伴随着开源在我国的迅速发展与广泛应用，开源技术在各行各业掀起技术潮流，成为企业信息系统构建的重要选择。而金融业在科技创新中也不免应用前沿技术，使用开源软件也成为一种新常态。金融行业相较于其他传统行业更加注重安全、稳定、可控，在金融机构这一重要而又相对封闭的行业中大量引入开源软件，使用开源技术，必然会引入新的风险点。对开源架构、技术及其工作特性的不了解，不正确使用而与金融机构传统网络或系统架构产生冲突造成的安全事件在过去的几年里时有发生。2017年9月，全球最大的信用报告机构之一Equifax公司，因使用存在漏洞的Apache Struts开源组件而被黑客攻击，造成约1.479亿人的身份信息泄露，在业界引起渲染大波。受全球疫情影响，远程办公成常态化，让原本处于内网的数据库也被迫接入互联网。Redscan 威胁情报主管George Glass 就曾表示：“2021 年是漏洞数量破纪录的一年”，据安和金华《2021年数据库漏洞安全威胁报告》统计，主流数据库漏洞共计 226 个，以远程攻击途径为主；其中，漏洞数量排名前 5 的数据库分别为：MySQL（165 个）、Oracle（27）个、MongoDB（13 个）、DB2（12 个）、Postgre（5 个）。由此可见，银行在使用开源软件时仍需提高关注度，使用前注意对开源软件的风险进行充分考虑和评估。

金融行业开源治理痛点与难点：

1、对开源软件安全风险意识不足，一旦使用具有漏洞的组件，将会埋下安全隐患，增加危险系数。

2、对开源软件成分不可知，不知道使用了多少第三方软件和组件。而且通常，第三方软件来源复杂，且又会依赖其它更多软件，使得整个系统组织结构更为复杂，这对于安全保障来说，也是不可知且不可控的。

3、缺少完善的应用软件安全审计策略，由于安全保护方面的意识与重视不足，在对开源代码做审计时采取人工方式，缺乏自动化工具的检测，效率低下，且无法快速定位到漏洞。

4、缺少全流程安全保障管理平台，不便于内部管理人员对应用软件开发全生命周期的持续监控与风险检测、收集、分析、评估与处理，不利于软件安全的全面安全保障。

棱镜七彩解决方案：

棱镜七彩开源安全与合规治理平台专注为金融行业提供一体化开源治理解决方案，是棱镜七彩面向金融行业开源软件安全需求基于软件研发生命周期管理的新一代DevSCAOps开源软件安全检测与治理系统。

开源安全与合规治理平台是基于“左移安全”、DevSecOps及实时监控的安全理念，在软件生命周期中对开源软件和依赖组件进行持续、自动化的识别、安全分析、持续集成管理、漏洞修复、组件清单管理、用户库管理等，并与第三方开发工具无缝集成，实现自动化的安全分析、策略执行、持续集成，进行实时监控，出现新的漏洞及时发送通知。开源安全与合规治理平台的目标是能够适应敏捷开发，同时希望在企业意识到开源软件安全管理的重要性之后，通过开源安全与合规治理平台产品的解决方案，帮助企业解决因对开源软件维护、管理不善而产生的问题。

在设计阶段根据漏洞和许可证来帮助开发者在开源框架、组件选型进行初步的筛选；在开发阶段大多企业无法在过程中进行统一管理，缺少对开源软件安全漏洞的评估和规范的引入流程，开发者直接引用组件进行开发，而IDEA插件扫描能前移到在开发阶段就能精确到行，直接发现并提供动态解决方案进行修复漏洞；系统可以根据用户自定义规则进行自动化策略执行，及时阻断构建过程；安全测试环节扫描依赖组件，对遗留的的安全风险进行分析确认和修复，对于一些无法简单进行升级或打补丁修复的漏洞则需要开发人员和安全人员共同配合，提供解决方案或缓解措施；对漏洞进行实时监控，检测出漏洞信息能进行快速响应，选择最合适的修复方案推荐给用户，一旦发现新的漏洞或新的解决方案会通过邮件、钉钉实时通知到用户，根据配置自动创建Jira问题单，让用户能够快速处理问题。

当前开源安全与合规治理平台提供了基于棱镜七彩开源软件知识库、安全知识库和用户自建知识库，结合先进的自动化分析技术，为软件CI/CD提供全方位的开源软件安全、合规与管理解决方案。

· 开源成分管理入口

识别使用开源代码的方式：完整引用开源项目、引用部分开源项目源文件、引用开源代码片段，改善开源软件成分“脏乱差”问题。

· 开源软件管理平台

通过能够持续监控漏洞。通过管理全面的软件生命周期以强化的一致性、准确性、安全性。

· 开源软件治理工具

集成devsecops软件，让用户更专注业务，工具来管理风险。

方案优势：

功能特点

· 全：知识库全面，支持主流编程语言、多种包管理器的组件分析、许可证分析、溯源分析等

· 快：快速扫描产品中的漏洞，精确到行，提供详细解决方案，提高开发效率

· 易：系统界面简洁，操作简单，易学、易用

· 优：不断更新的漏洞库，实时精准通知，让软件品质更优

· 变：除SaaS服务外也支持私有化部署或定制化开发，为企业提供更加灵活、可靠的体验

产品优势

· 动态安全版本推荐

提供动态解决方案，选择与用户使用版本最近的安全版本进行推荐升级，保证兼容性，若多个漏洞属于同一组件则会推荐统一版本进行修复。

· 自建依赖库

支持企业自主构建漏洞库及开源软件知识库，提供开放的API，支持灵活的客户化定制。

· 敏捷开发

让开发者在编码过程中及时发现代码中的问题，定位到行，快速而精确的给出修复建议，在构建阶段根据用户自定义规则进行自动化策略执行，及时阻断，实现安全左移，系统灵活性更强。

· 对资产安全的实时监控与精准推送

实时监控开源软件漏洞情报，关联用户的相关项目，做到及时响应，并使用邮件和钉钉等方式进行精准推送。

应用案例：——江苏江阴农村商业银行股份有限公司-2022年开源软件安全检测采购项目

· 客户痛点：

      1）开源资产不明确，不清楚

      2）工具链、出入口不统一

      3）开源软件管理缺乏相关制度

      4）外围厂商软件把控困难

· 项目内容：

1)       结合内部组织架构，建立开源软件管理制度，存量摸底，增量管理，规范开发流程，实现统一入口，安全准入，持续监测，实现安全左移；

2)       依据机构内部风险管理机制，提供开源安全与合规治理平台一套，在软件生命周期中对开源软件和依赖组件进行持续、自动化的识别、安全分析、持续集成管理、漏洞修复、组件清单管理、用户库管理等，并与第三方开发工具无缝集成，生成检测报告，实现自动化的安全分析、策略执行、持续集成，并进行实时监控；

3)       从安全性、恶意代码及工具植入、敏感行为、代码成分等层面上对其被监测系统源代码进行安全检测：具体包括用户定制安全监测、SQL注入、缓冲区溢出、加密算法检测等；

4)       提供知识库的离线更新，可每周更新上传；持续监控可依据项目解析频率，配合数据更新，及时关联审核新增漏洞；

5)       提供常用开源软件安全版本列表，形成开源软件安全台账，进行开源软件资产管理；

· 客户收益：

1)       以开源促创新，协助建立开源软件风险治理管理体系和技术体系的持续优化，解决开源治理管理制度、流程等棘手问题，赋能机构高效发展；

2)       帮助机构建立抵御风险能力，及时运维管控，赋能安全合规；

3)       坚守安全可控底线，合规使用开源技术，加强金融科技创新能力；