聚焦開源軟件安全問題 監管部門行業機構共同圍獵風險

當今IT技術高速發展，物聯網、大數據、5G、AI等科技都已經深入應用到各個行業領域，而這些主流技術均采用了大量的開源技術以及開源生態產品。包括銀行在內的信息技術密集型機構已經在廣泛使用開源技術，其攜帶的安全風險也愈發顯著。

來自SYNOPSYS的Open Source Security and Risk Analysis (OSSRA)報告顯示，金融服務/金融科技行業中，包含漏洞的開源代碼占比已超過60%。65%的開源代碼中發現了許可證沖突；26%的開源代碼中沒有使用許可證，或者使用了定制化的許可證，85%的代碼依賴了超過4年未更新的開源代碼。

開源軟件安全問題已經成為用戶最為關注的開源風險之一，稍有不慎，可能成為安全風險的爆點。

隨著開源軟件在金融行業軟件開發中占比不斷提高，其面臨的威脅風險日趨嚴重。為了更好地規范開源技術的引入和應用，近期，各監管機構相繼發文，明確了金融業開源技術治理要求。

2021年10月20日，人民銀行辦公廳、中央網信辦秘書局、工業和信息化部辦公廳、銀保監會辦公廳、證監會辦公廳聯合發布《關于規范金融業開源技術應用與發展的意見》，旨在規范金融機構合理應用開源技術，提高應用水平和自主可控能力，促進開源技術健康可持續發展。

11月30日上午，工業和信息化部印發了《“十四五”軟件和信息技術服務業發展規劃》，在“發展趨勢”部分內容指出，開源正重塑軟件發展新生態。

開放、平等、協作、共享的開源模式，加速軟件迭代升級，促進產用協同創新，推動產業生態完善，成為全球軟件技術和產業創新的主導模式。當前，全球97%的軟件開發者和99%的企業使用開源軟件，基礎軟件、工業軟件、新興平臺軟件大多基于開源，開源軟件已經成為軟件產業創新源泉和“標準件庫”。同時，開源開辟了產業競爭新賽道，基于全球開發者眾研眾用眾創的開源生態正加速形成。

CFCA：開源技術安全治理踐行者

為了幫助開源技術應用機構更好地滿足監管要求與客戶需求，促進國內開源技術健康合規發展，國內相關數字安全從業機構一直在研究、推動開源技術治理工作，并形成了開源技術一體化解決方案。

作為國家重要的金融信息安全基礎設施之一，中國金融認證中心（CFCA）結合自身的業務特色，以安全為核心，推出了一套整合一體化的開源技術安全治理方案。

該方案分為管理和技術兩個方向，具體包括：開源軟件管理制度/組織架構建設咨詢、開源軟件引入標準管理、開源軟件治理工程化培訓、開源軟件合規性檢測等服務。方案還包含“CFCA開源軟件自動化檢測平臺”，該平臺可以為客戶提供代碼溯源、許可證分析、漏洞分析等定制化服務。

目前該方案的各項業務適用于數字化和信息化應用的各個領域，包括金融和非金融領域。如：具有自主開發需求的機構；通過技術外包、商業采購等方式引入了開源代碼、開源組件、開源軟件和基于開源技術的云服務的機構。同時，開源軟件治理還是金融信創工作開展的重點，所有涉及金融信創改造的機構也使用該方案。

在此前工作中，CFCA已開展了大量代碼審計工作，在審計過程中，一直重點關注開源軟件的代碼審計和漏洞審查，積累了大量的工作經驗。近期，針對行業新需求，CFCA開展了很多新的工作，如為某全國性銀行實施了開源軟件制度建設咨詢、開源軟件管理制度落地審查、開源軟件合規性檢查等。

近年來，CFCA以數字安全為基礎，積極開展新型數字安全生態研究與服務模式的創新，針對開源技術治理等新需求持續推進新業務研發與優化，為行業發展提供安全可靠的產品、服務及解決方案，為數字金融健康發展貢獻力量。

責任編輯：韓希宇