大多数的金融服务机构都在使用第三方供应商提供的金融软件和系统，同时自行开发金融软件和系统。最新一份面向金融服务业的报告显示近四分之三的受访者表示十分担心第三方软件供应商会带来安全漏洞，但只有不到一半的机构要求第三方软件供应商遵循特定的网络安全要求或验证其安全实践。除了软件供应链的安全问题，金融服务业还担忧哪些问题？有哪些风险控制策略？这份报告都做了分析。

新思科技（Synopsys, Inc.，纳斯达克股票代码：SNPS）近期发布了《金融服务业软件安全状况》报告。数据安全中心Ponemon Institute对金融服务行业当前的软件安全实践进行了独立调查。报告重点呈现了金融服务行业的安全现状及解决安全相关问题的能力。调查显示超过一半的受访机构曾由于不安全的金融服务软件和技术而导致客户敏感信息被盗或系统故障及停机。此外，许多机构难以管理其供应链的网络安全风险，且无法在软件发布前正确评估其安全漏洞。

新思科技软件质量与安全部门安全咨询总经理Drew Kilbourne表示：“尽管如今金融服务行业在软件安全方面已经相对成熟，金融机构仍需要应对快速发展的技术环境，以及日益复杂的竞争对手。单凭一种方法确保软件安全显然是行不通的。报告明确指出加强供应链风险管理极其重要。这有利于许多金融机构将他们的软件安全计划实施于所有业务关键的应用。也能有助于将将安全‘向左移’，在软件开发生命周期(SDLC)早期就已经将安全考虑在内。”

新思科技委托了知名数据安全研究中心Ponemon Institute对金融服务行业当前的软件安全实践及风险进行了调查。研究人员访问了来自金融服务行业各个领域的400 多名IT 安全从业人员，包括银行、保险、抵押贷款/ 处理和经纪领域。调研参与者的职务涵盖开发、安装和实施金融应用等。

报告重点发现如下：

多数金融服务行业机构无法有效防止网络攻击。据56％的受访者称，由于不安全的金融服务软件和技术，他们的机构遭遇过系统故障；超过一半（51％）表示客户的敏感信息被盗。毫不意外的是，调查显示更多机构在检测(56%)和控制(53%)网络攻击方面充满信心，而在从源头防止攻击方面则较弱。

许多机构难以管理其供应链的网络安全风险。几乎四分之三(74%)的受访者关注或极其关注第三方软件系统的安全性。除此之外，只有43％的受访者表示他们要求参与金融软件技术开发过程的第三方验证其安全实践。以及，只有43％的受访者表示他们有既定的流程来编目和管理软件产品中的开放源代码。

金融服务机构无法在软件发布前正确评估其安全漏洞。虽然大多数金融机构遵循安全软件开发生命周期流程，但是，平均而言，金融机构仅对34% 的金融软件/ 技术进行网络安全漏洞测试。此外，即使是对金融软件/ 技术进行网络安全漏洞测试，只有48%的受访者表示这项活动是在SDLC流程的软件预发布阶段开展，例如需求和设计阶段或开发和测试阶段。

点击《金融服务业软件安全状况》，免费下载报告。