2023年9月21日,中国信息通信研究院(简称“中国信通院”)在2023 OSCAR开源产业大会上隆重发布了《可信开源治理能力成熟度评估》最新评估结果,国金证券股份有限公司(以下简称“国金证券”)顺利通过中国信通院开展的可信开源治理能力成熟度评估认证,成为证券行业最先参与评估并荣获“先进级”认证的单位。
国金证券首席信息官王洪涛先生:“国金证券首次参加中国信通院开源治理评估就获得了“先进级”荣誉,这是对国金证券开源治理工作和能力的充分肯定,我们将持续推动企业内部开源治理工作建设,进一步助推金融证券行业开源认知,共享开源使用经验,树立行业可信开源的标杆形象,通过开源影响力带动金融科技生态建设。”
国金证券科技研发部总经理熊友根先生:“悬镜安全是国金证券的战略合作伙伴,在引入悬镜源鉴SCA开源威胁管控平台的基础上,我们构建了国金特色的开源软件治理管理体系,在业内达到了先进水平,这是对双方合作成果的充分肯定。我们将与悬镜安全保持密切合作,持续深化企业级开源治理体系、流程、规范和平台建设,探索开源治理工具的信创方案,全面提升自主可控和开源安全风险治理能力,积极响应监管机构的安全合规要求。”
可信开源治理能力成熟度评估是中国信通院发布的权威认证之一,也是行业内首个开源风险管理能力成熟度模型。本次评估从过程维度和能力维度出发,重点考察组织机制、管理制度、风险管理以及引入选型、使用管理、运维管理、定期健康评估、退出管理、存量盘点、第三方管理等内容,根据企业开源软件治理能力的高低将成熟度划分为3个级别,分别是基础级(1级)、增强级(2级)和先进级(3级)。国金证券是证券行业最先通过可信开源治理能力成熟度评估并被评为“先进级”的机构,相关能力达到了国内领先水平。
此次,信通院采访了国金证券首席信息官王洪涛先生和科技研发部总经理熊友根先生,分享国金证券在开源治理方面的实践经验。
信通院:请介绍一下您的企业,以及公司内部进行开源治理工作的背景。
王洪涛:国金证券前身为成都证券,经中国人民银行批准,成立于1990年12月,注册地在四川省成都市,是一家资产质量优良、专业团队精干、创新能力突出的上市证券公司。截至2023年半年度末,公司员工人数超5000人,共下设8家分公司,75家证券营业部,分布在全国24个省(直辖市、自治区)的重要中心城市。国金证券秉承“让金融服务更高效、更可靠”的使命,追求“成为举足轻重的金融服务机构”的企业愿景,遵循【客户至上】、【视人才为公司最重要的资本】、【以开放的心态真诚沟通】、【团队合作】、【专业规范】、【持续优化】、【追求卓越】的核心价值观,致力于为客户提供证券交易、投资银行、资产管理、财富管理等全方位金融服务,将公司建设成为“治理健全、管理规范、业务精湛、资质齐备、技术领先”的国内证券行业具有一流竞争力和影响力的上市券商。公司自成立以来,严格遵守各项法律法规,始终坚持合规稳健经营,不断完善公司法人治理结构,建立健全内控管理体系。
近几年,随着移动互联网、云计算、人工智能、大数据的快速发展,开源逐渐成为主流技术。开源虽然可以突破技术壁垒、推动创新,但是却不可避免得带来开源管理、开源合规等一系列问题。2021年,人民银行办公厅、银保监会办公厅、证监会办公厅等联合发布《关于规范金融业开源技术应用与发展的意见》。为积极响应监管机构对开源方面的要求,满足意见针对开源技术“安全可控、合规使用”的基本原则,实现软件安全风险治理流程统一化和自动化,国金证券从被动防御到主动应对,全面启动了开源治理建设工作。
信通院:请问贵单位为什么参与此次评估?
