度小满科技作为国内重要的金融科技企业之一,其在金融业务中大力推进大数据、人工智能、区块链、云计算等技术的实践,推出“超级网银”系统、网联系统、新反洗钱系统等多种数字化金融系统。在系统的建设过程中,开源技术成为了常见的研发模式,有效帮助度小满科技快速实现系统开发交付,完成业务的创新。而开源技术的开放性,让开源软件存在安全隐患,度小满科技为加强开源软件风险检测能力和管理能力,计划开展开源治理项目。
本方案采用业内领先的软件成分分析技术(SCA),为客户度小满科技构建开源软件治理分析平台,为客户建立完善的开源软件安全知识库系统,包括漏洞库、第三方开源组件库、版本库、修复方案库、License许可证库和关联关系,形成了良好的示范效应,带动金融证券行业开源软件安全治理水平大幅提升。平台不间断对被引用组件的实时更新和检测,并按照企业部门、项目、关心的重要资产进行软件资产分布视图展示,让管理者对自身项目做到一目了然,为评估软件资产价值提供直接有力依据。对组件、许可证、漏洞清单进行多维度展示,辅助安全决策,提供精准、合理的修复方案。并且平台为用户提供开源软件分析、识别、展示、预警开源软件漏洞分析结果及开源软件漏洞情报获取等功能,帮助行业用户最短时间内实时掌握信息系统中的开源组件资产和漏洞情报信息。
方案背景
随着软件开发过程中开源应用的使用越来越多,开源应用事实上逐渐成为了软件开发的核心基础设施,开源软件开发也已成为现代应用主要软件开发交付方式,开源应用的安全问题也已被上升到基础设施安全和国家安全的高度来对待。在工信部2021 年印发的《“十四五”软件和信息技术服务业发展规划》中,明确指出,软件是新一代信息技术的灵魂,是数字经济发展的基础,是制造强国、网络强国、数字中国建设的关键支撑。分门别类的软件,包括系统软件、支撑软件、应用软件、信息安全软件、工业软件等等,服务于电信、金融、交通、能源、制造、政务等各个重点行业和场景,成为基础元素之一,与国家重要信息系统与关键基础设施息息相关。
度小满科技(北京)有限公司作为国内重要的金融科技公司之一,在推进大数据应用、人工智能、区块链、云计算等金融科技应用方面,致力于推动数字化转型和创新,运用先进的科技手段改进金融服务和产品。链接各类市场经济主体、同业机构、互联网平台等合作伙伴百余家以上。二代企业征信报送系统、二代支付系统、“超级网银”系统、网联系统、新反洗钱系统等数字化建设重点项目相继研发成功并正式上线,“互联网金融”“数字金融”成为全省乃至全国的明星产品和亮点工程。由于金融证券行业97%的软件代码库包含开源,开源软件供应链存在着透明度不足、管理水平参差不齐、缺乏统一的安全治理标准等问题,云计算、大数据、人工智能等新兴技术的应用不仅仅带来了新基础组件的脆弱性,也带来了新的攻击模式。
方案目标
本方案建设目标是通过建设度小满互联网金融开源软件治理分析平台,为国内互联网金融企业软件资产管理提出成熟的综合解决方案,提升金融行业对软件供应链安全攻击事件的防护、检测和响应能力,避免安全事件造成重大影响。
本方案旨在研究开源软件安全分析、安全检测、安全预警与安全响应保障的技术研究。具体如下:
(1)完成度小满互联网金融开源软件治理分析平台开发及部署应用。
(2) 降低供应链中软件资产本身的安全漏洞、提升软件资产自身的安全质量,在软件的上线使用过程能够有效抵抗网络安全攻击、维护网络安全保障。
(3)落实持续化、标准化的供应链安全分析和管理保障,优化现有的软件开发测试运维管理流程,给后续的采购选型提供专业高效的选型指导依据,进行构建软件安全开发过程。
(4)协助各有关部门开展供应链安全的试点示范推广,为供应链安全提供的有效参考与指导。
方案特点
产品优势:
该开源软件治理工具具备显著的产品优势,包括实时智能检测、自动化风险识别以及全面的知识产权管理支持。这些功能共同确保了开源组件的安全性和合规性,有效降低了企业的安全风险和法律风险。
解决的痛点:
该方案解决了企业在使用开源软件过程中面临的安全风险高、合规管理难以及人力成本大等痛点。通过自动化手段,提高了风险发现效率和应对速度,降低了对人力的依赖,同时提供了全面的知识产权管理支持,帮助企业有效规避法律风险。
对产业的影响力:
在金融行业,该方案的应用显著提升了行业整体的安全水平,推动了技术创新与发展,并为行业树立了开源软件治理的标杆。通过降低安全风险和合规风险,该方案帮助金融企业降低了运营成本和法律风险,提升了业务连续性和客户信任度,对金融行业的稳健发展产生了积极而深远的影响。
方案业务流程图
图1. 度小满互联网金融开源软件治理分析平台业务架构
图2. 度小满互联网金融开源软件治理分析平台逻辑架构
图3. 历史软件资产安全检测分析流程
图4 .安全漏洞库变更处理流程
实现功能展示
1. 方案主要功能
1) 软件成分分析功能
