译文仅供参考,具体内容表达以及含义原文为准。
近日,悬镜安全成功中标国内领先的证券公司海通证券软件成分分析工具采购项目,中标产品为源鉴SCA开源威胁管控平台。
海通证券作为国内领先的证券公司之一,当下已基本建成涵盖证券期货经纪、投行、自营、资产管理、私募股权投资、另类投资、融资租赁、境外投行等多个业务领域的金融服务企业。海通证券始终秉承“科技引领”发展战略,以建设“敏捷化、平台化、智能化、生态化”为核心特征的“数字海通2.0”为目标,坚持关键技术自主可控,深入推进金融科技创新,已成为行业数字化转型的探索者、先行者。
积极推进“数字海通2.0”建设
从源头风险治理开始
风险预知,积极以对
分析调用的第三方组件的许可证类型。目前,国际公认的开源许可证共有80多种。有的许可证对软件的使用方式几乎没有限制,用户几乎不用关心需要承担的责任,但是也存在一些限制性比较强的许可证,如果不小心调用,可能会带来较大的法律风险和知识产权的损失。通过将具备相似特征和风险的许可证自定义为许可证系列,并以系列为单位进行管理,结合对许可证冲突条款的持续监控预警,将极大程度简化用户在许可证合规治理过程中的复杂度。
虽然老旧的第三方组件所带来的风险相对较低,但仍需留意。由于其可能存在一些未知的、开发者未公布但已修复的0day漏洞,应将其视为潜在风险进行跟踪,在必要时进行更新或替换。
数字供应链的分析与安全监测,同样需要自己的威胁情报。充分利用软件物料清单(SBOM)技术,已经成为业界对此的共识。通过匹配SBOM情报与自身数字资产,用户能够从漏洞和恶意代码两个维度,对第三方组件进行更具针对性的风险预警、威胁定位和响应处置。
五大核心引擎+供应链安全情报
打造数字供应链安全防线
源鉴SCA开源治理工具融入DevOps流程建设
敏捷安全赋能,润物细无声
在软件开发过程中,CI(持续集成)流水线扮演着关键角色。它与代码库和私服库紧密相连。代码库是代码的存储中心,私服库则是存放第三方依赖或内部共享组件的地方。CI流水线会从代码库获取代码,并在构建过程中从私服库获取所需的依赖。对于CI流水线的管控,要确保其对代码库和私服库的访问安全,防止恶意篡改或引入不安全的元素。同时,要保证代码从代码库到CI流水线的传输完整性,以及私服库中组件的合法性和安全性。
重点业务系统由于其对公司运营的关键作用,需要更高标准的安全防护。相比之下,非重点业务系统的安全优先级稍低。在资源分配和安全策略实施上,要优先保障重点业务系统的安全。对于重点业务系统所使用的代码和组件,无论是开源还是内部开发,都要经过严格审查和测试。在出现安全风险时,重点业务系统的修复要优先于非重点业务系统,以降低对核心业务的影响。
截至目前,作为新一代开源数字供应链安全审查与治理平台,源鉴SCA开源威胁管控平台已连续四年在市场应用率第一,在国内首家通过供应链安全检测工具类-增强级(编号CSPEC-GGJ2401001)认证,并广泛实践于金融、泛互联网、政企、通信、能源等行业头部用户,帮助用户从引入源头、开发过程、运行监控、管理等多维度闭环治理开源威胁。身为全球数字供应链安全开拓者与引领者,悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新,通过AI大模型技术深度赋能基于“智能供应链安全管理平台+敏捷安全工具链+AI安全情报预警”的第三代DevSecOps数字供应链安全管理体系,积极发挥领导者的产业生态影响力,加强行业生态协同,助力企业用户数智化转型升级和高质量发展,真正实现数字供应链安全能力质的飞跃,守护中国数字供应链安全。