證券開源領(lǐng)航者！國金證券通過中國信通院可信開源治理“先進(jìn)級”評估

2023年9月21日，中國信息通信研究院（簡稱“中國信通院”）在2023 OSCAR開源產(chǎn)業(yè)大會上隆重發(fā)布了《可信開源治理能力成熟度評估》最新評估結(jié)果，國金證券股份有限公司（以下簡稱“國金證券”）順利通過中國信通院開展的可信開源治理能力成熟度評估認(rèn)證，成為證券行業(yè)最先參與評估并榮獲“先進(jìn)級”認(rèn)證的單位。

國金證券首席信息官王洪濤先生：“國金證券首次參加中國信通院開源治理評估就獲得了“先進(jìn)級”榮譽(yù)，這是對國金證券開源治理工作和能力的充分肯定，我們將持續(xù)推動企業(yè)內(nèi)部開源治理工作建設(shè)，進(jìn)一步助推金融證券行業(yè)開源認(rèn)知，共享開源使用經(jīng)驗(yàn)，樹立行業(yè)可信開源的標(biāo)桿形象，通過開源影響力帶動金融科技生態(tài)建設(shè)。”

國金證券科技研發(fā)部總經(jīng)理熊友根先生：

“懸鏡安全是國金證券的戰(zhàn)略合作伙伴，在引入懸鏡源鑒SCA開源威脅管控平臺的基礎(chǔ)上，我們構(gòu)建了國金特色的開源軟件治理管理體系，在業(yè)內(nèi)達(dá)到了先進(jìn)水平，這是對雙方合作成果的充分肯定。我們將與懸鏡安全保持密切合作，持續(xù)深化企業(yè)級開源治理體系、流程、規(guī)范和平臺建設(shè)，探索開源治理工具的信創(chuàng)方案，全面提升自主可控和開源安全風(fēng)險治理能力，積極響應(yīng)監(jiān)管機(jī)構(gòu)的安全合規(guī)要求。”

可信開源治理能力成熟度評估是中國信通院發(fā)布的權(quán)威認(rèn)證之一，也是行業(yè)內(nèi)首個開源風(fēng)險管理能力成熟度模型。本次評估從過程維度和能力維度出發(fā)，重點(diǎn)考察組織機(jī)制、管理制度、風(fēng)險管理以及引入選型、使用管理、運(yùn)維管理、定期健康評估、退出管理、存量盤點(diǎn)、第三方管理等內(nèi)容，根據(jù)企業(yè)開源軟件治理能力的高低將成熟度劃分為3個級別，分別是基礎(chǔ)級（1級）、增強(qiáng)級（2級）和先進(jìn)級（3級）。國金證券是證券行業(yè)最先通過可信開源治理能力成熟度評估并被評為“先進(jìn)級”的機(jī)構(gòu)，相關(guān)能力達(dá)到了國內(nèi)領(lǐng)先水平。

此次，信通院采訪了國金證券首席信息官王洪濤先生和科技研發(fā)部總經(jīng)理熊友根先生，分享國金證券在開源治理方面的實(shí)踐經(jīng)驗(yàn)。

