- 博客(28)
- 收藏
- 关注
RSS订阅原创 数据治理新标准发布!开源行业如何应对?
再将范围内的数据逐渐细化分类,例如把代码库数据按照编程语言Java、Python等进一步分类,最终形成一定的分类标准。通过遵循《规则》的指导,从数据分类分级、风险评估、持续调整以及利用第三方工具等方面入手,构建起完善的数据安全防护体系,保障数据资产的稳定。例如,利用信易盾软件成分分析(SCA)工具来识别和评估开源软件数据中的漏洞及其危害程度,为数据分级分类提供技术支持,提升数据安全防护能力。1.对项目中的开源软件数据资产进行全面梳理,并进行细致的分级分类,建立起完善的数据分类体系框架。(以下简称《规则》)
2024-06-06 16:50:40
162
原创 信创正在迎来新一轮的拐点
自十四五把技术创新纳入规划以来,信创相关政策持续出台,如2023年7月出台的《安全可靠测评工作指南》明确提到,要关注测评产品是否”履行开源许可协议、授权许可合同“,是否存在”已知安全风险“,以及关注送测产品的”供应链安全性“等,侧面说明了如今信创产品在更新研发技术的同时,更要关注安全问题。要应对上述的开源许可证风险和开源漏洞风险,笔者认为需要在推进信创产品研发的同时,利用SAST、SCA 等开源软件治理工具,识别研发过程中存在的开源风险并及时修复,以确保技术创新的同时提高软件的安全性。
2024-06-05 11:39:17
153
原创 信创趋势下,开源技术如何发展?
而这些数据库对用户开放源代码,使得企业在使用它们的同时还能对其进行优化创新,从而提高自身的技术能力,侧面促进了国产数据库的发展。随着国家对信创产业的重视和支持,以及企业对自主可控和信息安全需求的不断增加,开源技术有望在信创产业中发挥更加重要的作用。虽然开源技术主张开放源代码,但这并不与信创所追求的自主研发和技术创新相悖,反而为信创的发展提供了新的动力。这就引申出了另一个问题,信创的稳健发展关系到国家信息安全,而当信创产品与开源技术相关联时,怎样有效防范开源技术带来的风险呢?成为信息产业发展新的目标趋势。
2024-05-31 15:19:13
564
原创 信创安全挑战与应对策略
针对开源技术漏洞问题,企业在使用信创产品的同时,需要建立漏洞发现和修复机制,及时修复已知漏洞,减少漏洞被利用的风险。近年来开源技术的漏洞及法律纠纷等问题层出不穷,意味着发展信创的同时,也要构建有别于传统安全模式的新型安全体系,防范开源技术的风险影响,才能真正实现信创产业的长久繁荣。在以开源技术为基础发展信创产业时,开源漏洞是不可避免的问题,这些漏洞可能被恶意攻击者利用,导致信创产品被入侵、数据被泄露等严重后果,不仅影响信创产品的正常使用,更可能对整个信息系统的安全性构成严重威胁。
2024-05-29 11:30:00
457
原创 最新信创名录出炉!这些细节你注意到了吗?
