2021年,由中國人民銀行、中央網信辦等五部門印發的《關于規範金融業開源技術應用與發展的意見》中的第五條,提到了金融機構應規範開源軟體全周期使用:
也就是說,金融機構應該針對開源軟體生命周期的每一個階段都制定管理措施,對開源軟體的引入、使用、更新、退出的全流程管理提出明确規定,正如信通院對此條意見的解讀:
根據開源軟體的使用特點,我們可以将其生命周期分為引入、使用、監控和退出四個階段。在引入階段,金融機構應制定軟體選型标準,根據标準嚴格控制哪些軟體可以被使用;
在使用階段,要做好風險識别,确認開源軟體含有哪些漏洞風險并修複,确認開源許可證的條款含義并嚴格遵守;
監控階段則是通過外部資訊收集和内部風險監測,持續監控有無新的風險出現;
最後,當開源軟體确認不能夠再使用時,應做好開源軟體退出管理,防止退出的軟體再次被使用,做到開源軟體全生命周期的跟蹤和記錄。
根據以上措施需要,信易盾SCA工具研發了元件性能評估、安全風險檢測、黑名單管理等功能,可以協助金融機建構立起完善的開源軟體安全管理體系,促進開源技術健康可持續發展。
1、引入階段
在引入開源軟體時,需要從元件活力度、軟體品質、風險等級等方面進行綜合評估,進一步決定是否要引入該軟體。信易盾平台建立了對開源元件的評分體系,比如根據近3年釋出頻率評估活躍度,根據許可證合規測算商業安全系數等,為金融機構制定軟體準入标準提供資料支援。
2、使用階段:
在開源軟體投入使用後,應首先針對開源許可證和安全漏洞兩大風險問題進行檢測,并及時修複。信易盾提供的風險檢測功能,能夠精确識别軟體中存在的所有漏洞數量及風險等級,識别高危許可證及缺失許可證的元件,幫助金融機構确定全面的風險修複方案。
3、監控階段
信易盾研發的定時解析任務功能可以幫助使用者周期性檢測風險,比如每隔兩天或者每周進行自動掃描,實作定期的健康評估。另外信易盾會每天監測風險情報,收集新的風險資訊并定時更新,内外部管理相結合,做到對開源軟體的全面監控。
4、退出階段:
對于因為風險性過高、已停止維護而不再使用的開源軟體,應及時釋出退出通知和記錄,防止該軟體再次被使用。可以利用信易盾的黑名單管理功能,添加到黑名單中,未來涉及到該軟體,系統會自動産生告警提示。
結合以上功能,信易盾可以在開源軟體全周期管理的各個階段發揮效用,輔助金融機建構立一系列管理流程,落實《關于規範金融業開源技術應用與發展的意見》的條款要求,建構完整的開源治理體系。