开源软件安全与合规治理体系在券商领域的探索与实践
【课题研究机构】广发证券股份有限公司
【摘要】开源技术以其开放、共享和协作等特点,正在逐步改变金融业的生态。券商机构利用开源技术,不仅可以降低软件采购成本,减少对单一厂商的依赖,提高软件的可扩展性和可维护性,还可以通过开源技术实现自主研发,提高自身的竞争力。然而,开源技术是一把双刃剑。不当使用开源技术可能会带来大量风险,例如安全漏洞、运维风险、许可证风险等。因此,券商机构在拥抱开源技术的同时,也需要建立相应的技术管理制度和配套体系,以保障开源软件使用的安全性和合规性。本课题针对开源技术带来的风险进行管理,对于广发证券的信息系统安全和合规具有重要意义。首先,通过事前的风险评估和控制,可以有效地防止开源技术带来的安全和合规风险,减少事后的处置成本。其次,通过形成软件开发全生命周期的开源审核与管理机制,可以提高开源软件的使用效率和质量。最后,通过采用风险评估、安全审计和云原生技术,可以防御检测开源软件安全性和许可证合规性问题,提高信息系统的安全性和稳定性。
01
研究背景
近年来,随着社会数字化进程的不断推进,开源技术被广泛应用于各个行业,推动产业的快速发展。毫无疑问,开源技术的应用有诸多好处,券商机构可以免费获取开源软件,以更低成本加快项目进度。而且开源软件大多数由开源社区支持,能一定程度上保证软件质量。同时,券商机构可以借助它快速占领市场,实现商业目的。很显然,使用开源软件已成为国内主流趋势。
然而,据统计,99%的项目使用了开源软件,其中有77.5%的项目存在开源软件漏洞,每个项目平均有52.5个漏洞。从许可合规的角度来看,65%的代码库存在许可证冲突,85%的代码库包含4年未更新的开源组件。开源应用安全事件的频发也造成重大影响。2020年12月,SolarWinds遭遇国家级APT团伙高度复杂的供应链攻击;超过18000家客户全部受到影响,可任由攻击者完全操控。2021年11月,代码质量管理平台SonarQube被爆存在未授权访问漏洞;国内外数万家企业的敏感数据泄露,重点应用代码泄露。2021年11月,广泛应用的开源组件Log4J被曝存在超危漏洞;72小时内受到84万次攻击,国内外知名企业均受到重大经济损失,相关网络攻击至今仍在继续。开源技术存在诸多安全风险,如安全漏洞、供应链与许可证协议等问题。这些风险的爆发频率逐年增加,波及范围也越来越大。
为应对这一问题,国家互联网应急中心发布报告,警告金融行业应重视开源技术的安全问题。2021年,开源首次被列入国家“十四五”规划和2035年远景目标纲要,进一步强调了开源技术的重要性和风险。在金融行业,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》,该意见要求金融机构在开源技术的引入、使用、更新、退出等环节开展定期评估,对开源技术的基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度、版权、专利、商标、声明等方面进行自身及第三方双重安全及合规评估。
可以看到,在国家层面,在垂直行业内部,均开始逐步强调开源治理的规范性。随着金融科技的迅猛发展,传统的金融业务已经向数字化、智能化转型,券商行业也面临着越来越多的网络安全威胁和合规监管压力。在这样的背景下,构建开源软件安全与合规治理体系成为了券商业务发展的迫切需求。
02
研究内容
构建开源软件安全与合规治理体系,是一项系统性、长期性的工作,需要从以下几个方面进行。
2.1
制度规范
制度规范是保障开源软件安全与合规的基础。具体来说,需要制定开源软件引入、使用、退出等全生命周期的管理制度,明确各方的权利和义务,规定开源软件的安全和合规要求,以及对违反制度的行为进行处罚和纠正。
广发证券结合内部实际研发流程,制定了一套开源治理管理规范,从与开源软件有关的引入、使用、更新、退出四个方面入手梳理,对开源软件治理体系建设提出总体要求和指导原则,落实监管机构针对开源软件相关政策规定,进一步保障各个应用系统服务的稳定性、可靠性和安全性。
主要内容包括:
开源软件的引入管理;
开源软件的使用管理;
开源软件的更新管理;
开源软件的退出管理;
