2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第六条,针对开源技术选型提出了发展意见:
“金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。”
这条意见主要针对是的金融机构对开源组件的选择引入环节,我们不妨参照信通院对此更为详细的解读:“金融机构选择开源技术,应以业务场景目标为核心,宜从实际业务需求出发开展充分的市场与场景成熟度调研,由开源软件使用团队对软件功能性进行详细评测;同时金融机构宜针对直接引入(企业直接使用开源软件/组件)、商业解决方案(采购商业产品涉及开源软件/组件)与外包开发(外包开发商涉及开源软件/组件使用)等引入方式、形成开源软件引入测评模型(或方法),制定可操作的测评标准(或定量的测评指标),从项目活跃、行业认可、软件质量和服务支持等多个角度考察开源软件情况,综合评估该软件或服务商是否应该引入。”
根据以上描述,我们可以提炼出金融机构在引入开源软件时,应当考虑的几个关键要素:
一是要制定可操作的测评标准,统一管理引入的开源软件;
二是要从多个维度衡量,包括软件活跃度、软件质量、商业系数等;
三是要结合实际的业务需求分析软件是否可用,例如有的开源软件虽然可用但漏洞过多,需要投入大量修复成本,或者开源许可证要求使用该软件就必须公开源代码,这对金融机构来说是需要慎重考虑的。
为了落实以上管理措施,金融机构可以选择适当引入第三方评估工具及服务,比如SCA(软件成分分析工具),涵盖了管控名单、软件性能评估、软件信息分析等功能,可以协助金融机构做好技术选型,以信易盾为例,SCA能够通过以下几点功能,为金融机构选择适宜的开源软件提供帮助。
1.黑白名单管控使用
信易盾内置管控清单功能,构建了统一的测评标准,可以迅速识别引入的开源软件是否在禁止使用的黑名单内,或者是否在可以使用的白名单内,帮助金融机构快速决策是否引入该软件。同时还支持对黑白名单的导入、修改等功能,灵活管控开源软件的使用。
2.软件安全系数评估
信易盾平台建立了对开源组件的评分体系,从组件活力度、软件质量、风险等级等方面进行综合评估。比如根据近3年发布频率评估活跃度,根据许可证合规测算商业安全系数等,通过对比总体指标评分,为金融机构制定软件准入标准提供数据支持。
3.软件风险信息分析
信易盾平台可以帮助金融机构识别软件中存在的漏洞信息和许可证信息,并提供漏洞和许可证的详细信息查看,评定软件风险等级,帮助金融机构分析软件是否可用。
开源软件的引入管理能够从源头把控安全风险,为之后的修复工作节省许多时间和人力;反之,如果不对引入的开源软件进行管控,就相当于主动给行内信息安全引入了威胁。信易盾SCA工具能够辅助金融机构管控开源技术选型,落实上级监管需求,完善开源软件治理体系。