2023年9月21日，中國(guó)信息通信研究院（簡(jiǎn)稱“中國(guó)信通院”）在2023 OSCAR開源產(chǎn)業(yè)大會(huì)上隆重發(fā)布了《可信開源治理能力成熟度評(píng)估》最新評(píng)估結(jié)果，國(guó)金證券股份有限公司（以下簡(jiǎn)稱“國(guó)金證券”）順利通過中國(guó)信通院開展的可信開源治理能力成熟度評(píng)估認(rèn)證，成為證券行業(yè)最先參與評(píng)估并榮獲“先進(jìn)級(jí)”認(rèn)證的單位。

國(guó)金證券首席信息官王洪濤先生：“國(guó)金證券首次參加中國(guó)信通院開源治理評(píng)估就獲得了“先進(jìn)級(jí)”榮譽(yù)，這是對(duì)國(guó)金證券開源治理工作和能力的充分肯定，我們將持續(xù)推動(dòng)企業(yè)內(nèi)部開源治理工作建設(shè)，進(jìn)一步助推金融證券行業(yè)開源認(rèn)知，共享開源使用經(jīng)驗(yàn)，樹立行業(yè)可信開源的標(biāo)桿形象，通過開源影響力帶動(dòng)金融科技生態(tài)建設(shè)。”

國(guó)金證券科技研發(fā)部總經(jīng)理熊友根先生：

“懸鏡安全是國(guó)金證券的戰(zhàn)略合作伙伴，在引入懸鏡源鑒SCA開源威脅管控平臺(tái)的基礎(chǔ)上，我們構(gòu)建了國(guó)金特色的開源軟件治理管理體系，在業(yè)內(nèi)達(dá)到了先進(jìn)水平，這是對(duì)雙方合作成果的充分肯定。我們將與懸鏡安全保持密切合作，持續(xù)深化企業(yè)級(jí)開源治理體系、流程、規(guī)范和平臺(tái)建設(shè)，探索開源治理工具的信創(chuàng)方案，全面提升自主可控和開源安全風(fēng)險(xiǎn)治理能力，積極響應(yīng)監(jiān)管機(jī)構(gòu)的安全合規(guī)要求?！?/p>

可信開源治理能力成熟度評(píng)估是中國(guó)信通院發(fā)布的權(quán)威認(rèn)證之一，也是行業(yè)內(nèi)首個(gè)開源風(fēng)險(xiǎn)管理能力成熟度模型。本次評(píng)估從過程維度和能力維度出發(fā)，重點(diǎn)考察組織機(jī)制、管理制度、風(fēng)險(xiǎn)管理以及引入選型、使用管理、運(yùn)維管理、定期健康評(píng)估、退出管理、存量盤點(diǎn)、第三方管理等內(nèi)容，根據(jù)企業(yè)開源軟件治理能力的高低將成熟度劃分為3個(gè)級(jí)別，分別是基礎(chǔ)級(jí)（1級(jí)）、增強(qiáng)級(jí)（2級(jí)）和先進(jìn)級(jí)（3級(jí)）。國(guó)金證券是證券行業(yè)最先通過可信開源治理能力成熟度評(píng)估并被評(píng)為“先進(jìn)級(jí)”的機(jī)構(gòu)，相關(guān)能力達(dá)到了國(guó)內(nèi)領(lǐng)先水平。

此次，信通院采訪了國(guó)金證券首席信息官王洪濤先生和科技研發(fā)部總經(jīng)理熊友根先生，分享國(guó)金證券在開源治理方面的實(shí)踐經(jīng)驗(yàn)。