开源软件可能存在各种安全风险,如已知漏洞、未修复的安全问题、恶意代码等。为了减少对海外技术的依赖,促进国内信息产业技术的发展,多年来国家一直致力推行信创政策,从最近发布的信创名录中,我们可以看出信创产业已成熟发展,在数据库、芯片等领域都实现了国产化替代。风险评估:信易盾对信创产品中包含的开源软件成分进行全面的风险评估,识别潜在的安全漏洞和已知问题,为信创产品的安全使用提供有力支持。然而,当信创产品大量依托开源代码而构建时,开源软件风险就会波及到信创行业,因此,在使用信创产品的同时,开源软件安全治理是关键。
2024-05-11 15:52:20
498
原创 金融机构开源治理必看!信易盾SaaS模式才是最佳选择
许可证的知识库,在帮助金融机构识别出项目中使用了哪些许可证后,还能进一步为金融机构提供许可证原文的翻译、重点条款的提炼和解读等服务,同时配备有专业的法务合规团队,分析许可证之间的兼容性风险,给出合理的使用建议。产品的组件库要具有全面性,至少能够涵盖金融机构开发业务中涉及到的所有组件,同时要能够展示组件的来源、社区信息、推荐版本等,为金融机构提供开源组件使用及解决方案。模式能够为开源治理降本增效,信易盾安全助手提供客户端、网页版等多种使用模式,下载后即可免费试用,为金融行业开源治理提供了最佳选择。
2023-11-03 11:13:30
86
原创 题目:金融机构开源治理必看!SaaS云服务已成最佳选择
这证明当下金融云市场已经完成了从基础设施到解决方案的转换,越来越多的金融机构已经意识到解决方案的可行性与落地会直接或间接地影响基础设施的选型、采购、建设、运行等一系列过程。因此,金融机构不会再将基础设施与解决方案明确划分开,而是要求云服务厂商在能够完成基础设施建设的同时,提供切实可行的解方案,从而辅助金融机构完成全方位的数字化转型。云服务等多种使用模式的同时,以深耕于金融安全多年的行业经验和对客户需求的精准把握为抓手,为客户定制开源软件治理解决方案,有效弥补了产品标准化与客户需求之间的差异。
2023-10-31 17:13:24
77
原创 SaaS模式——SCA未来的发展趋势?
因此,企业可以根据自身需求和实际情况选择适合的部署模式。传统的SCA应用模式是客户购买整个产品,并且要为应用SCA准备部署环境、采购硬件设备、配备运维管理人员等,还要注意过程中投入的人力成本、部署时间、可能引发的数据泄露等风险。将SCA产品以SaaS的模式运营,从用户和企业的角度出发,让开源治理更加简捷高效,为安全管理降本增效,才能有效提升客户的使用意愿,从而推动开源行业的繁荣发展。SaaS与传统软件产品的区别在于略去了部署的环节,下载后可以直接使用,节省了部署与运维管理时间,同时避免了软件升级的成本。
2023-09-08 17:52:49
76
原创 解读《关于规范金融业开源技术应用与发展的意见》之开源组件评估维度
因此,我们推荐金融机构采用第三方评估服务,快速完成对开源组件的评估,简化工作流程,提高工作效率。总结起来,只有全方位地、多维度地评估开源组件,才能保证使用的开源组件安全可控。信易盾针对开源组件提供详细信息展示,包括组件名称、所属语言、组件坐标、标签等,帮助金融机构快速了解引入的组件详情。信易盾收录了每个开源组件的各个版本,提供各版本的安全系数、风险等级等指标对比,帮助金融机构选择最适合的版本使用。信易盾以曲线图的形式展示了开源组件的历年活跃度,帮助金融机构正确选择组件,避免使用已废弃或停止维护的开源组件。
2023-08-17 15:03:10
152
1
原创 解读《关于规范金融业开源技术应用与发展的意见》关键词之风险变化
然而在实际开展过程中,金融机构需要投入一定的人力物力资源去收集风险变化,再反馈给安全团队,管理成本过高。2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,针对金融机构管控开源软件使用安全、构建开源软件治理体系提出了指导意见。信易盾SCA会24小时监测风险舆情,收集新的风险信息,第一时间更新数据库,使金融机构能够持续监控使用中的开源软件情况,避免情报风险滞后的问题。针对漏洞风险、许可证风险等问题提供了修复建议,帮助金融机构快速确定修复方案,完成风险问题的处理。
2023-08-15 16:51:09
67
原创 解读《关于规范金融业开源技术应用与发展的意见》关键词之许可证
