2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第十二条,就银行业应该如何管理供应链安全作出了明确规定:
“支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等”
那么对于金融机构来说,如何在日常业务中落实这些发展意见呢?
其实,保障供应链安全的本质就是供应链风险的防范与治理,要做到这一点,首先要对引入的开源软件进行检测解析,输出一份软件物料清单,再以软件物料清单为基本载体,根据清单来统计该软件存在哪些漏洞风险、许可证合规问题等,结合以上结果评估该软件是否可以被使用。
所以,软件物料清单是做好供应链管理的关键。考虑到实际管理中可以投入的人力与物力,我们推荐金融机构采用自动化工具进行管理。例如信易盾SCA产品,不仅能够识别漏洞风险与许可证合规风险,还能够辨析组件成分、排查新增风险,自动输出完善的软件物料清单,帮助金融机构全面保障供应链安全。
信易盾输出的软件物料清单,分别从以下几方面帮助金融机构掌握软件风险:
1.组件成分清单
深入分析组件成分,展示组件清单,包括组件名称、使用版本等信息,使用户能够摸清使用了哪些组件,明晰项目成分。
2.漏洞清单
精准识别项目中存在的漏洞并输出漏洞清单,涵盖漏洞名称、等级、影响范围等信息,使用户能够及时了解漏洞风险并针对解决。
3.许可证合规清单
涵盖开源软件涉及到的所有许可证,以及不同许可证之间的条款冲突情况,并提供遵循建议,帮助用户避免合规风险。
4.解析记录清单
记录每次检测结果,并提供多次解析历史比对功能,能够一键分析出风险变化情况,及时掌握新增风险。
在数字化、智能化的时代背景下,软件已成为推动人们日常生活及社会运转的重要齿轮,应对软件供应链攻击,提升软件供应链透明度已成为开发领域的共同诉求。通过以上功能,信易盾打造了一套全方位的风险检测机制,帮助金融机构快速且全面地掌控开源技术安全,保障开源供应链零风险!