信通院：請(qǐng)介紹一下您的企業(yè)，以及公司內(nèi)部進(jìn)行開源治理工作的背景。

王洪濤：國(guó)金證券前身為成都證券，經(jīng)中國(guó)人民銀行批準(zhǔn)，成立于1990年12月，注冊(cè)地在四川省成都市，是一家資產(chǎn)質(zhì)量?jī)?yōu)良、專業(yè)團(tuán)隊(duì)精干、創(chuàng)新能力突出的上市證券公司。截至2023年半年度末，公司員工人數(shù)超5000人，共下設(shè)8家分公司，75家證券營(yíng)業(yè)部，分布在全國(guó)24個(gè)省（直轄市、自治區(qū)）的重要中心城市。國(guó)金證券秉承“讓金融服務(wù)更高效、更可靠”的使命，追求“成為舉足輕重的金融服務(wù)機(jī)構(gòu)”的企業(yè)愿景，遵循【客戶至上】、【視人才為公司最重要的資本】、【以開放的心態(tài)真誠(chéng)溝通】、【團(tuán)隊(duì)合作】、【專業(yè)規(guī)范】、【持續(xù)優(yōu)化】、【追求卓越】的核心價(jià)值觀，致力于為客戶提供證券交易、投資銀行、資產(chǎn)管理、財(cái)富管理等全方位金融服務(wù)，將公司建設(shè)成為“治理健全、管理規(guī)范、業(yè)務(wù)精湛、資質(zhì)齊備、技術(shù)領(lǐng)先”的國(guó)內(nèi)證券行業(yè)具有一流競(jìng)爭(zhēng)力和影響力的上市券商。公司自成立以來，嚴(yán)格遵守各項(xiàng)法律法規(guī)，始終堅(jiān)持合規(guī)穩(wěn)健經(jīng)營(yíng)，不斷完善公司法人治理結(jié)構(gòu)，建立健全內(nèi)控管理體系。

近幾年，隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、人工智能、大數(shù)據(jù)的快速發(fā)展，開源逐漸成為主流技術(shù)。開源雖然可以突破技術(shù)壁壘、推動(dòng)創(chuàng)新，但是卻不可避免得帶來開源管理、開源合規(guī)等一系列問題。2021年，人民銀行辦公廳、銀保監(jiān)會(huì)辦公廳、證監(jiān)會(huì)辦公廳等聯(lián)合發(fā)布《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》。為積極響應(yīng)監(jiān)管機(jī)構(gòu)對(duì)開源方面的要求，滿足意見針對(duì)開源技術(shù)“安全可控、合規(guī)使用”的基本原則，實(shí)現(xiàn)軟件安全風(fēng)險(xiǎn)治理流程統(tǒng)一化和自動(dòng)化，國(guó)金證券從被動(dòng)防御到主動(dòng)應(yīng)對(duì)，全面啟動(dòng)了開源治理建設(shè)工作。

信通院：請(qǐng)問貴單位為什么參與此次評(píng)估？

王洪濤：中國(guó)信通院在業(yè)內(nèi)率先提出了“可信開源”理念，目前已形成了覆蓋開源全生命周期的標(biāo)準(zhǔn)及評(píng)估體系。我們希望通過參與此次企業(yè)開源治理成熟度評(píng)估，對(duì)比學(xué)習(xí)同行業(yè)及其他行業(yè)的開源治理優(yōu)秀實(shí)踐，以評(píng)促改、以評(píng)促建，進(jìn)一步提升國(guó)金證券開源風(fēng)險(xiǎn)管控能力。

信通院：貴單位的開源治理建設(shè)方案可以分享一下嗎?

熊友根：國(guó)金證券以制度規(guī)范為指引、技術(shù)平臺(tái)為抓手，構(gòu)建國(guó)金開源軟件安全治理和管理體系。在制度規(guī)范方面：制定和落實(shí)《國(guó)金證券開源軟件管理規(guī)范》，明確開源軟件管理部門與使用部門的職責(zé)，規(guī)定開源軟件規(guī)劃、準(zhǔn)入、使用、維護(hù)、日常管理、退出等全流程周期的管理過程，根據(jù)軟件應(yīng)用場(chǎng)景進(jìn)行分類管理，規(guī)范企業(yè)開源技術(shù)組件的選取范圍，防范技術(shù)組件風(fēng)險(xiǎn)，包括整個(gè)技術(shù)組件的技術(shù)雷達(dá)、組件準(zhǔn)入機(jī)制管控、使用過程登記和問題追溯整改等各階段管理要求。

