2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第二条,指出了金融机构使用开源技术的原则之一: “建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。”
建立问题管理闭环机制,就是指当开源软件的使用出现问题时,要以问题为导向,追溯问题的来源、确定问题的解决方案、跟踪问题的解决记录,建立起一套完整的流程。以漏洞问题为例,从检测出漏洞开始,反馈风险信息,修复漏洞,到问题解决完成,每个环节都应该制定明确的执行步骤,才能实现闭环管理。
在实际执行过程中,如果以上步骤完全由人工管理实现,不仅会耗费时间,延长修复过程,而且不能尽快消除风险影响。所以,我们推荐金融机构引入第三方工具和评估服务,节省人力与时间成本,为金融机构闭环管理问题提供技术及服务支持。
信易盾SCA产品涵盖风险问题检测、修复方案推荐、报告记录留存等各项功能,基于助力金融机构贯通开源软件安全管理全链路的目标,为金融机构量身打造了以下四点功能,以落实问题导向的使用原则:
1.已有项目/新上传项目开启检测分析
信易盾支持通过本地上传、GitLab上传等方式,对开源项目进行全面的检测分析,梳理组件关系,识别漏洞风险与合规风险,帮助用户洞悉项目概况,找出问题所在。
2.生成解析报告 标注风险问题
详细展示项目中存在的所有漏洞数量及风险等级,识别高危许可证及缺失许可证的组件,统计风险组件数量,提供详细的软件物料清单,帮助用户快速定位风险问题。
3.推荐修复方案及使用建议
对已检测出的风险组件、漏洞、许可证都提供了推荐版本、修复方案、使用建议等,为用户解决风险问题提供参考。
4.风险排查完成 生成报告留存数据
支持一键生成pdf、xlsx、xml报告,以统计图、表格等形式多维度展示项目信息,帮助用户更好地掌握项目数据,记录检测及修复结果。
信易盾开源软件管理平台为金融机构落实问题导向的管理意见提供了重要的技术平台支撑。以风险检测、修复解决、报告记录等多项功能,支持开源软件从问题发现到解决的全周期管理流程化、智能化,助力金融机构提高了开源管理的质量与成效。
扫一扫
1050
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