信通院：請介紹一下您的企業(yè)，以及公司內(nèi)部進(jìn)行開源治理工作的背景。

王洪濤：國金證券前身為成都證券，經(jīng)中國人民銀行批準(zhǔn)，成立于1990年12月，注冊地在四川省成都市，是一家資產(chǎn)質(zhì)量優(yōu)良、專業(yè)團(tuán)隊(duì)精干、創(chuàng)新能力突出的上市證券公司。截至2023年半年度末，公司員工人數(shù)超5000人，共下設(shè)8家分公司，75家證券營業(yè)部，分布在全國24個省（直轄市、自治區(qū)）的重要中心城市。國金證券秉承“讓金融服務(wù)更高效、更可靠”的使命，追求“成為舉足輕重的金融服務(wù)機(jī)構(gòu)”的企業(yè)愿景，遵循【客戶至上】、【視人才為公司最重要的資本】、【以開放的心態(tài)真誠溝通】、【團(tuán)隊(duì)合作】、【專業(yè)規(guī)范】、【持續(xù)優(yōu)化】、【追求卓越】的核心價值觀，致力于為客戶提供證券交易、投資銀行、資產(chǎn)管理、財富管理等全方位金融服務(wù)，將公司建設(shè)成為“治理健全、管理規(guī)范、業(yè)務(wù)精湛、資質(zhì)齊備、技術(shù)領(lǐng)先”的國內(nèi)證券行業(yè)具有一流競爭力和影響力的上市券商。公司自成立以來，嚴(yán)格遵守各項(xiàng)法律法規(guī)，始終堅持合規(guī)穩(wěn)健經(jīng)營，不斷完善公司法人治理結(jié)構(gòu)，建立健全內(nèi)控管理體系。

近幾年，隨著移動互聯(lián)網(wǎng)、云計算、人工智能、大數(shù)據(jù)的快速發(fā)展，開源逐漸成為主流技術(shù)。開源雖然可以突破技術(shù)壁壘、推動創(chuàng)新，但是卻不可避免得帶來開源管理、開源合規(guī)等一系列問題。2021年，人民銀行辦公廳、銀保監(jiān)會辦公廳、證監(jiān)會辦公廳等聯(lián)合發(fā)布《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》。為積極響應(yīng)監(jiān)管機(jī)構(gòu)對開源方面的要求，滿足意見針對開源技術(shù)“安全可控、合規(guī)使用”的基本原則，實(shí)現(xiàn)軟件安全風(fēng)險治理流程統(tǒng)一化和自動化，國金證券從被動防御到主動應(yīng)對，全面啟動了開源治理建設(shè)工作。

信通院：請問貴單位為什么參與此次評估？

王洪濤：中國信通院在業(yè)內(nèi)率先提出了“可信開源”理念，目前已形成了覆蓋開源全生命周期的標(biāo)準(zhǔn)及評估體系。我們希望通過參與此次企業(yè)開源治理成熟度評估，對比學(xué)習(xí)同行業(yè)及其他行業(yè)的開源治理優(yōu)秀實(shí)踐，以評促改、以評促建，進(jìn)一步提升國金證券開源風(fēng)險管控能力。

信通院：貴單位的開源治理建設(shè)方案可以分享一下嗎?

熊友根：國金證券以制度規(guī)范為指引、技術(shù)平臺為抓手，構(gòu)建國金開源軟件安全治理和管理體系。在制度規(guī)范方面：制定和落實(shí)《國金證券開源軟件管理規(guī)范》，明確開源軟件管理部門與使用部門的職責(zé)，規(guī)定開源軟件規(guī)劃、準(zhǔn)入、使用、維護(hù)、日常管理、退出等全流程周期的管理過程，根據(jù)軟件應(yīng)用場景進(jìn)行分類管理，規(guī)范企業(yè)開源技術(shù)組件的選取范圍，防范技術(shù)組件風(fēng)險，包括整個技術(shù)組件的技術(shù)雷達(dá)、組件準(zhǔn)入機(jī)制管控、使用過程登記和問題追溯整改等各階段管理要求。

