金融机构如何根据《金融业开源技术应用与发展意见》建立开源技术台账？

2021年，由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第七条，针对开源软件使用时的技术跟踪管理提出了指导意见：

“金融机构可以根据开源技术使用情况，建立开源技术应用台账，及时掌握开源许可证变更、漏洞、闭源、停服等变化情况，实行常态化管理，规避风险。”

怎样才算建立了完善的应用台账，又需要包含哪些方面呢？我们不妨参考下信通院对此的详细解读：“金融机构宜构建源码仓库和制品仓库对开源代码进行统一管理，持续跟踪企业内正在使用的开源软件的社区情况、版本更新情况及开源许可证情况，通过治理平台（台账管理）辅助实现开源软件信息的登记和更新，定期对相关信息进行分析、评估和处置；同时金融机构宜建立开源软件运维管理机制，通过建立运维知识库和内/外专家支持机制保证技术运维支持能力。”

结合以上信息，我们不难分析出金融机构在开源软件的使用过程中，主要应关注以下几方面：一是要把所有正在使用的开源软件、组件、许可证等资产进行整合，明确正在使用哪些软件，登记所有软件信息；二是对整合起来的资产定期审查，评估是否存在风险问题；三是通过要建立开源软件知识库，跟踪开源软件信息，例如版本更新、许可证变化、组件升级等。

以上三点是金融机构建立技术应用台账的基本要素，也正与信易盾的产品理念相符，信易盾SCA具有资产管理、台账、知识库三项功能，辅助金融机构实现开源技术应用台账的有效建立和落地。

资产管理：汇总所有使用的软件信息，登记名称、类型、软件中存在的漏洞、涉及的许可证等信息，并且支持一键生成资产明细清单后下载导出，方便用户对开源代码进行统一管理。

可视化台账：统计所有软件的风险信息形成可视化台账，包括项目风险概况、风险漏洞统计、风险许可证统计、高危组件统计等信息展示，帮助用户快速了解安全状况，快速评估整体风险，决定处置策略。

知识库：内置有开源软件及组件知识库，涵盖组件、软件及其版本数量1亿+，帮助用户直接省略信息收集的环节，为用户直观展示软件及组件内含风险、各版本对比等信息，辅助用户完成使用后期的技术跟踪。

利用以上功能，金融机构可以实现软件资产清单梳理及管控，做到开源安全问题可知可控，落实监管意见，提高开源治理能力。