新安全形势下,金融行业挑战与机遇

随着国内外网络安全复杂、严峻形势的演变，我国金融行业网络安全形势日益严峻，面临诸多新风险和挑战。

自年起，我国开始陆续推出网络安全及开源指导政策，从《网络安全法》到年发布的《金融行业网络安全登记保护实施指引》，以及五部委联合发布的《关于规范金融业开源技术与应用发展的意见》，为金融行业提供网络安全建设方法论技术指导及安全等级保护体系。

在为金融机构提供开源治理的方法论和指导的同时，规范金融行业开源安全标准，鼓励金融行业利用开源模式加速自主创新，实现业务及技术革新。

近年，国家加大力度整治和规范金融行业开源及信息安全工作，其背景和原因如下：

●金融科技创新大量采用新技术，实现业务创新的同时，也给网络安全带来了更多隐性风险，提出了更高要求;

●同时随着时间型漏洞和高危零日漏洞威胁的持续走高，网络攻击种类、规模和方式也不断增加，隐蔽性更强的APT攻击成为常态；

●金融数据涉及大量个人信息和资金等内容，数字化的大背景下，数据的价值在不断被提升，金融业务的复杂性使得数据安全保护体系的建设难度不断加大。

●金融行业的业务创新不断加速，各金融机构与第三方机构的连接越来越多，同时中小金融机构大量依靠科技外包来获得快速发展，风险的传导范围和信息科技外包风险不断加大。

赋能金融行业开源治理能力

夯实代码审计基础

是国内第一款完全自主知识产权的商用源代码检测产品，从版本从V1.0——V7.0，研发团队九年中不断对其完善和优化，扫描引擎以及检测用类编译器等核心检测技术完全自主研发，并非通过改造外国同类产品或者开源产品，其检测速度与检测效果等性能已超过国际同类产品。

对比国际强劲对手：以色列CHECKMARX和美国FORTIFY。

●风险种类方面，CodePecker远超其~种；

●产品形态方面，CodePecker部署灵活多样，支持B/S或硬件部署、支持虚拟化云部署、支持分布式部署、支持镜像部署；支持国产化操作系统部署

●集成能力方面，CodePecker的集成能力远超国际友商，支持其他商业或开源源代码静态检测引擎集成；

●自动化审计方面：CodePecker可以做到自动化审计，通过机器自学习，基于历史代码审计信息学习识别有效的缺陷，提高审计效率。

●安全缺陷和质量缺陷并举：既适用于网络相关应用程序检测，也适用于工业软件程序检测。

CodePecker源代码缺陷分析系统问世多年以来，已为众多著名国有企业提供了软件开发安全防御及检测服务。其中包括：中国工商银行、交通银行、三大运营商、中国体彩、中石油、中石化、中广核、长安汽车、国家电网、南方电网、清华大学、医院等在内的横跨11个行业领域的的企业，正在受益于酷德啄木鸟的源代码缺陷分析系统。

以中国体彩为例，此项目的创新点在于打破了传统代码审计项目的完成方式，不仅仅局限于产品本身，结合本产品技术优势，帮助体彩完善代码安全建设，提高开发人员安全编码水平，同时协助企业推动并逐渐实现DevSecOps的落地。