2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,旨在为金融机构进行开源软件治理提供指导意见和方案。
《意见》中多次提到“引入第三方评估服务”这一方法,例如第六条“引入第三方机构的开源技术支持服务,制定合理的开源技术应用策略” 以辅助金融机构完成开源软件引入测评、技术选型;第九条“在提升自身评估能力的同时,可结合实际引入第三方评估服务”以实现对开源技术的安全评估;第十条“引入第三方合规审查服务”以辅助金融机构合规使用开源许可证。
由此可见,引入第三方开源治理工具是金融机构开展开源治理工作的有效手段,引入工具可以帮助金融机构全面有效的治理开源软件,为开源治理工作降本增效。在选择引入的第三方工具时,金融机构需要充分考虑工具的性能、与自身业务的适配度等因素,总结起来有以下几方面:
一、数据指标:无论是对引入开源软件的选型评估还是对开源软件的风险检测,都需要足够的数据信息进行分析,因此开源治理工具必须配备一定风险数据存储。
二、安全可控:对金融机构来说,即使是安全治理工具,也必须满足安全可控的要求,以保护数据隐私安全。
三、融合开发:第三方工具无法保证与金融机构自身的业务流程完全适配,因此最好能够提供二次开发,以保证能够与开发业务无缝融合。
众多开源软件治理工具里以SCA(软件成分分析)最为典型,金融机构可根据以上几点重要因素,结合自身考虑选择,比如信易盾SCA,就能够满足以上要求,辅助金融机构建立全面的开源治理体系。
强大的数据支持:
信易盾自有的数据库涵盖了1亿+组件及版本数据,30万+漏洞数据,覆盖了主流风险数据库的信息,为金融机构管控开源软件安全提供了坚实的数据基础。
国产研发 安全可信
信易盾的核心代码均为自主研发,可在全栈信创环境下进行部署。用户可以随时从平台上删除项目代码,保障用户的信息安全。
支持二次开发:
信易盾支持根据金融机构自身管理工具及开发方式支持二次开发,与客户业务流程完美融合,支持在离线环境下进行私有化部署,为金融机构进行开源软件风险管理提供全力支持。
第三方工具与服务如今是金融机构开展开源治理工作的必备方法,信易盾专为金融机构开源治理而研发,旨在与金融机构共建开源治理,赋能数字化发展道路!
484
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
