从底层的操作系统、中间件、数据库，到应用层面的开发项目管理工具等，开源软件已经在证券行业得到广泛应用。但在基于开源组件实现技术创新及业务敏捷交付的同时，其引入的组件漏洞风险、供应链风险和开源许可协议等法律风险同样不容忽视。

2021年，人民银行办公厅、中央网信办、工信部、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》，文件重点提到金融机构在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”四大基本原则，开源治理势在必行。

2023 Ossra Report 显示，在金融科技行业中，98%的代码库中包含开源代码；平均每天有超过100个新增的开源组件安全漏洞和开源组件投毒风险被爆出。

证券机构内部积累了大量存量的开源软件资产，这些都有可能对已有的软件项目造成威胁。当开源组件突发高危风险漏洞，缺少相应应急响应能力的证券机构则会长时间处于“裸奔”的境况之中，导致系统被入侵、客户信息泄露，甚至影响到整个机构的运营。

证券机构大部分的软件项目依赖外包开发及外部采购的商业软件，这些外采软件引用了大量开源组件，存在组件成份未知、风险不可控等问题。

在开发环节，不规范的软件引入机制可能会导致安全缺陷或后门、编译构建环境被污染等隐患；在交付和运行环节，可能存在中间供应商插入恶意代码、软件更新被劫持、系统被破解等风险。

01 

开源治理的核心抓手—SCA技术

首先，证券机构应打造一套开源软件准入管理机制。由于开源技术架构中难免会应用到大小各异、作用不一的开源组件，使开源管理效率低下且成本较高。

准入管理的本质是来源可控，从发起申请到上传私服仓库，用户需要在整个准入管理流程中实现对开源软件的来源审查、漏洞评估以及合规分析，只有当通过所有节点的评估之后方可引入，从而在源头处控制风险范围。

其次，证券机构应对已有的开源软件资产进行快速梳理，定期对私服仓库、制品仓库进行全盘的安全扫描和风险分析，分析仓库内的组件漏洞及许可证风险，清晰掌握内部现有组件的情况。

第三，将SCA能力嵌入至开发流程当中。在开发阶段，即便已经提前引入了开源组件检测来对组件来源进行统一管控，但在功能开发的过程中，为了提升研发效率，不可避免会应用到其它开源产品。因此，企业需要将SCA能力深度融合至自身的研发周期当中，快速集成客户端代码仓库及流水线构建工具，进而确保SCA技术能够在代码同源、组件依赖以及提交代码仓库等多个维度对开源组件进行全方位的检测。

最后，依据监管政策和行业要求，证券机构需要制定落地性较强的开源软件管理流程、规范、模板等体系文档，使其能够覆盖至开源软件准入、风险评估、漏洞监测和处置、退出等全生命周期安全管理，进一步完善自身开源组件管理体系的设计与执行流程。

02 

开源治理最佳实践—源鉴SCA

源鉴SCA是国内首款基于多引擎的开源威胁管控平台，同时拥有自研专利级代码成分溯源引擎、制品成分二进制分析引擎及运行时成分动态追踪引擎，三大核心引擎能力聚焦解决开源应用及开源数字供应链的安全风险问题。作为国内SCA技术的实践引领者，源鉴SCA已在国金证券、国信证券、中泰证券等多个证券行业头部机构中广泛落地开源治理建设。

源鉴SCA产品集成场景流程

• 源码级SCA——代码成分溯源引擎：
  在数字供应链的开发测试阶段，对于代码库和源码包的检测场景，代码成分溯源引擎深度检测源代码，基于同源检测实现代码溯源分析、代码已知漏洞分析和恶意代码文件分析，并可视化呈现深度检测报告。

• 二进制SCA——制品成分二进制分析引擎：
  在数字供应链的持续交付和持续集成阶段阶段，对于制品库和供应商制品的检测场景，制品成分二进制分析引擎将二进制文件中多维度特征进行提取，实现识别编译环境等引入的新安全风险，在开发安全检测和供应链安全检测实践应用中。

• 运行时SCA——运行时成分动态追踪引擎：
  在数字供应链的测试验证和应用运行阶段，对于测试系统和上线系统的检测场景，在应用执行过程中，运行时成分动态追踪引擎利用运行时插桩检测技术，着重检测应用真实运行过程中动态加载的第三方组件及依赖，进行组件级资产测绘，且可结合代码疫苗热补丁技术对漏洞进行动态修补。

基于以上三大核心引擎，源鉴SCA在证券行业开源治理中体现出了优秀的实践效果：

1. DSDX助力开源应用组件级资产测绘：精细化识别开源软件组件及其构成和依赖关系，以国内首个自有SBOM格式——DSDX生成更全面、更兼容、更安全及可溯源的软件物料清单，输出透明化的数字应用组件资产及风险清单。

2. 实现敏捷开发与安全的平衡：源鉴SCA可与用户现有开发流程无缝结合，在开发运营的相应阶段自动发现应用程序中的开源组件，提供关键的版本控制和使用信息，并在任意阶段检测到漏洞风险和合规风险时自动触发警报，兼顾开发效率与安全。

3. 收敛开源软件漏洞及许可证风险：通过可视化SBOM清单调用关系及组件依赖关联分析，基于悬镜云端“安全大脑”实时监控开源软件情报漏洞来源，并及时推送漏洞和许可证风险情报给相关人员。工作人员只需简单学习，利用平台漏洞代码行定位，无需安全人员介入即可精准修复漏洞，从而减少漏洞从发现到修复所花费的时间，收敛风险影响范围。

4. 构筑开源风险治理体系：基于源鉴SCA的开源治理能力建立公司级平台，可对各类型采购、自研、软件资产进行梳理和安全审查，进一步在内部建立开源治理组织架构，制定配套的开源治理管理制度和规范，逐步构筑起比较完备的开源风险治理体系，规范开源软件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，进而提升软件供应链安全治理能力。

5. 信创兼容，满足行业强监管要求：源鉴SCA可帮助用户在遵循开源义务要求的前提下规范地使用开源技术，从而最大化减少使用开源技术带来的风险，满足证券行业相关开源政策法规的要求。源鉴SCA完全自主研发、安全可控，现已完成多个国产中间件、服务器、操作系统等信创领域的兼容性互认证，满足行业信创要求。

SCA技术作为数字供应链开源治理的关键入口，对于金融证券行业而言，SCA技术将在以下五方面诠释着新内涵：

1、源码级SCA特别是代码片段级同源检测技术在代码自研率分析、全球开源风险溯源等场景有越来越多的应用；

2、二进制SCA凭借直接分析制品成分及风险，在验证外采及外包供应商开发软件SBOM完整性和安全合规性等场景上，正成为证券行业供应链安全审查的关键技术；

3、运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖，在证券行业应用测试和常态化安全运营场景有着更广泛的应用；

4、以DSDX为代表的SBOM作为数字供应链安全治理的重要抓手，在整个供应链引入、生产、交付等关键环节的开源治理实践中发挥着重要作用；

5、供应链安全情报特别是开源治理情报和供应链投毒情报的应用极大程度提升了证券机构开源治理的先发性和实效性。

源鉴SCA作为悬镜第三代DevSecOps智适应威胁管理体系中开源治理环节的软件供应链安全监测与管控平台平台，能够深度挖掘开源组件中潜藏的各类安全漏洞及开源协议风险，为证券行业用户提供软件供应链全面可靠的安全保障，持续守护中国数字供应链安全。