產品簡介
數字經濟時代背景下����,開源技術已成為金融數智化轉型和科技創新的核心組成�。國家“十五五”規劃綱要明確提出“推進開源體系建設,完善開源運行機制”�。人民銀行等五部門印發《關于規范金融業開源技術應用與發展的意見》��,國家標準《金融業開源軟件測評規范》、金融行業標準《金融業開源軟件應用 管理指南》《金融業開源軟件應用 評估規范》相繼發布實施�,為金融機構安全合規應用開源軟件提供了政策指引和標準依據���。
金融開源治理技術服務以開源相關政策文件����、標準規范為指引���,對機構開源軟件管理現狀進行對標差距分析��,并結合機構信息科技管理現狀�,建立健全科學規范��、可落地的開源管理體系�,全面梳理梳理機構在用的開源軟件清單和使用臺賬�����,搭建機構級開源技術應用管理平臺��,動態管理開源軟件各類風險,為機構持續提升開源技術應用管理能力提供專業第三方評估認證����,助力金融機構合理應用開源技術�,防范各類開源風險�����。
產品框架
金融業開源軟件可信中心倉
連通國家開源基礎設施數據源,支持npm、maven�����、pypi���、yum等主流語言倉����,同步存儲8300萬以上全球開源項目制品��,在無法連接海外源的情況下仍可安全下載已存儲的版本�����。基于金融業開源軟件評估模型通過“國家級-行業級-機構級”三層遞進過濾機制系統性管控引入風險,可根據機構自身業務特點定制風險評估模型和下載基線,提前隔離有害和高風險開源軟件���,從制品引入源頭系統性降低風險,中小金融機構可直接復用行業平臺的可信開源項目清單與風險數據,大幅減輕開源軟件選型評估壓力���。
開源軟件知識庫數據訂閱
金融業開源技術服務平臺集成多個專業SCA工具形成開源軟件知識庫,匯聚130萬多個開源軟件(含版本)、1.6億以上開源組件(含版本)��、40余萬條漏洞信息與4000余款許可證數據�,對入庫開源軟件的安全漏洞、停服動態、合規風險進行持續監測�����,聯動金融網絡安全態勢感知平臺實現風險信息實時推送���,幫助機構第一時間響應安全事件��。提供風險檢測與信息查詢服務,支持機構自主上傳軟件或代碼進行軟件成分分析(SCA)�����,識別其中包含的開源組件�、版本����、許可證及已知漏洞�,同時提供安全漏洞掃描與許可證合規檢測,生成SBOM清單。
建立健全開源軟件管理制度體系
科學�����、完備的開源軟件管理制度是實現開源軟件全生命周期有效管理的前提�����,明確開源軟件管理組織架構與職責分工����,對開源軟件的引入����、使用、持續評估、退出全流程提出明確的管控規定����,以保障引入的開源軟件處于安全可控范圍��,及時識別和處置開源相關風險。在實施細則層面�,結合機構信息科技管理特點�����,與現有開發運維過程相融合���,制定開源軟件的分類分級��、選型評估����、風險監測�、動態更新等多維度、可落地的操作規程����。
存量開源軟件治理
通過專業工具+人工全面識別盤點機構服務器和終端存量開源軟件資產情況�����,對比開源知識庫進行數據清洗,補充完善開源軟件基礎信息�,形成較為完整準確的機構存量開源軟件資產清單和應用臺賬�。結合信息系統重要程度���、開源軟件依賴方式����、風險暴露方式和機構安全合規風險管控要求等,對存量開源軟件的各類風險進行分析評估���,提出風險處置優先級建議,形成存量開源軟件分期分批治理工作方案��,逐步收斂開源軟件版本����,減少開源軟件應用風險�,降低開源管理成本。
開源技術應用管理平臺建設
以《金融業開源軟件應用 管理指南》《金融業開源軟件應用 評估規范》為準繩,結合機構信息科技管理特點和實際需求,建設開源技術應用管理一體化平臺����,實現開源管理組織架構��、管理制度、生命周期流程管理���、風險管理、存量管理等要素的自動化����、線上化管理�����,對開源軟件資產信息�����、生命周期檔案、風險情報�、應用臺賬等進行集中展示和統一管理�����,提高開源管理工具化水平和管理效率。
開源軟件安全&許可證風險分析