在技術(shù)平臺(tái)方面：引入懸鏡源鑒SCA開源威脅管控平臺(tái)，梳理存量軟件引入的第三方開源組件，將開源組件及其直接和間接依賴關(guān)系、漏洞信息、開源許可證、所屬部門組織、對(duì)應(yīng)的SBOM清單，形成清晰的軟件資產(chǎn)臺(tái)賬，幫助國(guó)金證券對(duì)軟件資產(chǎn)進(jìn)行安全管理；通過對(duì)接LDAP單點(diǎn)登錄/SSO統(tǒng)一身份認(rèn)證登錄進(jìn)行用戶登錄的統(tǒng)一管理；對(duì)接DevOps平臺(tái)，在流水線構(gòu)建階段進(jìn)行開源組件安全檢測(cè)，檢測(cè)結(jié)果推送SCA工具進(jìn)行統(tǒng)一管理；對(duì)接并集成制品庫(kù)，進(jìn)行安全掃描和風(fēng)險(xiǎn)分析，配置門禁實(shí)現(xiàn)風(fēng)險(xiǎn)自動(dòng)阻斷，同時(shí)對(duì)制品倉(cāng)庫(kù)進(jìn)行組件出入庫(kù)安全審查；最后，將檢測(cè)漏洞和許可證數(shù)據(jù)推送至漏洞管理平臺(tái)，關(guān)聯(lián)相關(guān)項(xiàng)目負(fù)責(zé)人并推動(dòng)修復(fù)，實(shí)現(xiàn)閉環(huán)治理。

信通院：通過開源治理實(shí)踐，內(nèi)部取得了哪些收益？

熊友根：國(guó)金證券在工具建設(shè)、流程管理、監(jiān)管合規(guī)等層面皆取得了顯著效益：

工具層面：補(bǔ)全了國(guó)金證券開源技術(shù)安全防護(hù)能力，提升了針對(duì)開源軟件SBOM、三方開源組件漏洞風(fēng)險(xiǎn)及許可風(fēng)險(xiǎn)的自動(dòng)化審查能力，減少開源軟件高危漏洞及許可證帶來的知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。

流程層面：通過引入懸鏡源鑒SCA開源威脅管控平臺(tái)，在編碼階段對(duì)接IDE插件，開發(fā)階段對(duì)接DevOps流水線，構(gòu)建階段拉取代碼檢測(cè)并通過設(shè)置的門禁進(jìn)行阻斷，對(duì)制品庫(kù)進(jìn)行安全掃描，最后將檢測(cè)結(jié)果推送至漏洞管理平臺(tái)進(jìn)行閉環(huán)治理，實(shí)現(xiàn)一站式自動(dòng)化開源組件漏洞風(fēng)險(xiǎn)管理。

合規(guī)層面：通過源鑒SCA對(duì)采購(gòu)產(chǎn)品的安裝包或源代碼進(jìn)行軟件成分安全檢測(cè)，結(jié)合公司內(nèi)部的采購(gòu)規(guī)范及要求，確保采購(gòu)軟件內(nèi)部成分組件的引入安全及合規(guī)性。

監(jiān)管層面：滿足了銀保監(jiān)會(huì)和證監(jiān)會(huì)等行業(yè)監(jiān)管機(jī)構(gòu)針對(duì)開源治理安全防護(hù)的建設(shè)要求，在響應(yīng)國(guó)家政策號(hào)召的同時(shí)，實(shí)現(xiàn)了企業(yè)開源治理能力水平的突破。

信通院：在建設(shè)過程中有遇到過哪些困難嗎，相應(yīng)的解決辦法是什么呢？

熊友根：我們面臨的挑戰(zhàn)主要來自于員工安全意識(shí)薄弱和開源軟件管理規(guī)范落地的難題。為此，我們通過定期開展開源治理培訓(xùn)，通過企業(yè)微信、電子郵件等方式進(jìn)行制度宣導(dǎo)，通過平臺(tái)固化制度這些方法，確保各部門能夠準(zhǔn)確理解并遵循管理規(guī)范，從而在實(shí)際工作中將其貫徹到位。

信通院：在開源治理方面的未來規(guī)劃有哪些？

熊友根：開源軟件治理是一項(xiàng)長(zhǎng)期常態(tài)化工作，需要在深入治理的同時(shí)保持組織架構(gòu)、制度體系、技術(shù)平臺(tái)等方面的持續(xù)優(yōu)化。未來我們將從三方面深耕開源治理工作：一是持續(xù)完善內(nèi)部開源軟件管理體系，提升開源軟件的安全性和可靠性，提高公司整體的技術(shù)水平和服務(wù)質(zhì)量。二是探索信創(chuàng)開源軟件供應(yīng)鏈安全治理與運(yùn)營(yíng)方案，提升自主可控水平。三是共建行業(yè)開源治理能力，共享開源治理經(jīng)驗(yàn)，參與開源治理相關(guān)標(biāo)準(zhǔn)和公共服務(wù)平臺(tái)建設(shè)，推動(dòng)行業(yè)軟件供應(yīng)鏈安全發(fā)展。

關(guān)鍵詞：