恒生电子联合国家工信安全中心推出行业云开源治理风险防范解决方案并落地上证云
10月27日,证券基金行业信息技术应用创新联盟第三季度工作会议在南京举行,聚焦证券基金行业自主创新和安全发展实践。会上,上海证券交易所技术公司、国家工业信息安全发展研究中心(简称“国家工信安全中心”)、南京证券、国金证券、恒泰证券和恒生电子共同发布了“行业云开源治理风险防范解决方案”。该方案由恒生电子联合国家工信安全中心推出并落地上证云,旨在赋能证券期货行业机构一站式进行开源软件的使用及管理,保障 金融 软件供应链安全。
伴随着开源技术的快速发展,越来越多的金融信息系统开始引入开源技术。开源软件在推动金融机构 科技 创新和数字化转型方面发挥了重要作用,但随之而来的开源安全漏洞、许可证合规、数据泄露风险、开源软件管理等风险也日渐凸显。
2021年,中国人民银行、中央网信办等五部门印发《关于规范金融业开源技术应用与发展的意见》,从开源软件正确应用和开源生态体系建设两个角度出发,为金融机构合理健康地发展开源技术提供了建设性的指导意见。
2022年,在上交所的指导下,国家工信安全中心和恒生电子分别开发了开源软件代码安全检测工具和开源中心库管理工具,并在上证云完成部署运行。今年,双方经过与行业机构的多次验证性测试及产品迭代,最终形成并推出了“行业云开源治理风险防范解决方案”。
此次发布的方案,充分发挥证券期货行业开源治理实践经验及能力优势,围绕金融机构开源软件引入、使用、退出的流程管理,软件资产台账建立,风险管控等开源软件实际应用需求,为规范证券期货机构合理应用开源软件,提升应用水平和供应链安全提供重要参考。
据了解,方案基于行业云端和用户本地端的双向协同,面向行业用户提供自研及外购软件产品的开源风险检测、开源软件管控和基线组件运维服务,助力行业机构开源治理能力不断提升。在行业云端,基于开源技术风险防范平台和中心库管理工具,强化开源软件检测和管控能力;在用户本地端,开源软件管理平台与云端平台联动,提供问题界定、漏洞规避、补丁修复等基线组件的全流程维护服务。
目前,行业云开源治理风险防范解决方案已在南京证券、恒泰证券,国金证券等多家金融机构开展实践,助力机构开源治理工作开展。
作为国内领先的金融科技公司,恒生电子自2019年开始关注开源风险并陆续开展相关治理工作。依托开源治理平台和工具,恒生电子建立了基于人员、流程、平台和工具的一整套开源治理体系,并与中国信通院合作发布白皮书,向行业分享自身实践经验,提升行业整体开源治理水平。
借由此次解决方案发布,恒生电子也将通过自身丰富的开源治理平台建设和治理经验,助力金融机构积极应对开源风险,进一步提升金融软件供应链安全保障。