共话开源风险治理 | 开源网安受邀参加“开源治理平台解决方案分享会”
作者: 日期:2023年03月13日 阅:1,216

在数字经济浪潮下,开源技术正逐渐成为产业创新和技术创新的主导模式。金融行业作为典型代表,开源软件的使用数量和应用范围日益增大,在安全风险、知识产权、运维管理、合规风险等方面均面临严峻挑战。为解决以上问题,提升金融机构开源软件应用质量与效率,中国信通院旗下金融行业开源技术应用社区召开的开源治理平台解决方案分享会于近日成功举办。

开源网安SCA技术专家尹杰受邀参加此次分享会并向与会嘉宾分享了《开源治理综合解决方案》。尹杰结合开源网安在开源软件治理方面的落地实战经验,从开源技术风险、开源思考及开源治理解决方案几个方面提出了开源软件治理的可行性建议。

尹杰提出,近年来金融行业投入了大量人力进行开源生态建设,随着开源软件的数量和影响力不断上升,开源风险也随之而来。同时由于开源应用安全事件频发、影响巨大,开源技术监管工作已经全面铺开。

针对开源技术带来的风险,应从以下两个方面思考去解决:

一方面,企业应将开源软件生命周期与产品研发过程高度融合,建立开源监控预警体系。在引入阶段建立起开源软件引入及选型评估流程;在使用阶段需建立企业内部可视化台账及SBOM,搭建及使用自动一体化检测及管理平台,对上线产品进行持续化监测防护;在退出阶段必须循序渐进,进行分析、评审后逐步退出开源软件。

另一方面,企业需要建立制度、人、工具的综合建设体系。通过搭建此三者之间的关系桥梁,明确三者之间的协同机制,保障开源治理工作的有效落地。

四大平台保障开源组件治理

经过多年实践,开源网安研发出开源治理综合解决方案,融合SCA、IAST、SAST、RASP等多款安全检测工具,在开源软件治理、软件研发支持、软件运行保护等领域进行了深入实践和应用,提高了全流程研发效率,推动了金融产品创新,有效实现了金融行业对开源技术的管控。

未来,开源网安将继续进行开源软件治理的研究与实践,推动开源技术顺应行业发展,赋能金融科技创新,促进金融业向开放化、数字化转型。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章