結合 SCA 掃描工具�����,以及安全漏洞研判模型等支持手段����,分析信息系統中開源漏洞的可達性����,結合信息系統重要性、開源漏洞等級排序情況以及是否為HW及攻防常用組件漏洞等信息,對開源漏洞級別進行場景化判定與排序�,對結果進行人工分析�,提出處置建議并復核處置情況�����。
依據開源許可證關鍵條款要求���,結合應用場景和開源軟件使用方式等�,分析開源許可證義務履行情況和存在的風險�,提出處置建議,防范開源許可證合規風險。
開源技術應用管理成熟度評估認證
緊扣《關于規范金融業開源技術應用與發展的意見》提出的“安全可控�、合規使用�、問題導向�����、開放創新”四大基本原則����,依據《金融業開源軟件應用 管理指南》《金融業開源軟件應用 評估規范》�����,結合金融機構開源軟件相關管理制度要求��,對金融機構開源管理組織架構、管理制度、流程管理��、風險管理���、存量管理��、工具化管理等方面的能力進行評估認證,通過文件查閱��、開源治理體系建設和運行情況審查����、平臺工具驗證、人員訪談�����、對標分析���、問題確認等環節���,客觀反映和評價金融機構開源技術應用管理能力狀況�����。通過第三方專業認證��,助力金融機構持續完善開源治理體系����,建立開源技術使用��、問題發現�����、反饋、解決等閉環機制;強化開源軟件使用的合規及風險意識����;提高應用水平和自主可控能力,促進開源技術健康可持續發展��;發掘金融機構開源治理最佳實踐�,提升金融業開源治理整體水平
主要優勢
國金認證作為“金融業開源技術應用與發展實驗室”承擔單位,建設并運營金融業開源技術服務平臺��,深度參與開源相關政策文件和國家標準�、行業標準、團體標準編寫���,牽頭金標委開源軟件供應鏈課題研究,連年開展金融行業開源技術應用和管理現狀調研����,組織開源技術交流�����、行業論壇、閉門研討等��,是唯一在國家認監委備案“金融業開源技術應用管理認證”的認證機構���,開源治理技術服務已在20余家金融機構��、科技公司等落地���,積累了豐富的開源治理理論和實踐經驗���。
客戶案例(部分案例)
序號 | 客戶名稱 | 服務內容 |
1. | 中國銀行股份有限公司 | 1)開源軟件管理現狀調研與對標差距分析 2)金融業開源技術應用管理成熟度評估認證 |
2. | 中國郵政儲蓄銀行股份有限公司 | 1)開源軟件管理現狀調研與對標差距分析 2)金融業開源技術應用管理成熟度評估認證 |
3. | 中國光大銀行股份有限公司 | 1)開源軟件管理現狀調研與對標差距分析 2)金融業開源技術應用管理成熟度評估認證 |
4. | 華夏銀行股份有限公司 | 開源治理工具平臺建設 |
5. | 中國民生銀行股份有限公司 | 1)開源軟件管理現狀調研與對標差距分析 2)金融業開源技術應用管理成熟度評估認證 |
6. | 恒豐銀行股份有限公司 | 1)開源管理體系建設 2)存量開源軟件治理 |
7. | 寧波銀行股份有限公司 | 1)開源軟件管理現狀調研與對標差距分析 2)金融業開源技術應用管理成熟度評估認證 |
8. | 北京銀行股份有限公司 | 1)開源軟件管理現狀調研與對標差距分析 2)金融業開源技術應用管理成熟度評估認證 |
9. | 北京農村商業銀行股份有限公司 | 1)開源治理現狀調研分析��; 2)開源管理體系建設; 3)存量開源軟件治理�; 4)企業級開源治理平臺建設��; 5)對接金融業開源可信中心倉; 6)開源風險治理專家服務 |
10. | 廣東省農村信用社聯合社 | 金融業開源技術應用管理能力評估認證 |
11. | 中央國債登記結算公司 | 1)開源治理現狀調研分析��; 2)開源管理體系建設���; 3)存量開源軟件治理�����; 4)企業級開源治理平臺需求分析 5)制定開源技術支撐方案 |
12. | 國信證券股份有限公司 | 1)開源軟件管理制度建設; 2)金融業開源治理對標評估 |
13. | 海通證券股份有限公司 | 金融業開源技術應用管理成熟度評估認證 |
