日前,奇安信中标某大型国有银行安全测试开源组件安全评估项目,再一次彰显了奇安信在开源安全治理领域的专业实力和市场认可度,同时也反映出金融行业对于提升信息技术基础设施安全性的重视程度。
确保开源组件安全可控,符合行业发展需要
随着数字化转型的加速推进,金融机构越来越依赖于软件和信息技术来提升其运营效率和服务质量。开源软件因其灵活性、可扩展性和成本效益等优势,在金融行业中得到了广泛应用。然而,开源组件的安全性也成为了不容忽视的问题,尤其是考虑到金融行业的敏感性和监管要求。
中国人民银行近两年先后发布《关于规范金融业开源技术应用与发展的意见》、《金融业开源软件应用 管理指南》,明确了金融机构在使用开源技术时应遵循安全可控、合规使用等原则,指出应提升开源技术的评估、合规审查、应急处置和供应链管理能力,控制开源软件应用风险。中国信通院发布的《网络安全技术 软件产品开源代码安全评价方法》国家标准,明确企事业单位要掌握软件产品中开源代码来源情况、安全质量情况、知识产权情况、开源代码管理情况,实现对其可控性、安全性、合规性、稳定性的判断。
在此背景下,该银行决定引入专业的第三方服务进行开源组件的安全评估工作,以确保其使用的开源软件符合最新的安全标准和法规要求。该项目旨在全面检查银行IT系统中的开源组件,并对其进行风险评估、漏洞扫描和合规性验证。
项目的实施将有助于该银行建立一套完善的开源组件安全管理流程,确保所有开源组件的安全可控,降低潜在的安全风险,同时也能更好地满足监管机构的要求。此外,此次合作也将为其他金融机构提供一个良好的参考案例,促进整个金融行业在开源软件使用上的规范化管理和安全实践。
企业对开源软件依赖度高,认识却远远跟不上
全球数据显示,大约60%至80%的应用程序开发,直接采用开源代码或在其基础上进行,尽管对开源技术的依赖性如此之高,遗憾的是,大多数企业对于开源软件的理解与应用策略仍显模糊与不足,主要体现在:
企业安全管理者或者开发负责人,常常不清楚信息系统中到底引入了多少开源软件、具体是哪些开源软件。
使用的开源软件可能会存在已知安全漏洞,其背后调用或依赖的其他开源软件也可能存在安全漏洞,这种深层关联下的开源软件漏洞很难通过漏洞扫描工具发现。
企业若想从海量网络安全情报信息中,获取影响企业自身的开源软件漏洞信息,结果就是成本高、难度大。
奇安信开源卫士
奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统。通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况,及时获取开源软件漏洞情报,降低由开源软件带来的安全风险。奇安信开源卫士目前可识别1.8亿个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。
目前,奇安信开源卫士已在数百家大型企业和机构中应用,帮助客户构建自身的代码安全保障体系,消减软件代码安全隐患。同时,入选国家发改委数字化转型伙伴行动、工信部中小企业数字化赋能专项行动,为中小企业提供软件代码安全检测平台和服务。
凭借开源卫士以及在软件成分分析领域的深厚积累,奇安信日前入选国际权威咨询机构Forrester发布的《Software Composition Analysis Landscape, Q2 2024》(《软件成分分析全景图,2024年第二季度》)报告,被认定为全球优秀的软件成分分析代表厂商之一。
咨询及试用奇安信开源卫士请拨打95015或者点击阅读原文:
