漏洞扫描、模糊测试、渗透测试等方式，检测软件在模拟真实场景中的安全表现。

3. 实网测试

在实际网络环境中开展周期性安全测试，结合渗透测试与安全众测，全面挖掘潜在风险，并制定应急响应机制。

四、能力评估与优先级管理

测试结果最终通过量化评分进行综合评定：

技术掌握能力值：根据代码自主率划分为5个等级。

漏洞处置优先级：根据资产重要性、漏洞等级与威胁可能性计算风险值，划分为五个优先级。

软件自主可控能力等级：综合技术掌控能力值、持续交付能力值与软件安全能力值，综合计算后，将软件自主可控能力划分为五个等级，为后续优化提供明确指引。

图片

图片

本文来源：《自主可控网络安全技术　基于网络靶场的软件自主可控能力测试指南》T/CIIPA 00012-2024，仅供学习交流使用，具体实施请以标准正式文为准