因此对于金融机构来说,引入适当的第三方合规审查服务是有必要的,比如利用SCA工具,通过许可证解读、合规风险分析、风险变化监测等功能,建立起全方位的许可证管理机制。近年来,因违反许可证条款而引起知识产权及法律纠纷的案例屡见不鲜,许可证合规风险也成为了使用开源软件时需重点关注的风险问题。2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,从如何正确使用开源软件及如何自发拥抱开源生态两个角度出发,为金融机构合理健康地发展开源技术提供了建设性的指导意见。
2023-08-09 13:34:24
63
1
原创 解读《关于规范金融业开源技术应用与发展的意见》关键词之漏洞管理
漏洞问题是影响开源软件安全的重要因素,在国家鼓励金融机构发展开源技术、拥抱开源生态的时代前提下,信易盾能够辅助金融机构做好漏洞风险管理,落实各项监管意见,做开源安全治理的有力帮手。针对以上措施,信易盾开源软件治理平台涵盖了漏洞风险检测、漏洞风险修复、漏洞情报收集等功能,能够帮助金融机构及时识别处置漏洞风险,保障业务安全。开源软件的漏洞数量众多,难以理清。信易盾会持续监测外部风险情报源,收集最新出现的漏洞信息并定时更新,帮助金融机构随时掌握新增的漏洞风险,快速消除风险危害。“规范开源技术的漏洞检测”
2023-08-08 10:36:15
77
原创 解读《关于规范金融业开源技术应用与发展的意见》关键词之第三方工具服务
由此可见,引入第三方开源治理工具是金融机构开展开源治理工作的有效手段,引入工具可以帮助金融机构全面有效的治理开源软件,为开源治理工作降本增效。众多开源软件治理工具里以SCA(软件成分分析)最为典型,金融机构可根据以上几点重要因素,结合自身考虑选择,比如信易盾SCA,就能够满足以上要求,辅助金融机构建立全面的开源治理体系。一、数据指标:无论是对引入开源软件的选型评估还是对开源软件的风险检测,都需要足够的数据信息进行分析,因此开源治理工具必须配备一定风险数据存储。以实现对开源技术的安全评估;
2023-08-03 17:21:29
57
原创 解读《金融业开源技术发展意见》关键词:技术评估
技术评估为何如此重要?开源治理的目的是确保所使用的软件安全可控,那么关键措施就是要对软件的版本信息、漏洞情况、合规风险等要素进行分析,评估其安全性是否足以被使用,这就是技术评估。2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,旨在规范银行、证券、保险等行业合理使用开源技术,促进开源技术的健康发展。信易盾SCA工具通过收集、清洗、分析,建立了自有的开源软件信息库,能够直接展示评估信息、随时可查、数据全面,辅助金融机构完成技术评估。针对这一点,《意见》中专门提到。
2023-08-02 14:06:46
57
原创 解读《金融业开源技术发展意见》:开源治理不止于安全方案,也在于团队建设!
如今金融机构大多采用SCA/SAST等代码安全检测工具辅助开源软件治理工作,比如信易盾SCA工具,不仅能够进行开源软件风险检测与修复,还涵盖权限隔离、系统管理、日志审计等功能,辅助金融机构实现整个开源治理体系的运作流转。这是2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第四条,前几条意见是针对如何建立开源软件管理方案而提出,这一条转而点出还要组建相应的开源软件管理团队,从管理层面统筹规划,保障开源治理方案的有效实施。
2023-08-01 10:16:01
70
1
原创 《金融业开源技术发展意见》教你如何防范开源合规风险,再也不用担心被起诉!
因为每个许可证的条款要求不同,如果一个项目包含使用不同许可证的代码,就有可能出现条款上的冲突。近年来,因违反许可证条款而引起知识产权及法律纠纷的案例屡见不鲜,许可证合规风险也成为了使用开源软件时需重点关注的风险问题。在使用开源代码时必须严格遵守许可证条款,按照规定保留版权信息、许可信息、不得使用被许可者的商标信息等,如果违反了这些条款,则会造成合规性风险,面临法律诉讼等问题。信易盾还识别了项目是否存在许可证条款冲突风险,识别互不兼容的许可证,并提供许可证兼容性使用指南。3.防范兼容性风险:识别冲突许可证。
2023-07-27 17:54:09
124
1
原创 开源软件选型已被《金融业开源技术发展意见》中明确提出,如何解读与落实?