王洪涛:中国信通院在业内率先提出了“可信开源”理念,目前已形成了覆盖开源全生命周期的标准及评估体系。我们希望通过参与此次企业开源治理成熟度评估,对比学习同行业及其他行业的开源治理优秀实践,以评促改、以评促建,进一步提升国金证券开源风险管控能力。
信通院:贵单位的开源治理建设方案可以分享一下吗?
熊友根:国金证券以制度规范为指引、技术平台为抓手,构建国金开源软件安全治理和管理体系。
在制度规范方面:制定和落实《国金证券开源软件管理规范》,明确开源软件管理部门与使用部门的职责,规定开源软件规划、准入、使用、维护、日常管理、退出等全流程周期的管理过程,根据软件应用场景进行分类管理,规范企业开源技术组件的选取范围,防范技术组件风险,包括整个技术组件的技术雷达、组件准入机制管控、使用过程登记和问题追溯整改等各阶段管理要求。
在技术平台方面:引入悬镜源鉴SCA开源威胁管控平台,梳理存量软件引入的第三方开源组件,将开源组件及其直接和间接依赖关系、漏洞信息、开源许可证、所属部门组织、对应的SBOM清单,形成清晰的软件资产台账,帮助国金证券对软件资产进行安全管理;通过对接LDAP单点登录/SSO统一身份认证登录进行用户登录的统一管理;对接DevOps平台,在流水线构建阶段进行开源组件安全检测,检测结果推送SCA工具进行统一管理;对接并集成制品库,进行安全扫描和风险分析,配置门禁实现风险自动阻断,同时对制品仓库进行组件出入库安全审查;最后,将检测漏洞和许可证数据推送至漏洞管理平台,关联相关项目负责人并推动修复,实现闭环治理。
信通院:通过开源治理实践,内部取得了哪些收益?
熊友根:国金证券在工具建设、流程管理、监管合规等层面皆取得了显著效益:
工具层面:补全了国金证券开源技术安全防护能力,提升了针对开源软件SBOM、三方开源组件漏洞风险及许可风险的自动化审查能力,减少开源软件高危漏洞及许可证带来的知识产权风险。
流程层面:通过引入悬镜源鉴SCA开源威胁管控平台,在编码阶段对接IDE插件,开发阶段对接DevOps流水线,构建阶段拉取代码检测并通过设置的门禁进行阻断,对制品库进行安全扫描,最后将检测结果推送至漏洞管理平台进行闭环治理,实现一站式自动化开源组件漏洞风险管理。
合规层面:通过源鉴SCA对采购产品的安装包或源代码进行软件成分安全检测,结合公司内部的采购规范及要求,确保采购软件内部成分组件的引入安全及合规性。
监管层面:满足了银保监会和证监会等行业监管机构针对开源治理安全防护的建设要求,在响应国家政策号召的同时,实现了企业开源治理能力水平的突破。
信通院:在建设过程中有遇到过哪些困难吗,相应的解决办法是什么呢?
熊友根:我们面临的挑战主要来自于员工安全意识薄弱和开源软件管理规范落地的难题。为此,我们通过定期开展开源治理培训,通过企业微信、电子邮件等方式进行制度宣导,通过平台固化制度这些方法,确保各部门能够准确理解并遵循管理规范,从而在实际工作中将其贯彻到位。
信通院:在开源治理方面的未来规划有哪些?
熊友根:开源软件治理是一项长期常态化工作,需要在深入治理的同时保持组织架构、制度体系、技术平台等方面的持续优化。未来我们将从三方面深耕开源治理工作:一是持续完善内部开源软件管理体系,提升开源软件的安全性和可靠性,提高公司整体的技术水平和服务质量。二是探索信创开源软件供应链安全治理与运营方案,提升自主可控水平。三是共建行业开源治理能力,共享开源治理经验,参与开源治理相关标准和公共服务平台建设,推动行业软件供应链安全发展。