一、背景分析:内外发力双向驱动
(一)外部监管与政策
(二)内部需求分析
(三)开源治理难点
-
被动方式,采购的商业软件不开源被动的引入了开源软件; -
主动方式,开发团队主动引入一些组件提升研发效率。
(四)金融行业研究实践现状
二、规划实施:统筹全局协同发展
(一)现状分析
-
开源治理制度规范不完善,在面对外部监管合规和内部合规,还需完善对自研、外包开发以及对外采购等相关环节的制度规范建设; -
软件成分分析工具缺失,面对大量存量和新增开源软件以及不同厂商,统计范围广、统计难度大,人工统计耗时长、数据不精确覆盖力度不够,需要软件成分分析(SCA)工具提升效率; -
缺少自动化安全检测流程,对于瀑布式及敏捷式开发模式,缺乏对开发流程中的开源软件引入、使用以及运维环节的自动化检测,无法对应用开发生命周期中的开源软件风险进行检测。
(二)制定目标
(三)体系建设
表2-1 开源治理体系建设
(四)工具建设
表2-2 工具建设
(五)SDLC能力一体化实践
(六)实施难点与风险问题及团队分工
(七)后续工作规划
三、价值收益:体系完善安全赋能
(一)建设组织、制度、流程及工具,全面落地开源治理体系
(二)梳理开源软件,建立企业级开源软件台账
(三)落实《意见》要求,“安全”和“合规”双向并行
(四)为行业内可信开源的探索提供研究案例
四、总结
作者介绍
刘宏 杜铁绳 马晓鹏 黄施宇 李晨 张华,国金证券。国金安全团队,信息安全领域15 余年经验,成员来自银行、证券、安全厂商,从不同视角看问题、降风险。集各自所长在安全建设、安全运营、攻防对抗等维度每天都努力进步一点。也期望通过各种学习、总结、交流,不断提升自我的同时,也能为行业提供微薄贡献。
原文始发于微信公众号(安全村SecUN):证券供应链开源组件治理探索实践|证券行业专刊2·安全村
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论