为了落实以上管理措施,金融机构可以选择适当引入第三方评估工具及服务,比如SCA(软件成分分析工具),涵盖了管控名单、软件性能评估、软件信息分析等功能,可以协助金融机构做好技术选型,以信易盾为例,SCA能够通过以下几点功能,为金融机构选择适宜的开源软件提供帮助。组件使用)等引入方式、形成开源软件引入测评模型(或方法),制定可操作的测评标准(或定量的测评指标),从项目活跃、行业认可、软件质量和服务支持等多个角度考察开源软件情况,综合评估该软件或服务商是否应该引入。组件)与外包开发(外包开发商涉及开源软件。
2023-07-26 17:15:08
97
1
原创 如何落实《金融业开源技术发展意见》,健全开源技术管理体系?
结合以上功能,信易盾可以在开源软件全周期管理的各个阶段发挥效用,辅助金融机构建立一系列管理流程,落实《关于规范金融业开源技术应用与发展的意见》的条款要求,构建完整的开源治理体系。“金融机构宜完善开源软件管理制度,制订总行级、中心级开源软件管理规范,对开源软件的引入、使用、更新、退出的全流程管理提出明确规定,在制度中明确要求对开源软件进行统一管理。最后,当开源软件确认不能够再使用时,应做好开源软件退出管理,防止退出的软件再次被使用,做到开源软件全生命周期的跟踪和记录。
2023-07-25 14:02:43
119
原创 金融机构如何根据《金融业开源技术应用与发展意见》建立开源技术台账?
结合以上信息,我们不难分析出金融机构在开源软件的使用过程中,主要应关注以下几方面:一是要把所有正在使用的开源软件、组件、许可证等资产进行整合,明确正在使用哪些软件,登记所有软件信息;三是通过要建立开源软件知识库,跟踪开源软件信息,例如版本更新、许可证变化、组件升级等。“金融机构宜构建源码仓库和制品仓库对开源代码进行统一管理,持续跟踪企业内正在使用的开源软件的社区情况、版本更新情况及开源许可证情况,通过治理平台(台账管理)辅助实现开源软件信息的登记和更新,定期对相关信息进行分析、评估和处置;
2023-07-20 17:34:36
80
1
原创 使用信易盾SCA工具辅助金融机构达成《开源技术应急处置预案》
漏洞问题的管理不止于引入前的存量风险检测,在引入后也应进行持续关注新增漏洞,及时评估风险,排查自身是否受到影响,才能全面管控信息安全风险。在金融机构引入开源软件之前,建议使用信易盾检测存在哪些漏洞风险,并自动生成安全检测报告,详细展示漏洞名称、漏洞数量、漏洞类型等信息,帮助金融机构洞察漏洞风险,评估引入的软件安全性。利用信易盾开源软件管理平台,金融机构能够持续监测是否出现新的风险,快速定位风险影响,及时止损,建立完善的应急风险处置机制,保证开源软件安全的长治久安。3.自动更新检测,排查自身风险。
2023-07-19 18:47:02
82
原创 原来信易盾已经实现了《关于规范金融业开源技术应用于发展的意见》
建立问题管理闭环机制,就是指当开源软件的使用出现问题时,要以问题为导向,追溯问题的来源、确定问题的解决方案、跟踪问题的解决记录,建立起一套完整的流程。以漏洞问题为例,从检测出漏洞开始,反馈风险信息,修复漏洞,到问题解决完成,每个环节都应该制定明确的执行步骤,才能实现闭环管理。信易盾支持通过本地上传、GitLab上传等方式,对开源项目进行全面的检测分析,梳理组件关系,识别漏洞风险与合规风险,帮助用户洞悉项目概况,找出问题所在。“建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。
2023-07-19 18:36:21
54
原创 为何软件物料清单是开源供应链安全的重要抓手?
例如信易盾SCA产品,不仅能够识别漏洞风险与许可证合规风险,还能够辨析组件成分、排查新增风险,自动输出完善的软件物料清单,帮助金融机构全面保障供应链安全。其实,保障供应链安全的本质就是供应链风险的防范与治理,要做到这一点,首先要对引入的开源软件进行检测解析,输出一份软件物料清单,再以软件物料清单为基本载体,根据清单来统计该软件存在哪些漏洞风险、许可证合规问题等,结合以上结果评估该软件是否可以被使用。深入分析组件成分,展示组件清单,包括组件名称、使用版本等信息,使用户能够摸清使用了哪些组件,明晰项目成分。
2023-07-13 16:06:33
61
1
原创 使用信易盾让我再也不担心法律风险了!
