證券開源領航者！國金證券通過中國信通院可信開源治理“先進級”評估

2023年9月21日，中國信息通信研究院（簡稱“中國信通院”）在2023 OSCAR開源產業大會上隆重發布了《可信開源治理能力成熟度評估》最新評估結果，國金證券股份有限公司（以下簡稱“國金證券”）順利通過中國信通院開展的可信開源治理能力成熟度評估認證，成為證券行業最先參與評估并榮獲“先進級”認證的單位。

國金證券首席信息官王洪濤先生：“國金證券首次參加中國信通院開源治理評估就獲得了“先進級”榮譽，這是對國金證券開源治理工作和能力的充分肯定，我們將持續推動企業內部開源治理工作建設，進一步助推金融證券行業開源認知，共享開源使用經驗，樹立行業可信開源的標桿形象，通過開源影響力帶動金融科技生態建設。”

國金證券科技研發部總經理熊友根先生：“懸鏡安全是國金證券的戰略合作伙伴，在引入懸鏡源鑒SCA開源威脅管控平臺的基礎上，我們構建了國金特色的開源軟件治理管理體系，在業內達到了先進水平，這是對雙方合作成果的充分肯定。我們將與懸鏡安全保持密切合作，持續深化企業級開源治理體系、流程、規范和平臺建設，探索開源治理工具的信創方案，全面提升自主可控和開源安全風險治理能力，積極響應監管機構的安全合規要求?！?/p>

可信開源治理能力成熟度評估是中國信通院發布的權威認證之一，也是行業內首個開源風險管理能力成熟度模型。本次評估從過程維度和能力維度出發，重點考察組織機制、管理制度、風險管理以及引入選型、使用管理、運維管理、定期健康評估、退出管理、存量盤點、第三方管理等內容，根據企業開源軟件治理能力的高低將成熟度劃分為3個級別，分別是基礎級（1級）、增強級（2級）和先進級（3級）。國金證券是證券行業最先通過可信開源治理能力成熟度評估并被評為“先進級”的機構，相關能力達到了國內領先水平。

此次，信通院采訪了國金證券首席信息官王洪濤先生和科技研發部總經理熊友根先生，分享國金證券在開源治理方面的實踐經驗。

信通院：請介紹一下您的企業，以及公司內部進行開源治理工作的背景。

王洪濤：國金證券前身為成都證券，經中國人民銀行批準，成立于1990年12月，注冊地在四川省成都市，是一家資產質量優良、專業團隊精干、創新能力突出的上市證券公司。截至2023年半年度末，公司員工人數超5000人，共下設8家分公司，75家證券營業部，分布在全國24個?。ㄖ陛犑小⒆灾螀^）的重要中心城市。國金證券秉承“讓金融服務更高效、更可靠”的使命，追求“成為舉足輕重的金融服務機構”的企業愿景，遵循【客戶至上】、【視人才為公司最重要的資本】、【以開放的心態真誠溝通】、【團隊合作】、【專業規范】、【持續優化】、【追求卓越】的核心價值觀，致力于為客戶提供證券交易、投資銀行、資產管理、財富管理等全方位金融服務，將公司建設成為“治理健全、管理規范、業務精湛、資質齊備、技術領先”的國內證券行業具有一流競爭力和影響力的上市券商。公司自成立以來，嚴格遵守各項法律法規，始終堅持合規穩健經營，不斷完善公司法人治理結構，建立健全內控管理體系。

近幾年，隨著移動互聯網、云計算、人工智能、大數據的快速發展，開源逐漸成為主流技術。開源雖然可以突破技術壁壘、推動創新，但是卻不可避免得帶來開源管理、開源合規等一系列問題。2021年，人民銀行辦公廳、銀保監會辦公廳、證監會辦公廳等聯合發布《關于規范金融業開源技術應用與發展的意見》。為積極響應監管機構對開源方面的要求，滿足意見針對開源技術“安全可控、合規使用”的基本原則，實現軟件安全風險治理流程統一化和自動化，國金證券從被動防御到主動應對，全面啟動了開源治理建設工作。

信通院：請問貴單位為什么參與此次評估？

王洪濤：中國信通院在業內率先提出了“可信開源”理念，目前已形成了覆蓋開源全生命周期的標準及評估體系。我們希望通過參與此次企業開源治理成熟度評估，對比學習同行業及其他行業的開源治理優秀實踐，以評促改、以評促建，進一步提升國金證券開源風險管控能力。

信通院：貴單位的開源治理建設方案可以分享一下嗎?

