证明软件是”百分之百国产”?这5个硬核证据缺一不可
文/中粤网安技术团队
最近接到不少客户咨询,问得最多的问题是:”我们的软件明明全是自己写的,怎么证明是100%国产?”
说实话,这个问题在2026年的今天,还真不是随便拍胸脯就能回答的。
一、”国产”两个字,没那么简单
先说个真实案例。去年某工业软件厂商自信满满地申报国产化认证,结果检测发现代码里藏着0.3%的MATLAB内核代码——就这点”水分”,让整个产品的自主率虚高了17%,认证直接没通过。
所以问题来了:到底什么才算”百分之百国产”?
按照现行的信创标准,至少要过五道关:
第一关:代码自主率检测
这不是嘴上说说就行。第三方检测机构会用专业工具把你的源代码和全球开源库、第三方代码库逐行比对。说得直白点,就是给代码做”亲子鉴定”。
关键指标包括:
- 代码成分溯源精度(要精确到0.0001%级别)
- 开源协议合规性(用了哪些开源组件,是否符合许可要求)
- 外源代码残留检测(有没有未声明的第三方代码)
第二关:供应链安全验证
软件不是凭空出来的,它依赖各种组件、库文件、开发工具。这些”上下游”是不是可控,直接决定软件算不算真国产。
这里有个硬性要求:软件物料清单(SBOM)
简单说,就是要把软件里每个组件的来源、版本、许可证都列清楚,多级依赖关系也要追溯到位。就像食品的配料表,不能只写”香料”,得写清楚是八角还是桂皮、从哪买的、有没有添加剂。
第三关:国产环境适配认证
代码是自己写的还不够,还得能在国产软硬件环境里跑得起来、跑得稳定。
主流适配环境包括:
- CPU:龙芯、飞腾、兆芯、鲲鹏等
- 操作系统:统信UOS、麒麟等
- 数据库:达梦、人大金仓等
- 中间件:东方通、宝兰德等
完成测试后,会获得《信创适配证书》或《兼容性认证证书》,这是进入政企采购清单的”入场券”。
第四关:安全合规审计
2026年1月新版《网络安全法》施行后,源代码审计已经从”加分项”变成”必修课”。
审计重点包括:
- SQL注入、XSS等常见漏洞
- 安全编码规范符合度
- 国密算法集成情况
- 访问控制、日志审计等安全机制
有资质的第三方机构会出具详细的代码审计报告,包括漏洞列表、修复建议和整体风险评估。
第五关:权威机构认证报告
最后一步,是由具备CMA/CNAS资质的第三方检测机构出具《自主可控软件测评报告》。
这份报告依据GB/T 25000.51-2016、信创相关标准以及GJB标准,通过代码审计、供应链追溯等技术手段,量化软件的自主研发比例、供应链安全等级及合规性。
注意,这里说的”第三方”不是随便找个检测公司就行,得是国家认可的权威机构,比如国家工业信息安全发展研究中心赛昇实验室这类。
二、为什么非要第三方证明?
可能有朋友会问:”我自己出具声明不行吗?”
说实话,在关键行业采购里,真不行。
原因有三:
- 利益冲突:自己说自己好,缺乏公信力
- 技术门槛:代码溯源、供应链分析需要专业工具和方法
- 合规要求:政府、央企、金融、电力等行业的项目采购,普遍要求产品具备第三方出具的国产化认证
而且,随着信创工程全面推进,国产化认证已经成为产品进入政企市场的”必经之路”。没有这份证明,连投标资格都没有。
三、企业该怎么准备?
根据我们服务客户的经验,建议分三步走:
第一步:测前自审
别等送测才发现问题。建立一套信创安全基线,提前做代码审计和依赖分析,把明显的问题先解决掉。
第二步:环境适配
搭建完整的信创开发测试环境,包括目标国产CPU、操作系统、数据库等,进行兼容性、性能、安全性综合测试。
第三步:选择权威机构
找具备CMA/CNAS资质、在信创测评领域有经验的第三方机构。别图便宜,报告不被认可更耽误事。
四、说点实在的
写这篇文章,不是要给大家制造焦虑。恰恰相反,是想说清楚:国产化认证虽然严格,但有章可循。
2026年的今天,国产虚拟化软件市场渗透率已经达到51.5%,越来越多的企业在信创转型中尝到了甜头——不仅是拿到订单,更重要的是提升了产品安全性和市场竞争力。
“百分之百国产”不是一句口号,而是一套可验证、可追溯的技术体系。当你的软件能通过这五道关卡,拿到的不仅是一纸证书,更是客户的信任和市场的认可。
关于中粤网安
我们专注于软件安全测评、国产化适配认证咨询、代码审计等服务,已帮助多家企业顺利通过信创测评。如果您有相关问题,欢迎交流探讨。
