From c02d5fdbcdae3096e86f4538c588656b2c9a1fe3 Mon Sep 17 00:00:00 2001
From: buter <zhangyaozhong1@huawei.com>
Date: Tue, 14 Dec 2021 20:00:20 +0800
Subject: [PATCH] =?UTF-8?q?=E5=8F=91=E5=B8=83=E7=A4=BE=E5=8C=BA=E7=89=88?=
 =?UTF-8?q?=E6=9C=AC=E5=8F=91=E5=B8=83=E8=B4=A8=E9=87=8F=E8=A6=81=E6=B1=82?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 guide/SecureRelease.md | 209 +++++++++++++++++++++++++++++++++++++++++
 1 file changed, 209 insertions(+)
 create mode 100644 guide/SecureRelease.md

diff --git a/guide/SecureRelease.md b/guide/SecureRelease.md
new file mode 100644
index 0000000..aa52a61
--- /dev/null
+++ b/guide/SecureRelease.md
@@ -0,0 +1,209 @@
+
+## 版本发布网络安全质量要求
+为保障版本网络安全质量，版本发布前建议完成以下安全相关的检查（此要求适用于外部项目准入社区的要求）
+
+**目录**
+
++ [通过病毒扫描](#通过病毒扫描)
++ [通过漏洞扫描](#通过漏洞扫描)
++ [通过安全编码扫描](#通过安全编码扫描)
++ [通过安全编译选项扫描](#通过安全编译选项扫描)
++ [通过安全测试基线用例验证](#通过安全测试基线用例验证)
++ [通过开源片段引用扫描](#通过开源片段引用扫描)
++ [通过开源软件License合规检查](#通过开源软件License合规检查)
++ [通过开源组件扫描](#通过开源组件扫描)
+
+
+### 通过病毒扫描
+
+**【目的】**
+
+确保版本发布件未携带病毒。
+
+**【通过标准】**
+
+病毒扫描结果中要求无疑似病毒提示。如有疑似病毒提示，需要完成清理或澄清为误报。
+
+**【检查件】**
+病毒扫描报告及可能的澄清文档
+
+**【提供方】**
+
+测试组
+
+（若扫描结果中有疑似病毒提示，开发组负责问题解决或误报澄清）
+
+**【检查方】**
+
+安全委员会
+
+
+
+### **通过漏洞扫描**
+
+**【目的】**
+
+确保发布的版本中漏洞都得到修复。
+
+**【通过标准】**
+
+1、能够修复的漏洞都要修复
+
+2、无法修复的漏洞需要在安全委员会评审备案（包括业界无解决方案的CVE漏洞），并给出合理的规避方案
+
+3、如果判断发布的CVE对代码无影响，需给出合理解释并到安全委员会评审备案，备案通过后可不用修改
+
+**【检查件】**
+漏洞清单，所有漏洞为已修复或已备案状态
+
+**【提供方】**
+
+测试组
+
+（若扫描结果中有漏洞未修复，开发组需要进行修复或说明无法修复原因到安全委员会评审备案）
+
+**【检查方】**
+
+安全委员会
+
+
+
+### **通过安全编码扫描**
+
+**【目的】**
+
+确保发布的源码符合安全编码要求
+
+**【通过标准】**
+
+扫描结果中无安全编码问题遗留，如有不满足项需没出合理解释并到安全委员会评审
+
+**【检查件】**
+安全编码扫描结果
+
+**【提供方】**
+
+开发组
+
+**【检查方】**
+
+安全委员会
+
+
+
+### **通过安全编译选项扫描**
+
+**【目的】**
+
+应用安全编译选项，降低安全风险
+
+**【通过标准】**
+
+1、扫描结果中安全编译选项“要求类”的都已实施，“建议类”的不作要求。
+
+2、认为不适合修改的要求在安全委员会评审备案
+
+**【检查件】**
+安全编译选项扫描报告及可能的备案信息
+
+**【提供方】**
+
+测试组
+
+（若扫描结果中有安全编译选项未应用，开发组需要进行修改，评估不适合修改的，准备材料到安全委员会评审备案）
+
+**【检查方】**
+
+安全委员会
+
+
+
+### 通过安全测试基线用例验证
+
+**【目的】**
+
+确保安全测试基线用例通过
+
+**【通过标准】**
+
+所有安全测试基线用例执行通过
+
+**【检查件】**
+测试报告结论
+
+**【提供方】**
+
+测试组
+
+**【检查方】**
+
+安全委员会
+
+
+
+### 通过开源片段引用扫描
+
+**【目的】**
+
+发布的版本源码无开源片段引用情况
+
+**【通过标准】**
+
+开源片段引用扫描结果确认后中无开源片段引用问题
+
+**【检查件】**
+开源片段引用扫描结果及确认结果
+
+**【提供方】**
+
+测试组
+
+**【检查方】**
+
+安全委员会
+
+
+
+### 通过开源软件License合规检查
+
+**【目的】**
+
+确保版本包中的所有软件都有开源软件使用声明，且内容正确
+
+**【通过标准】**
+
+自己的License正确无误，同时也需要确保引入的其他License没有冲突问题
+
+**【检查件】**
+开源软件使用声明文件
+
+**【提供方】**
+
+开发组
+
+**【检查方】**
+
+安全委员会
+
+
+
+### 通过开源组件扫描
+
+**【目的】**
+
+确保版本包中所引入的开源组件为上游社区长期维护的稳定版本
+
+**【通过标准】**
+
+主动引入的开源组件必须是优选版本，不能是官方社区不再维护的版本
+
+**【检查件】**
+开源组件引入列表
+
+**【提供方】**
+
+开发组
+
+**【检查方】**
+
+安全委员会
\ No newline at end of file
-- 
Gitee