如何体系化防控开源风险?尽在XPJ开源软件全生命周期安全管控平台
根据我国金融行业开源技术应用社区调研结果显示,我国金融机构中超过90%的企业引入了开源软件。为了体系化防控开源风险,行业相关方开始在开源治理政策和标准等方面逐步发力。央行2024年最新发布的《金融业开源软件应用管理指南》、《金融业开源软件应用评估规范》《金融业开源技术术语》等多项内容,为金融行业软件产品开源安全治理体系提供一系列参考标准,旨在降低金融机构开源软件评估过程的复杂度和时间成本,规范金融行业安全合规的使用开源技术,提升金融机构开源治理能力。
XPJ自主研发了开源软件全生命周期安全管控平台。该平台作为专为企业设计的开源软件全方位治理产品,旨在提供一套完整的解决方案,以管理企业在软件开发过程中对开源软件的使用。
XPJ开源软件全生命周期安全管控平台包括“引入管理、使用监控、退出管理、成分分析(SCA)、物料清单可视化、合规性与审计”6大核心功能,覆盖开源软件使用的全生命周期:
● 开源软件引入管理:在企业引入新的开源软件之前,平台可以进行预先的风险评估,包括对开源软件的许可证、安全漏洞以及社区活跃度的审查。
● 开源软件使用监控:监控企业内部使用的开源软件,确保遵守相应的许可证要求,并对使用情况进行分析,以便优化资源配置。
● 开源软件退出管理:在企业决定停止使用某项开源软件时,平台提供相应的管理支持,包括软件卸载、数据迁移和后续的合规性检查。
● 软件成分分析(SCA):平台利用SCA技术自动检测软件组件中的开源代码,分析其来源、版本、许可证和已知的安全漏洞,以便企业能够及时采取相应的风险缓解措施。
● 合规性与审计:平台能够生成详尽的报告,帮助企业在面临外部审计时,证明其对开源软件使用的合规性和透明度。
● 软件物料清单(SBOM)可视化管理:基于SCA开源应用安全缺陷检测技术,分析出应用的物料清单并管控开源组件信息,从企业、部门、项目及任务等多角度分析组件的影响范围和依赖关系,通过可视化拓扑图,多维度的展示详细的SBOM清单信息。
此外还包括开源技术资讯库、开源技术运维知识库等平台特色功能。通过这些功能,开源软件全生命周期安全管控平台能够帮助企业建立一个稳健的开源治理框架,降低安全风险,提升软件质量和合规性,从而在竞争激烈的市场中保持领先地位。
平台应用场景
在实际应用过程中,XPJ开源软件全生命周期安全管理平台为金融机构带来多重价值:
◆ 强化管理:通过构建开源技术引入、使用、退出全生命周期管控能力,帮助客户建立开源软件资产库,提升客户对软件资产的整体管理能力。通过软件物料清单,时刻关注、适配业界漏洞情报,帮助客户快速分析并识别可能存在的安全风险并及时预警。
◆ 规避风险:开源软件都面临严格的监管与合规要求,通过对软件SBOM进行全方位安全检测,输出包含专家结果分析和修复建议的检测报告。提升软件产品安全质量降低软件供应链安全风险,减少因安全问题造成的商业损失和法律风险。
◆ 降本增效:通过对开源软件的综合管理,将检测依据和结果标准化,输出软件供应链安全检测报告,降低开发团队修复难度,提高修复效率。帮助客户减少资源投入,高效识别软件安全风险,助力企业降本增效。
◆ 创新和敏捷性:满足市面上大部分客户安全审核要求,为软件做“全身无死角体检”,能够满足企业不断变化开源软件治理的需求。可以帮助客户更快地响应市场变化,推出创新产品和服务,提高企业的竞争力和市场敏捷性。
案例简介:
○ XX银行
○ XX移动省份专业研究院
更多详情可联系:胡经树
联系电话:13955122835
邮箱:hujs@syhbgh.com