证券供应链开源组件治理探索实践｜证券行业专刊2·安全村

摘要：纵览全局、横驱别骛，针对开源治理的繁难杂乱困境，国金证券以合规为方、流程为舱、制度为桨、工具为档，建立企业级开源软件台账，全面落地开源治理体系，转换开源软件风险治理主被动模式，解决供应链引入的开源组件问题，实现风险可知、可查、可控，达到安全合规双向协同赋能的目标。

关键词：供应链管理开源组件治理安全合规证券业

一、背景分析：内外发力双向驱动

（一）外部监管与政策

近年来，人行、证监会、工信部等监管均对开源软件治理提出了要求和规范。

2021年10月27日，人民银行办公厅、证监会联合五部委发布的《关于规范金融业开源技术应用与发展的意见》（简称意见），整体从金融机构使用开源、金融机构自发开源、开源生态构建、标准体系与法律保障等4个方面提出了指导意见，并重点提出了金融机构在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”四大基本原则，以及“鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段”。

2021年11月，工业和信息化部印发《“十四五”软件和信息技术服务业发展规划》提出深化开源技术应用，夯实开源基础设施，普及开源文化，完善开源治理机制和治理规则，加强开源国际合作，推动形成众研众用众创的开源软件生态。

（二）内部需求分析

证券行业基于开源技术应用取得科技创新、业务赋能等积极成效的同时，也面临诸多风险。

1. 开源漏洞引发的安全事件已引起业内关注。2021年发生的log4j2远程代码执行漏洞引发了重大风险。曾在72小时内受到84万次攻击，国内外知名企业受到经济损失，2018年某金融机构因开源软件Kafka漏洞问题被银保监会通报。

2. 开源许可证带来的法律合规风险。2021年我国首例GPL许可证纠纷案在广东省宣判，标志着我国法律正式承认开源许可证的合法地位，应规范使用开源组件防范许可证带来的风险。

3. 供应链中断可能影响业务开展。自主可控环境下需要对使用的开源软件进行监控，防止因为开源软件断供停服可能造成业务的中断。

（三）开源治理难点

国金证券目前开源软件引入方式主要有两种：

1. 被动方式，采购的商业软件不开源被动的引入了开源软件；
2. 主动方式，开发团队主动引入一些组件提升研发效率。

这些引入带来了未知安全和合规风险。不同供应商使用的语言、版本不同，安全能力层次不齐；存在大量存量以及业务发展需要极速增长的增量开源软件，造成缺乏相应自动化工具，人工的方式进行资产梳理和管控难度大。

（四）金融行业研究实践现状

中国人寿研发中心结合科技产品引用开源组件实际情况，聚焦突出问题，紧盯关键节点，按照“主动管控、消化存量、控制增量”的工作思路推进开源组件漏洞治理工作^[1]。

海通证券从开源组件治理的开源团队设立、流程及制度设计、开源引入引出、开源检测及修复四个层面推荐，实现了良好的治理效果^[2]。

北京银行采取了多种举措保证开源技术的安全可控性，在积极推广企业内部统一技术平台的同时，严格控制开源软件的引入，从多方面保证开源软件、代码使用的安全性和稳定性^[3]。

另外在证标委推进下，证券行业多家券商联合开展供应链安全的行业标准起草，相信能够为行业的探索实践贡献更为强大的支持。

二、规划实施：统筹全局协同发展

（一）现状分析

国金证券针对开源软件现状进行分析和总结，存在以下待完善点：

1. 开源治理制度规范不完善，在面对外部监管合规和内部合规，还需完善对自研、外包开发以及对外采购等相关环节的制度规范建设；
2. 软件成分分析工具缺失，面对大量存量和新增开源软件以及不同厂商，统计范围广、统计难度大，人工统计耗时长、数据不精确覆盖力度不够，需要软件成分分析（SCA）工具提升效率；
3. 缺少自动化安全检测流程,对于瀑布式及敏捷式开发模式，缺乏对开发流程中的开源软件引入、使用以及运维环节的自动化检测，无法对应用开发生命周期中的开源软件风险进行检测。

（二）制定目标

国金证券开源治理目标为：

1.落地开源治理制度及规范

根据国金证券现有开源治理情况，对比行业先进开源治理经验，建设开源治理组织，引入开源治理制度和规范，加强对开源软件风险管理。

2.建成一体化开源软件检测和治理平台

结合现有开发模式对接软件成分分析工具，将开源安全治理技术的管理规则和流程固化到开发流程中，解决开发过程中新增开源软件问题，实现对开发过程中的开源软件敏捷化检测治理。

3.满足行业监管和合规相关意见和要求

遵循《意见》满足监管合规和内部合规的原则，建立相应的合规检查项，定期对内部存在的漏洞风险和许可风险进行检查。

4.达到行业开源治理成熟度标准（增强级）

参考行业成熟的《企业开源治理能力成熟度评估》，规范企业内部开源治理体系，提升开源软件治理能力，并进行相关评测认证，为证券行业开源治理标准和方向贡献微薄余力。

（三）体系建设

国金证券开源治理的思路是先梳理再治理。第一步，参照开源软件治理能力成熟度模型，分析梳理企业当前的现状，包括组织机制、管理制度和风险管理（能力维度），以及开源软件从引入、使用到退出全生命周期管理（过程维度）；第二步根据差距分析结果，制定改进方案，通过完善流程制度、建设工具平台，从而提升公司整体可信开源治理能力水平。体系落地实践如表2-1所示：

