2022年6月17日,中国信息通信研究院(以下简称“中国信通院”)主办的“首届软件供应链安全论坛”顺利举办,会上正式发布2022安全守卫者计划——安全运营专题优秀案例评选结果,开源网安作为实施单位开展的项目,成功获得软件供应链安全专题优秀案例!
本案例为金融行业客户提供了高可用性的针对开源软件的供应链治理方案,提升了开源治理能力和软件供应链安全管理能力。
实施单位:深圳开源互联网安全技术有限公司
应用单位:深圳前海微众银行股份有限公司(微众银行)
随着我国数字化转型进程的逐步推进,软件已经成为日常生产生活必备要素之一,渗透到各个重要行业和领域。微众银行作为国内首家互联网银行,在数字化方面是金融行业中具有代表性和前瞻性。
而金融行业作为数字化建设的重点行业,加之监管机构对金融软件安全的严格要求,使得金融行业对开源软件治理和软件供应链安全管理的需求愈加强烈。目前,在开源软件供应链安全上,金融客户面临以下三个痛点:
1.理不清:即无法快速准确识别到体系内开源组件的安全、合规风险;
2.不匹配:即原有的安全测试工具不能匹配研发平台自动化流程;
3.响应慢:即对软件供应链的威胁响应速度较慢。
金融客户在被上述痛点牵制的情况下,无法对自身开源软件进行主动管控。在开源软件供应链被攻击时,危险将波及内部上千个应用。
虽然有安全团队的及时应对,但依然无法从部署环节就完全阻隔风险,也无法快速确定风险点并找到替代方案。最终会导致其线上业务产生震荡,甚至发生数据泄漏等事故,造成不可挽回的损失。
从源头把控组件安全,全面提升金融行业力
开源网安为金融客户提供的软件供应链安全治理解决方案,是在软件安全领域深耕数十年所形成的方案、工具链的基础上,根据软件供应链安全问题和开源软件治理问题相结合所制定的创新型解决方案根据金融行业现有痛点,开源网安梳理了此方案的五大目标:
1. 源头把控:从源头发现问题并实施管控,降低修复成本;
2. 摸清家底:建立源组件清单,降低开源组件许可证合规风险;
3. 融入开发:开源治理成为 DevSecOps 的构成;
4. 形成闭环:打通各类相关系统,使其具备持续监控和处理的能力;
5. 支撑管理:增强研发系统的开源资产实施管理能力。
在项目实施中,开源网安为金融客户在数字化建设及运营过程中遇到的软件供应链问题提供了安全保障,协助客户实现源软件成分分析、软件物料清单等面向开源软件的供应链安全管理的功能,并无缝对接代码构建平台、漏洞管理平台等重要环节,实现了开源组件威胁无感知检测。为提升客户软件安全质量、降低软件内在开源安全风险提供了有力支撑。
赋能软件安全,成就数字企业
开源网安所提供的「开源软件安全治理解决方案」可以为金融客户带来以下价值:
1. 为软件供应链安全管理提出了高可用的综合性方案。既满足了金融客户在现有研发环境下对软件安全和研发效能的保障的需求,又提升了其对软件供应链安全威胁的防护、检测和响应的能力。
2. 提升金融行业开源软件治理能力,为开源技术的自主创新和金融数字化奠定安全基石。构建开源软件安全管理体系,防范、化解开源技术风险,提升应用系统安全能力。
3. 在国内开源技术生态建设方面发挥良好示范作用,充分落地实施《关于规范金融业开源技术应用与发展的意见》要求并严格执行国家对金融行业监管政策,促进了金融行业软件供应链安全生态的构建和健康发展。
本次获奖的案例,得到了应用单位微众银行的极力认可,为其实现了开源技术在源头上的严格把控,有效将软件供应链安全风险和损失降到了最低,发挥了其作为国内知名互联网银行在行业内的良好示范作用,提升了其在国内开源技术生态建设方面的影响力,促进了金融行业软件供应链安全生态的构建和健康发展。
守护数字未来,开源网安始终在进步
未来,开源网安将继续坚持“执着专注、精益求精、一丝不苟、追求卓越”的工匠精神,以捍卫中国软件安全为使命,坚实持续的做好国内软件安全领域的领导者。