开源软件的引入管理能够从源头把控安全风险,为之后的修复工作节省许多时间和人力;反之,如果不对引入的开源软件进行管控,就相当于主动给行内信息安全引入了威胁。
“金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。”
金融机构宜形成开源软件引入测评模型(或方法),制定可操作的测评标准(或定量的测评指标),从项目活跃、行业认可、软件质量和服务支持等多个角度考察开源软件情况,综合评估该软件或服务商是否应该引入。”
以上内容来自年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第六条及信通院对此条意见的解读,针对于开源技术选型而提出的发展意见:
由此我们可以提炼出金融机构在引入开源软件时,应当考虑的几个关键要素:
一是要制定可操作的测评标准,统一管理引入的开源软件;
二是要从多个维度衡量,包括软件活跃度、软件质量、商业系数等;
三是要结合实际的业务需求分析软件是否可用,例如有的开源软件虽然可用但漏洞过多,需要投入大量修复成本,或者开源许可证要求使用该软件就必须公开源代码,这对金融机构来说是需要慎重考虑的。
金融机构可以选择适当引入第三方评估工具及服务,比如SCA(软件成分分析工具),涵盖了管控名单、软件性能评估、软件信息分析等功能,可以协助金融机构做好技术选型,下面我们以某工具为例,详解如何利用工具进行软件选型管理:
1.黑白名单管控使用
内置管控清单功能,构建统一的测评标准,可以迅速识别引入的开源软件是否在禁止使用的黑名单内,或者是否在可以使用的白名单内,帮助金融机构快速决策是否引入该软件。同时还支持对黑白名单的导入、修改等功能,灵活管控开源软件的使用。
2.软件安全系数评估
建立了对开源组件的评分体系,从组件活力度、软件质量、风险等级等方面进行综合评估。比如根据近3年发布频率评估活跃度,根据许可证合规测算商业安全系数等,通过对比总体指标评分,为金融机构制定软件准入标准提供数据支持。
3.软件风险信息分析
可以帮助金融机构识别软件中存在的漏洞信息和许可证信息,并提供漏洞和许可证的详细信息查看,评定软件风险等级,帮助金融机构分析软件是否可用。
SCA工具能够辅助金融机构管控开源技术选型,落实上级监管需求,完善开源软件治理体系。
注:以上截图来自于信易盾