软件开发制度-中国工商银行软件开发中心安全团队背景开源技术应用与发展的意见

作者简介：中国工商银行软件开发中心安全团队

背景

开源技术作为数字基础设施和应用程序的构建基础，在促进金融机构科技创新和数字化转型方面发挥着越来越重要的作用，开源技术的广泛使用不可避免地带来开源安全漏洞、供应链攻击等风险。中国人民银行、中央网信办等五部委发布的《关于规范金融业开源技术应用与发展的意见》（以下简称《意见》）给出明确答案。 《意见》指出金融机构在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”的基本原则，统筹“将开源技术应用纳入自身信息化发展规划”，鼓励“将开源技术应用作为提高核心技术自主可控能力的重要手段”，提出“促进开源技术健康可持续发展”目标。

一、落实《关于规范金融业开源技术应用与发展的意见》要求

软件开发中心一直致力于开源技术的安全可控性的实践与创新，严格贯彻落实《意见》要求，把保障信息系统安全作为使用开源技术的底线，大力应用开源技术，提高开源应用水平和自主可控能力，促进开源技术健康可持续发展，为金融行业的发展提供下一代技术支撑。

二、开源安全管理的实践与创新

为推进《意见》要求的有效落地，软件开发中心依托开源安全管理平台的技术支撑能力，结合DevOps体系建设，形成制度规范、技术支撑、常态化管理、技术能力等相对完备的开源安全管理体系，包括制定开源软件全生命周期的安全管理规范，建立开源软件和开源仓库的安全管理，实现融入研发过程的常态化安全管理，提升开源技术支持和应急响应能力，加快提升开源技术自主可控能力。

（一）制度规范

1、建立安全管理规范

建立开源软件全生命周期的安全管理规范，按照开源软件分类分级管理机制，覆盖开源软件从引入到退出全生命周期的安全评估标准，明确“谁使用、谁负责”原则和开源软件的牵头部门和使用部门的安全职责，确保开源软件使用安全、风险可控。

2、建立安全评估标准

3、建立安全使用规范

建立安全配置基线。从加固和约束默认配置、规避漏洞利用条件等维度，制定可执行可检查的基线规则，开展企业级系统级开源软件的安全配置基线梳理，为业务应用提供安全能力上的配置策略和防护要求。

归一公共组件版本。为降低开源维护成本和风险压力，减少应用间重复建设，开展部门内自主规划公共组件，实现统一组件版本、集中修复漏洞。

组件封装和定制。鼓励通过封装、定制、裁剪来加强开源组件安全，鼓励关注开源社区和源码，引入方需自行承担可持续性技术支持能力。

（二）技术支撑

1、建设开源安全管理平台

通过开源安全管理平台的建设和迭代，提供专业化、标准化的安全技术支撑能力，实现对开源软件介质、版本、使用台账、安全漏洞等信息的全流程管理，提升开源台账准确性，加强开源软件全范围管控能力。

2、优化软件仓库安全管理

优化管控软件仓库及引入验证环节，通过漏洞扫描、沙箱动态行为检测等安全检测策略，加强源头管控，实现涵盖身份认证、细粒度访问控制和日志记录的安全准入机制，在应用从软件仓库拉取开源软件阶段联动资产管理平台进行管控，只有审核通过才可下载使用，切实做好开源软件使用的防线安全。

（三）常态化管理

1、完善开源台账管控

依托开源安全管理平台持续监控开源软件风险情况，对企业内部已有的存量开源软件进行盘点统计，对各个软件的版本、许可证、安全漏洞等信息进行记录，形成开源软件清单软件开发制度，提升台账准确性。

2、优化安全管理流程

3、提升风险应急响应

建立漏洞分析技术支持小组助力漏洞治理，集合中心安全团队和各领域技术支持团队的力量，开展威胁情报分析与漏洞研判，提供可落地修复方案技术支持，大幅降低开源漏洞排查修复压力，针对企业级系统级开源软件，建立使用方台账更新和漏洞发布修复机制，及时通知和组织使用方开展漏洞治理，确保漏洞及时修复。

（四）能力提升

1、开源安全促进业务研发

通过归一组件版本、及时安全更新、退出停更老旧版本、掌握开源技术、具备二次开发优化等措施，以安全促研发，通过安全可控使用开源技术来促进业务研发效能。

2、持续建设开源漏洞库

中心蓝军不定期跟踪和分析开源软件漏洞信息，建设中心漏洞库。对开源软件漏洞修复提供技术支持，协助开发、运维人员快速修复漏洞，协助开展漏洞复测。

3、基于SBOM的全周期精细管理

结束语

未来，软件开发中心将深入贯彻落实党的二十大精神，坚持科技是第一生产力，全面对标总行战略部署，坚持“48字”工作思路，以《意见》为指引，持续推进安全架构管理体系及SDL建设，加强开源软件安全管理，降低开源安全风险，坚持安全可控，筑牢高水平科技风险防线软件开发制度，为数字化转型发展做好安全护航。

629 DOIS DevOps 国际峰会 2023 · 北京站，倒计时2天~~

各界大佬齐聚，超强阵容震撼上线！主会场门票限时福利，扫码立即得，仅限前 20 名

↑ ↑ 扫码立即领取

轻量级日志系统新贵 Loki，到底该如何玩转？

“高效运维”公众号诚邀广大技术人员投稿