证监会发布《证券期货业信息技术架构管理指南》,明确要求架构上线或变更前进行源代码安全检测

2024-11-27 14:13

近日,证监会发布《证券期货业信息技术架构管理指南》金融行业标准。该指南明确规定了证券期货业机构应建立健全信息技术架构质量审查机制,开展内部质量审查,包括架构上线和变更前的信息安全防护措施制定、源代码安全检测、信息架构相关产品审查、知识产权和版权的合规审查等


《证券期货业信息技术架构管理指南》金融行业标准规范了证券期货业信息技术架构管理的制定原则、组成结构、管理机制、更新机制,适用于行业机构在信息技术架构管理过程中的整体规划、设计操作、制度建设和更新升级。标准的制定实施有利于降低信息技术架构管理的安全风险与成本,规范行业架构管理流程,切实提升行业整体信息技术架构管理水平。


在软件研发阶段审查源代码

确保软件安全



架构上线或变更升级前,应对架构的执行程序、源代码进行严格审查、测试,确保运行质量安全。


在将新的架构部署到生产环境,或者对现有架构进行重大变更或升级之前,需要进行严格审查和测试,涉及对执行程序和源代码的检查,以确保符合既定的标准、规范和要求,发现潜在问题、错误或不符合项,并在上线或升级前进行修正。


多年来,开源网安深耕软件安全,打造了源代码安全检测平台CodeSec,专为软件代码的安全审核与质量分析而设计。CodeSec深度融合了先进的AI大语言模型技术,能够智能化地对代码进行深度剖析,自动识别并指出存在安全问题,同时提供针对性的解决方案。CodeSec可以助力开发、测试及安全团队在软件开发的早期阶段,高效发现并解决漏洞及不规范编码问题,降低修复成本,提升软件整体安全质量,并持续推动软件开发人员安全开发能力的提升。


解决开源组件安全性问题

降低法律风险



对信息技术架构知识产权、版权、专利、商标、声明等进行事前合规审查,可根据需要引入第三方审查服务,通过审查架构的自主性和可用性,避免法律纠纷。


企业需要持续监控和分析机构内部重要的信息技术架构模块,对开源软件所涉及的知识产权、版权、专利、商标、声明等进行全面的合规性审查确保其安全稳定运行。机构自身在合规审查方面存在不足或需要更专业的意见,可以引入具有更高的专业性和独立性第三方的审查服务提供更客观、更全面的合规性评估。


开源网安自研的软件成分分析产品SourceCheck,用于第三方组件的安全分析与管控,可对于企业所需要的许可证传染性、兼容性、其他违规风险进行合规性审计,对于相关系统是否违规侵权,商业闭源的注意事项等项目进行深入分析,并出示安全检测报告,证明软件没有合规性和安全性问题,是帮助企业实现开源风险治理的理想工具。


随着信息技术的快速发展和证券期货业的不断壮大,监管机构对证券期货业的信息化监管力度不断加强。为了响应监管政策的要求,行业机构需要更加规范地管理其信息技术架构,以确保业务的合规性和安全性。开源网安将持续深化对新技术的探索与研究,跟随政策脚步,加强应用创新,不断完善软件安全产品与解决方案,帮助金融行业客户从容应对软件安全新风险,迈向更加安全、高效的数字化未来。