根據我國金融行業開源技術應用社區調研結果顯示，我國金融機構中超過90%的企業引入了開源軟件。為了體系化防控開源風險，行業相關方開始在開源治理政策和標準等方面逐步發力。央行2024年最新發布的《金融業開源軟件應用管理指南》、《金融業開源軟件應用評估規范》《金融業開源技術術語》等多項內容，為金融行業軟件產品開源安全治理體系提供一系列參考標準，旨在降低金融機構開源軟件評估過程的復雜度和時間成本，規范金融行業安全合規的使用開源技術，提升金融機構開源治理能力。

神州信息自主研發了開源軟件全生命周期安全管控平臺。該平臺作為專為企業設計的開源軟件全方位治理產品，旨在提供一套完整的解決方案，以管理企業在軟件開發過程中對開源軟件的使用。

神州信息開源軟件全生命周期安全管控平臺包括“引入管理、使用監控、退出管理、成分分析（SCA）、物料清單可視化、合規性與審計”6大核心功能，覆蓋開源軟件使用的全生命周期：

● 開源軟件引入管理：在企業引入新的開源軟件之前，平臺可以進行預先的風險評估，包括對開源軟件的許可證、安全漏洞以及社區活躍度的審查。

● 開源軟件使用監控：監控企業內部使用的開源軟件，確保遵守相應的許可證要求，并對使用情況進行分析，以便優化資源配置。

● 開源軟件退出管理：在企業決定停止使用某項開源軟件時，平臺提供相應的管理支持，包括軟件卸載、數據遷移和后續的合規性檢查。

● 軟件成分分析（SCA）：平臺利用SCA技術自動檢測軟件組件中的開源代碼，分析其來源、版本、許可證和已知的安全漏洞，以便企業能夠及時采取相應的風險緩解措施。

● 合規性與審計：平臺能夠生成詳盡的報告，幫助企業在面臨外部審計時，證明其對開源軟件使用的合規性和透明度。

● 軟件物料清單（SBOM）可視化管理：基于SCA開源應用安全缺陷檢測技術，分析出應用的物料清單并管控開源組件信息，從企業、部門、項目及任務等多角度分析組件的影響范圍和依賴關系，通過可視化拓撲圖，多維度的展示詳細的SBOM清單信息。

此外還包括開源技術資訊庫、開源技術運維知識庫等平臺特色功能。通過這些功能，開源軟件全生命周期安全管控平臺能夠幫助企業建立一個穩健的開源治理框架，降低安全風險，提升軟件質量和合規性，從而在競爭激烈的市場中保持領先地位。

平臺應用場景

在實際應用過程中，神州信息開源軟件全生命周期安全管理平臺為金融機構帶來多重價值：

◆ 強化管理：通過構建開源技術引入、使用、退出全生命周期管控能力，幫助客戶建立開源軟件資產庫，提升客戶對軟件資產的整體管理能力。通過軟件物料清單，時刻關注、適配業界漏洞情報，幫助客戶快速分析并識別可能存在的安全風險并及時預警。

◆ 規避風險：開源軟件都面臨嚴格的監管與合規要求，通過對軟件SBOM進行全方位安全檢測，輸出包含專家結果分析和修復建議的檢測報告。提升軟件產品安全質量降低軟件供應鏈安全風險，減少因安全問題造成的商業損失和法律風險。

◆ 降本增效：通過對開源軟件的綜合管理，將檢測依據和結果標準化，輸出軟件供應鏈安全檢測報告，降低開發團隊修復難度，提高修復效率。幫助客戶減少資源投入，高效識別軟件安全風險，助力企業降本增效。

◆ 創新和敏捷性：滿足市面上大部分客戶安全審核要求，為軟件做“全身無死角體檢”，能夠滿足企業不斷變化開源軟件治理的需求。可以幫助客戶更快地響應市場變化，推出創新產品和服務，提高企業的競爭力和市場敏捷性。

案例簡介：

○ XX銀行

○ XX移動省份專業研究院

更多詳情可聯系：胡經樹

聯系電話：13955122835

郵箱：hujs@