2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第五条,提到了金融机构应规范开源软件全周期使用:
“鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。”
也就是说,金融机构应该针对开源软件生命周期的每一个阶段都制定管理措施,对开源软件的引入、使用、更新、退出的全流程管理提出明确规定,正如信通院对此条意见的解读:
“金融机构宜完善开源软件管理制度,制订总行级、中心级开源软件管理规范,对开源软件的引入、使用、更新、退出的全流程管理提出明确规定,在制度中明确要求对开源软件进行统一管理。”
根据开源软件的使用特点,我们可以将其生命周期分为引入、使用、监控和退出四个阶段。在引入阶段,金融机构应制定软件选型标准,根据标准严格控制哪些软件可以被使用;
在使用阶段,要做好风险识别,确认开源软件含有哪些漏洞风险并修复,确认开源许可证的条款含义并严格遵守;
监控阶段则是通过外部信息收集和内部风险监测,持续监控有无新的风险出现;
最后,当开源软件确认不能够再使用时,应做好开源软件退出管理,防止退出的软件再次被使用,做到开源软件全生命周期的跟踪和记录。
根据以上措施需要,信易盾SCA工具研发了组件性能评估、安全风险检测、黑名单管理等功能,可以协助金融机构建立起完善的开源软件安全管理体系,促进开源技术健康可持续发展。
1、引入阶段
在引入开源软件时,需要从组件活力度、软件质量、风险等级等方面进行综合评估,进一步决定是否要引入该软件。信易盾平台建立了对开源组件的评分体系,比如根据近3年发布频率评估活跃度,根据许可证合规测算商业安全系数等,为金融机构制定软件准入标准提供数据支持。
2、使用阶段
在开源软件投入使用后,应首先针对开源许可证和安全漏洞两大风险问题进行检测,并及时修复。信易盾提供的风险检测功能,能够精确识别软件中存在的所有漏洞数量及风险等级,识别高危许可证及缺失许可证的组件,帮助金融机构确定全面的风险修复方案。
3、监控阶段
信易盾研发的定时解析任务功能可以帮助用户周期性检测风险,比如每隔两天或者每周进行自动扫描,实现定期的健康评估。另外信易盾会每天监测风险情报,收集新的风险信息并定时更新,内外部管理相结合,做到对开源软件的全面监控。
4、退出阶段
对于因为风险性过高、已停止维护而不再使用的开源软件,应及时发布退出通知和记录,防止该软件再次被使用。可以利用信易盾的黑名单管理功能,添加到黑名单中,未来涉及到该软件,系统会自动产生告警提示。
结合以上功能,信易盾可以在开源软件全周期管理的各个阶段发挥效用,辅助金融机构建立一系列管理流程,落实《关于规范金融业开源技术应用与发展的意见》的条款要求,构建完整的开源治理体系。