外采软件产品管理;
开源软件的漏洞管理;
开源软件的许可证风险管理。
开源软件存量管理:通过建立清晰的开源软件清单,详细记录和跟踪组织内已有的开源软件,包括许可证信息和依赖关系,实现对开源软件现有资源的全面了解和有效管理。
常态化管控:安全团队持续跟踪公司内部正在使用的开源软件的社区情况、安全漏洞情况、版本更新情况及开源许可证情况,定期对相关信息进行分析、评估和处置,并做及时更新。
开源培训:制定开源软件的安全和合规培训机制,对开源软件的使用者、开发者、管理者等进行培训,提高其安全和合规意识和能力。
2.2
工具平台
工具平台是实现制度规范的重要手段。具体来说,需要建设开源软件的安全和合规评估工具,对开源软件进行定期的安全和合规评估,及时发现和排除风险;建设开源软件的管理平台,对开源软件的引入、使用、退出等进行全程跟踪和管理,促进开源软件的安全和合规发展。
广发证券落地建设了开源治理平台,采用容器、微服务、动态编排等云原生技术架构,基于DevSecOps安全主动防御理念,通过对软件代码的安全性和开源许可证的合规性进行监测、跟踪及管理,保障在研发、交付、运行等环节的信息安全和知识产权安全,为用户提供安全检测、智能运维、安全防护三位一体的软件生命周期的安全管理和防护能力。与此同时,基于国内最大开源软件知识库、安全知识库和社区自建知识库,结合先进的自动化分析技术,为软件研发全流程提供全方位的开源软件安全、规范性使用与管理提供保障。
图1 开源治理平台建设架构
2.3
管控实施
管控实施是保障开源软件安全与合规的关键。具体来说,按照“风险优先”的原则,统筹考虑应用系统间的依赖关系,制定基础平台优先治理、核心应用重点治理等差异化的治理策略,分批次有序开展治理。同时,需要建立开源软件的安全和合规监控机制,对开源软件的安全和合规情况进行实时监控,及时发现和处理问题。建立开源软件的安全和合规培训机制,对开源软件的使用者、开发者、管理者等进行安全和合规培训,提高他们的安全和合规意识和能力。
广发证券的开源软件安全与合规管控实施主要包括以下几个方面。
03
创新亮点
本课题在开源软件的安全和合规治理方面具有多项创新点,包括云原生底座、深化的标准制定、DevSecOps能力等,这些创新点将有助于提升开源软件的安全性和合规性,降低风险,保障业务持续性。
1. 云原生底座创新性:本课题基于容器云底座建设,充分利用了容器云底座的软硬件优势。
2. 管理体系创新性:制定统一开源管理体系,建立广发证券内部开源技术管理平台,具体涉及相关人员架构、管理制度、软件选型、使用规范、风险管理、二次开发、持续跟踪、社区反馈和退出机制等多方面的内容,贯穿软件开发全生命周期。
3. 深化标准创新性:加强广发证券内部开源技术及应用标准化建设,瞄准急需、重点领域加快标准制定与实施。加快推进开源技术应用和标准研究制定一体化。细化每一个环节、每一个人的具体任务与相应职责,将责任落到每一个人身上。以深化标准、细化责任为原则,加强开源技术标准建设与信息化规划的衔接配套,推动行业开源技术及应用高质量发展。
4. 风险可控可治创新性:初步建成DevSecOps能力,增强软件成分分析能力,将开源技术风险检查能力贯穿软件开发整个生命周期。在开源技术引入前,对其进行全面、科学的风险检查与评估,确保符合规定的组件被引入,从源头上降低风险。软件开发中期引入相关风险自动化检查工具,保障开发环节应检尽检,后期建立软件SBOM软件成分清单以及威胁情报能力,保障广发证券信息系统的持续安全与规范性使用。
5. 风险监控创新性:通过建设供应链威胁情报中心,增强广发证券内部对于潜在风险的感知、识别、推送以及应急处置等相关能力。当相关威胁情报出现的时候,能够快速感知并制定相应的应急处置预案,保障信息化系统的安全运行。
04
成果应用
广发证券在开源治理体系建设方面取得了显著的成果。通过形成贯穿软件开发全生命周期的开源审核与管理机制,推动开源安全政策在广发证券内部全面落地。同时,构建了安全主动防御理念,采用容器、微服务、动态编排等云原生技术架构,对开源软件的安全性和许可证的合规性进行监测、跟踪及管理,保障了在研发、交付、运行等环节的信息安全和知识产权安全。
图2 开源软件治理成果应用总览
