2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,针对金融机构管控开源软件使用安全、构建开源软件治理体系提出了指导意见。
本篇文章旨在解读《意见》中提到的风险变化防范措施并分析如何落实。
《意见》中多次提到“风险变化”相关,例如第七条提到金融机构要“及时掌握开源许可证变更、漏洞、闭源、停服等变化情况”以规避风险;第十一条提到金融机构要制定应急处置预案“应对开源技术潜在漏洞、后门及闭源、停服等突发情况”。
综合分析上述内容,我们可以把如何应对开源软件的风险变化归纳为两点:
- 及时收集并掌握到变化的风险情况
- 在掌握了增风险后,要及时进行修复处置
这两点是金融机构能够有效防范风险变化的关键措施。然而在实际开展过程中,金融机构需要投入一定的人力物力资源去收集风险变化,再反馈给安全团队,管理成本过高。对此,我们建议金融机构适当采用第三方风险治理服务,使收集情报并分析反馈这一流程自动化,节省工作时间,提高工作效率。
1.持续监测外部风险变化,收集风险情报并更新
信易盾SCA会24小时监测风险舆情,收集新的风险信息,第一时间更新数据库,使金融机构能够持续监控使用中的开源软件情况,避免情报风险滞后的问题。
2.分析影响范围,快速定位风险
信易盾SCA能够提供对应漏洞的影响范围,方便金融机构快速定位风险问题,及时反馈信息以便安全团队修复处置。
3.提供修复建议,及时处置风险
针对漏洞风险、许可证风险等问题提供了修复建议,帮助金融机构快速确定修复方案,完成风险问题的处理。
开源软件治理不仅包括对存量风险的盘点和排查,也包括对新增风险的检测和处置。信易盾SCA能够帮助金融机构及时掌握变化的风险情况,全面保障代码安全。