2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,旨在规范银行、证券、保险等行业合理使用开源技术,促进开源技术的健康发展。《意见》共二十条,其中的高频词汇之一,就是“技术评估”,涉及到开源软件使用周期管理、开源治理团队建设、开源使用生态建设等。
技术评估为何如此重要?开源治理的目的是确保所使用的软件安全可控,那么关键措施就是要对软件的版本信息、漏洞情况、合规风险等要素进行分析,评估其安全性是否足以被使用,这就是技术评估。如果技术评估做的好,那么在引入阶段就能把风险阻挡在外,反之,如果没有技术评估,很可能金融机构已经使用了高风险软件而不自知。
对于使用开源软件的金融机构来说,技术评估是必不可少的环节。但在实际业务流程中,很少有金融机构能够做到100%的评估。因为一个开源软件中可能含有几十个漏洞,要分别查找漏洞信息再进行整体评估,工作量较大;另外,金融机构也很难做到把是卖你上所有的软件安全性都分析一遍,只能现用现查,浪费时间和效率。
针对这一点,《意见》中专门提到“在提升自身评估能力的同时,可结合实际引入第三方评估服务。”对金融机构来说,引入第三方评估工具,使技术评估流程自动化,是提升工作效率的好选择。
信易盾SCA工具通过收集、清洗、分析,建立了自有的开源软件信息库,能够直接展示评估信息、随时可查、数据全面,辅助金融机构完成技术评估。
1.评估结果直接展示
信易盾会直接为用户展示已分析好的评估结果,包括所有版本、漏洞信息、安全系数、指标得分等,快速完成针对此软件的技术评估。
2.评估信息随时可查
用户可随时在信易盾的数据库里通过输入名称、选择标签等方式查看软件评估结果,避免现用现分析,节省时间。
3.定期更新、数据全面
信易盾的数据库涵盖1亿+软件及其版本信息,并持续进行软件数据更新,全面覆盖金融机构的业务需求。
近年来,开源技术在金融行业的应用日益广泛,开源安全问题也成为金融机构信息安全的重点议题。作为一款专为开源软件治理而研发的产品,信易盾能够辅助金融机构做好开源技术评估,落实开源治理指导意见,促进开源技术健康发展。
742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