熊友根：國金證券以制度規范為指引、技術平臺為抓手，構建國金開源軟件安全治理和管理體系。

在制度規范方面：制定和落實《國金證券開源軟件管理規范》，明確開源軟件管理部門與使用部門的職責，規定開源軟件規劃、準入、使用、維護、日常管理、退出等全流程周期的管理過程，根據軟件應用場景進行分類管理，規范企業開源技術組件的選取范圍，防范技術組件風險，包括整個技術組件的技術雷達、組件準入機制管控、使用過程登記和問題追溯整改等各階段管理要求。

在技術平臺方面：引入懸鏡源鑒SCA開源威脅管控平臺，梳理存量軟件引入的第三方開源組件，將開源組件及其直接和間接依賴關系、漏洞信息、開源許可證、所屬部門組織、對應的SBOM清單，形成清晰的軟件資產臺賬，幫助國金證券對軟件資產進行安全管理；通過對接LDAP單點登錄/SSO統一身份認證登錄進行用戶登錄的統一管理；對接DevOps平臺，在流水線構建階段進行開源組件安全檢測，檢測結果推送SCA工具進行統一管理；對接并集成制品庫，進行安全掃描和風險分析，配置門禁實現風險自動阻斷，同時對制品倉庫進行組件出入庫安全審查；最后，將檢測漏洞和許可證數據推送至漏洞管理平臺，關聯相關項目負責人并推動修復，實現閉環治理。

信通院：通過開源治理實踐，內部取得了哪些收益？

熊友根：國金證券在工具建設、流程管理、監管合規等層面皆取得了顯著效益：

工具層面：補全了國金證券開源技術安全防護能力，提升了針對開源軟件SBOM、三方開源組件漏洞風險及許可風險的自動化審查能力，減少開源軟件高危漏洞及許可證帶來的知識產權風險。

流程層面：通過引入懸鏡源鑒SCA開源威脅管控平臺，在編碼階段對接IDE插件，開發階段對接DevOps流水線，構建階段拉取代碼檢測并通過設置的門禁進行阻斷，對制品庫進行安全掃描，最后將檢測結果推送至漏洞管理平臺進行閉環治理，實現一站式自動化開源組件漏洞風險管理。

合規層面：通過源鑒SCA對采購產品的安裝包或源代碼進行軟件成分安全檢測，結合公司內部的采購規范及要求，確保采購軟件內部成分組件的引入安全及合規性。

監管層面：滿足了銀保監會和證監會等行業監管機構針對開源治理安全防護的建設要求，在響應國家政策號召的同時，實現了企業開源治理能力水平的突破。

信通院：在建設過程中有遇到過哪些困難嗎，相應的解決辦法是什么呢？

熊友根：我們面臨的挑戰主要來自于員工安全意識薄弱和開源軟件管理規范落地的難題。為此，我們通過定期開展開源治理培訓，通過企業微信、電子郵件等方式進行制度宣導，通過平臺固化制度這些方法，確保各部門能夠準確理解并遵循管理規范，從而在實際工作中將其貫徹到位。

信通院：在開源治理方面的未來規劃有哪些？

熊友根：開源軟件治理是一項長期常態化工作，需要在深入治理的同時保持組織架構、制度體系、技術平臺等方面的持續優化。未來我們將從三方面深耕開源治理工作：一是持續完善內部開源軟件管理體系，提升開源軟件的安全性和可靠性，提高公司整體的技術水平和服務質量。二是探索信創開源軟件供應鏈安全治理與運營方案，提升自主可控水平。三是共建行業開源治理能力，共享開源治理經驗，參與開源治理相關標準和公共服務平臺建設，推動行業軟件供應鏈安全發展。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。