2021年,中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》,旨在为金融机构开展开源软件治理工作提出指导意见。
《意见》中不乏“漏洞”“许可证”“技术评估”等高频关键词,之前的系列中我们就技术评估这一关键词分析了应如何落实其措施,今天我们来谈谈具体的评估维度。
《意见》中第九条指出金融机构应建立开源技术评估体系,同时详细列出了应该从如下方面对开源组件进行评估:“开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度”,为金融机构健全开源技术评估体系提供了参考。
当然,在日常业务流程中,安全和开发人员要花费许多时间收集这些信息并整理,最终反馈评估结果。这样一来会耗费许多时间,使业务流程复杂化。因此,我们推荐金融机构采用第三方评估服务,快速完成对开源组件的评估,简化工作流程,提高工作效率。
利用信易盾SCA的开源组件评估功能,金融机构可以完成对开源组件以下维度的评估:
基本信息:
信易盾针对开源组件提供详细信息展示,包括组件名称、所属语言、组件坐标、标签等,帮助金融机构快速了解引入的组件详情。
安全性:
信易盾能够自动识别出组件中含有那些漏洞以及该组件使用的开源许可证,帮助金融机构评估风险性,决定是否使用及使用策略。
活跃度:
信易盾以曲线图的形式展示了开源组件的历年活跃度,帮助金融机构正确选择组件,避免使用已废弃或停止维护的开源组件。
版本对比:
信易盾收录了每个开源组件的各个版本,提供各版本的安全系数、风险等级等指标对比,帮助金融机构选择最适合的版本使用。
总结起来,只有全方位地、多维度地评估开源组件,才能保证使用的开源组件安全可控。通过利用信易盾SCA工具,结合以上评估维度,金融机构能够更好地提高开发程序的可用性,落实监管要求,顺利推进开源治理。
258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