表2-1 开源治理体系建设

（四）工具建设

围绕源码SCA、二进制SCA和运行时SCA三个方向引入工具实现目标。

表2-2 工具建设

（五）SDLC能力一体化实践

在研发阶段的需求阶段，建立供应商和开源社区组件引入机制，对于使用的组件和各类工具包进行安全审查以明确可能存在的风险，建立黑白名单应用机制，将准入的组件清单纳入内部私有库，并根据安全情报动态调整，确保库内的组件库都是安全可靠的。同时在质量测试和安全测试阶段，应用引入的工具链进行二进制和源码级别的SCA分析，借助其他安全工具代码审计、IAST或DAST的安全扫描，实现组件已知漏洞和系统开发引入漏洞的闭环管理。

图1-1 SDLC能力一体化实践

（六）实施难点与风险问题及团队分工

人员的问题是实施过程中的最大的难点和风险所在，一方面是外部专家包括咨询专家和第三方厂商对接专家的变动可能导致项目出现认知或资源偏差问题而无法保质保量交付内容达到预期效果，所以需要建立核心干系人的清单维护及人员管理工作，另一方面是内部人员的配合支持方面，供应链治理牵涉多个部门需要各个团队共同配合支持，建立相应的培训考核机制，通过培训宣贯及强制要求等措施，确保各条线职责明确、分工具体、理解到位、执行可靠，实现紧密配合，同时建立检查机制，对上线后出现的问题进行层层追责，明确风险源头所在，找到失效点。和内部第三方系统的对接需要从多方面考量，一是开源组件治理平台的成熟度和标准接口是否规范，是否能够匹配对接需求，对于不能提供标准接口的内部系统考量定制化开发的需求及排期问题，二是内部的一些系统如DevOps等平台的功能是否完善做好功能开发排期，以及对应的流程如何以比较恰当的方式做到最小化的干扰，避免影响现有流程的机制和效率。产品的误报问题，需要综合多方面因素进行调优和实践，将误报率和漏报率调整到比较均衡的状态，同时前期增加人工的审核环节可以加快调优进程。

实施后各主要相关部门的职责分工如下：

开发部门：了解相关开源组件引入和使用流程，对存量开源软件进行维护和升级。

研发管理部：制定和修正相关制度流程，推进工具平台化建设，及时推送通知相关开源软件情报信息，对相关制度和流程进行审查。

安全合规部：研发管理部协同安全和合规部督促相关开源问题的整改。

（七）后续工作规划

1、测评认证

根据外部咨询专家要求准备送审材料进行开源治理能力预评估，通过有权威背景的测评机构的开源治理能力成熟度测评认证，得到外部机构背书和认可，并根据测评意见进一步加强开源组件治理的丰富度和全面性。

2、持续监测

对引入的评估模型持续监测和修正，对新增以及存量的开源软件进行全面的盘点，对遇到的相关开源软件风险如漏洞、许可证以及合规等问题持续推进整改，保证开源组件的整个应用过程中的安全可靠性。

三、价值收益：体系完善安全赋能

（一）建设组织、制度、流程及工具，全面落地开源治理体系

结合组织、制度、流程以及工具建设，实现对开源软件的引入、使用及运维安全可控，全面落地公司开源治理体系。

（二）梳理开源软件，建立企业级开源软件台账

梳理公司开源软件资产，建立企业级开源软件台账。面对后续风险实现可查询、可定位、可修复。

（三）落实《意见》要求，“安全”和“合规”双向并行

满足监管机构针对开源方面的要求，开源风险从被动应对到主动防御，更有效的控制开源风险。解决目前公司潜在的“安全”和“合规”问题。

（四）为行业内可信开源的探索提供研究案例

在证券行业率先开展开源治理体系，在规避开源风险的同时，为行业内可信开源的问题开展研究和探索贡献微薄力量。

四、总结

本文在背景分析和现状梳理的基础上论述了供应链开源组件治理的必要性；通过难点解析、提升方向规划阐述了研究的可行性；在架构设计和落地实践层面提供了完整的供应链开源组件治理路径和方法模型体现了研究的落地性；最后在价值和收益方面释义供应链开源组件治理的价值体现，为行业开源组件治理提供了案例研究和探索方向。

参考文献：

[1].赵佳萌,路向宇,吉达勇等.开源组件漏洞治理实践与思考[J].金融电子化,2021,No.314(11):65-66.

[2].周靖,马冰,王晓平等.开源组件治理的实践与思考[J].金融电子化,2022,No.317(02):29-30.

[3].代铁.构筑开源管控体系  助力科技扬帆远航——北京银行开源技术安全可控性的探索和实践[J].金融电子化,2021,No.315(12):41-42.

[4].纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军.开源软件供应链安全研究综述[J].软件学报,2023,34(03):1330-1364.

[5].芦天亮,袁梦娇.开源软件供应链安全分析与防范对策[J].保密科学技术,2022(12):27-31.

作者介绍

刘宏 杜铁绳 马晓鹏 黄施宇 李晨 张华，国金证券。国金安全团队，信息安全领域15 余年经验，成员来自银行、证券、安全厂商，从不同视角看问题、降风险。集各自所长在安全建设、安全运营、攻防对抗等维度每天都努力进步一点。也期望通过各种学习、总结、交流，不断提升自我的同时，也能为行业提供微薄贡献。

关于 安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]

原文始发于微信公众号（安全村SecUN）：证券供应链开源组件治理探索实践｜证券行业专刊2·安全村