在技術(shù)平臺方面：引入懸鏡源鑒SCA開源威脅管控平臺，梳理存量軟件引入的第三方開源組件，將開源組件及其直接和間接依賴關(guān)系、漏洞信息、開源許可證、所屬部門組織、對應(yīng)的SBOM清單，形成清晰的軟件資產(chǎn)臺賬，幫助國金證券對軟件資產(chǎn)進(jìn)行安全管理；通過對接LDAP單點(diǎn)登錄/SSO統(tǒng)一身份認(rèn)證登錄進(jìn)行用戶登錄的統(tǒng)一管理；對接DevOps平臺，在流水線構(gòu)建階段進(jìn)行開源組件安全檢測，檢測結(jié)果推送SCA工具進(jìn)行統(tǒng)一管理；對接并集成制品庫，進(jìn)行安全掃描和風(fēng)險分析，配置門禁實(shí)現(xiàn)風(fēng)險自動阻斷，同時對制品倉庫進(jìn)行組件出入庫安全審查；最后，將檢測漏洞和許可證數(shù)據(jù)推送至漏洞管理平臺，關(guān)聯(lián)相關(guān)項(xiàng)目負(fù)責(zé)人并推動修復(fù)，實(shí)現(xiàn)閉環(huán)治理。

信通院：通過開源治理實(shí)踐，內(nèi)部取得了哪些收益？

熊友根：國金證券在工具建設(shè)、流程管理、監(jiān)管合規(guī)等層面皆取得了顯著效益：

工具層面：補(bǔ)全了國金證券開源技術(shù)安全防護(hù)能力，提升了針對開源軟件SBOM、三方開源組件漏洞風(fēng)險及許可風(fēng)險的自動化審查能力，減少開源軟件高危漏洞及許可證帶來的知識產(chǎn)權(quán)風(fēng)險。

流程層面：通過引入懸鏡源鑒SCA開源威脅管控平臺，在編碼階段對接IDE插件，開發(fā)階段對接DevOps流水線，構(gòu)建階段拉取代碼檢測并通過設(shè)置的門禁進(jìn)行阻斷，對制品庫進(jìn)行安全掃描，最后將檢測結(jié)果推送至漏洞管理平臺進(jìn)行閉環(huán)治理，實(shí)現(xiàn)一站式自動化開源組件漏洞風(fēng)險管理。

合規(guī)層面：通過源鑒SCA對采購產(chǎn)品的安裝包或源代碼進(jìn)行軟件成分安全檢測，結(jié)合公司內(nèi)部的采購規(guī)范及要求，確保采購軟件內(nèi)部成分組件的引入安全及合規(guī)性。

監(jiān)管層面：滿足了銀保監(jiān)會和證監(jiān)會等行業(yè)監(jiān)管機(jī)構(gòu)針對開源治理安全防護(hù)的建設(shè)要求，在響應(yīng)國家政策號召的同時，實(shí)現(xiàn)了企業(yè)開源治理能力水平的突破。

信通院：在建設(shè)過程中有遇到過哪些困難嗎，相應(yīng)的解決辦法是什么呢？

熊友根：我們面臨的挑戰(zhàn)主要來自于員工安全意識薄弱和開源軟件管理規(guī)范落地的難題。為此，我們通過定期開展開源治理培訓(xùn)，通過企業(yè)微信、電子郵件等方式進(jìn)行制度宣導(dǎo)，通過平臺固化制度這些方法，確保各部門能夠準(zhǔn)確理解并遵循管理規(guī)范，從而在實(shí)際工作中將其貫徹到位。

信通院：在開源治理方面的未來規(guī)劃有哪些？

熊友根：開源軟件治理是一項(xiàng)長期常態(tài)化工作，需要在深入治理的同時保持組織架構(gòu)、制度體系、技術(shù)平臺等方面的持續(xù)優(yōu)化。未來我們將從三方面深耕開源治理工作：一是持續(xù)完善內(nèi)部開源軟件管理體系，提升開源軟件的安全性和可靠性，提高公司整體的技術(shù)水平和服務(wù)質(zhì)量。二是探索信創(chuàng)開源軟件供應(yīng)鏈安全治理與運(yùn)營方案，提升自主可控水平。三是共建行業(yè)開源治理能力，共享開源治理經(jīng)驗(yàn)，參與開源治理相關(guān)標(biāo)準(zhǔn)和公共服務(wù)平臺建設(shè)，推動行業(yè)軟件供應(yīng)鏈安全發(fā)展。

關(guān)鍵詞：