度小满互联网金融开源软件治理分析平台的软件成分分析功能模块包括软件资产分析功能、已知漏洞检测定位功能、第三方组件安全漏洞检测功能、组件使用合规性审计功能、新漏洞感知预警功能、开源组件许可证审计功能、组件完整性校验功能、组件安全漏洞态势感知功能、分布式部署功能和平台通用管理功能等。
软件资产分析功能对企业内部软件资产进行源码级细粒度的动态管理,并进行依赖关系关联分析和统计,以多维度的可视化视图形式展现,并提供索引和追溯的功能,方便企业对自身软件资产进行整体管理和快速定位。
已知漏洞检测定位功能基于CVE,CNNVD等标准漏洞库,实现对企业内部软件资产的安全自查,明确安全风险,及时处理。
第三方组件安全漏洞检测功能针对于软件中所包含的大量第三方组件,进行组件层面安全漏洞检测和统计报告。
开源组件许可证审计功能是针对软件资产中所有涉及GPL、Apache、GNU等广泛的公开开源许可证的资产进行审计,对许可证指纹、许可证冲突及许可证授权等内容进行系统化的核查审计,排除软件资产的许可证授权法律风险。
组件完整性校验功能很大程度上预防了开发、测试、采购和部署上线等环节中有可能发生的匿名替换的安全风险,在绑定软件资产的版本信息和校验信息后实现对不同版本的软件资产控制,保证完整性和一致性。
2) 软件物料清单功能
软件物料清单功能收集软件资产信息并分析各软件资产关系,并以多维度视图的方式展示软件资产(包括第三方组件、开源组件和自研组件等),同时提供实时的软件资产更新功能,并提供多属性的组合查找功能帮助企业快速定位或升级有安全风险的组件。
软件物料透明化提升团队对软件生产资料的基础管理,出现问题时的排查、追溯和响应处理效率。软件物料清单管理也给风险评估的相关决策提供标准化可视化的数据依据,同时也给企业采购流程提供了数据支持和选型参考,增强自身的风险预判能力。
2. 平台扩展功能
1)支持版本管理软件
度小满互联网金融开源软件治理分析平台支持版本管理软件(Git),可以对Git库远程连接,抓取并检测目标对象。同时也支持在Git的管理终端上集成平台的控件接口,使用户也可以方便的通过Git的管理软件来执行度小满互联网金融开源软件治理分析平台的功能。
2)支持开发环境集成软件
度小满互联网金融开源软件治理分析平台支持开发环境集成软件(Jenkins/IDEA/eclipse),以上述主流开发环境集成软件为入口进行对应工程的自动化检测。
3)支持缺陷管理软件
度小满互联网金融开源软件治理分析平台支持主流缺陷管理系统(Jira和禅道),可以对安全漏洞进行标准化的缺陷管理,完成安全和开发测试团队的技术验证对接功能,补充软件供应链安全漏洞的追踪和管理方式。
方案案例及效果
本方案聚焦互联网金融企业开源软件治理,解决了客户度小满科技在开源软件使用过程中的漏洞风险、合规风险等并提出了配套的解决方案,提升了度小满科技对开源软件安全的防护、检测和响应能力,避免安全事故造成的重大损失和负面影响。
1. 大幅提高安全风险发现效率和反应速度,基于本方案度小满科技实现对开源组件实时智能检测、整理、收集,让安全团队更加专注于应急处理。
2. 实现自动化识别开源组件风险,包括组件中的安全漏洞、知识产权风险,降低对人力的依赖,节省人力成本;
3. 便于度小满科技知识产权管理,给关心软件开发知识产权的管理人员提供当前应用软件知识产权的完整情况,将公司的法律风险降到最低。
本方案已经完成了技术和服务有效性验证,并且在金融、能源、通信等行业得到了大力推广和落地实施,方案效果得到了应用单位的高度评价。基于方案为客户构建的开源软件治理分析平台,推动了软件安全工具的技术发展,提升了开源软件供应链的防护检测能力,帮助企业提升产品交付质量,化解开源技术风险,构建应用系统安全能力,提升企业整体的技术创新能力,同时降低了企业的信息管理成本,提高信息化建设的质量与效率,建立了开源软件安全的可信生态。
方案未来展望
随着开源软件在各行各业的广泛应用,其安全性和合规性问题将越来越受到关注。本方案作为一套成熟的开源软件治理解决方案,已经在金融、能源、通信等多个行业得到了成功应用,并获得了用户的高度认可。
展望未来,本方案将继续在以下几个方面进行提升:一是加强实时智能检测技术的研发,进一步提高安全风险的发现效率和准确性;二是优化自动化风险识别机制,降低误报率和漏报率,提升用户体验;三是拓展知识产权管理功能,为企业提供更加全面的合规支持。
同时,我们预计市场需求将持续增长。随着数字化转型的深入推进,越来越多的企业将依赖于开源软件来构建和运营其业务系统。这将带来对开源软件治理解决方案的更大需求,尤其是在金融、制造、零售等关键行业。
此外,政策环境也将对方案的发展产生积极影响。政府和相关监管机构对信息安全和知识产权保护的重视程度不断提升,将推动更多企业加强开源软件的安全和合规管理。这将为本方案提供更广阔的市场空间和发展机遇。