所以,保证开源软件合规使用的关键,就是正确解读许可证的条款,避免因错误理解或混淆概念造成合规问题。随着开源技术成为开发主流,关于各个许可证的内容科普和翻译也屡见不鲜,但是准确性差强人意,这里给大家推荐一款可以查看许可证详情并且解读后的开源安全工具—信易盾,主要从以下几个方面辅助开发者了解许可证。开源许可证依附于开源软件,当开发者使用了一个开源软件,那么他与该开源软件的贡献者就构成了合同关系,开发者必须遵循开源许可证中规定的条款,否则会被视作违反了许可证的协议,甚至会面临被起诉罚款的情况。
2023-07-11 11:10:46
49
原创 我发现了实现漏洞修复率100%的方法!
这是保证漏洞修复效率的关键一步,根据SCA提供的漏洞风险等级、影响范围评估是否需要紧急修复,并根据评估结果标注处置方式,使开发者优先修复重要项,快速降低风险影响,同时也利于其他同事知晓修复规划,促进团队协作。漏洞管理在研发安全中发挥着重要的作用,应该给予足够的重视,建立完善的闭环修复机制,才能有效防止漏洞被利用攻击,构筑坚固的安全防御体系。漏洞管理的第一步就是要明确信息,知晓一共有哪些需要被修复的漏洞,信易盾可以将被检出的漏洞罗列成清单,帮助开发者初步掌握漏洞修复的概况。
2023-07-07 14:49:18
170
1
原创 程序员必看!我挑选的开源组件百分百安全!
在之后的开发过程中,可以根据黑白名单的检测提示直接确定是否使用此组件,节省了反复检测分析的时间,提高了安全管理的效能。对开发者而言,单纯依靠堵塞漏洞已无法全面保证开源组件的安全使用,而要将组件使用的全过程都纳入安全管理中,换言之,要在组件的选型引入、使用范围、修复处置等关键环节都嵌入安全管理,才能提高开源组件的安全性。工欲善其事,必先利其器。SCA产品中收录了组件的所有版本、对应的活跃度、指标评分等信息,开发者可全量比对各个版本,评估各版本之间的安全性,并最终确定可用的组件版本,从源头把控风险。
2023-07-06 10:42:30
261
1
原创 如何利用自动化工具(信易盾)实现安全左移?
传统的开发模式中,安全测试只有在风险问题对已开发的产品造成影响时才会开展,这种亡羊补牢的方法会使安全管理耗费更多不必要的成本投入,因此,安全左移逐渐成为开发安全领域的大势所趋。所谓安全左移,就是把原来位于开发流程后期的安全测试环节,向左移动至开发初期,不仅能够及时修复风险,也能保证开发全周期的安全可控,使开发计划能够顺利进行。安全左移是适应现代软件开发节奏的新兴安全理念,无论是企业还是开发者,都应该及时调整开发策略,将安全左移纳入开发流程,为软件开发安全构筑坚实的防御体系。1. 高效快捷的检测流程。
2023-07-04 14:55:33
52
原创 自动化漏洞检测工具就是方便!
面对庞大的漏洞数量和严峻的安全问题,大多数人还停留在人工排查管理的阶段,虽然能够最终实现漏洞修复的目的,但过程中无疑会耗费许多时间和精力,还可能打乱原有的生产计划,拖累整个项目的生产效率。漏洞修复,是一个与每个开发者都息息相关的命题,如何高效修复漏洞,是每个开发者都要完成的功课。如果开发项目中含有高危漏洞,那么不管代码质量如何精密,黑客随时会闻风而来,利用漏洞发起攻击,使项目代码安全处于岌岌可危的境地。所以,不论企业团队还是个人开发者,开发过程中要关注的第一个重点,就是软件安全。
2023-06-28 09:14:23
150
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人