只聊干货的【落地有声】专栏第一期：金融行业开源软件治理

专栏简介

本专栏将由默安科技各条业务线的精锐一线交付专家领衔，聚焦主动防御、开发安全、软件供应链安全、云安全等安全关键领域，深度洞察行业动态与技术趋势，针对各行业用户在产品落地过程中遇到的复杂场景、疑难杂症等提供实战案例解析，分享经过验证的优选解决方案，帮助更多政企用户最大程度地获得安全产品的价值。

开源软件治理问题一直是业内关注的重点话题，在对安全风险十分敏感的金融行业更是如此。“落地有声”专栏第一期，默安科技安全专家将围绕金融行业开源软件治理，带来最新的标准解析，并结合在治理过程中遇到的复杂场景，针对具体问题探讨有效化解的方式方法。

近年来，开源软件在金融行业的应用日益广泛，成为金融机构数字化转型的重要支撑。然而，开源软件的应用也带来了一系列挑战和风险，例如：

安全风险: 开源软件可能存在安全漏洞，容易被攻击者利用。

合规风险: 开源软件的许可证条款复杂，金融机构可能面临合规风险。

运维风险: 开源软件的版本更新频繁，金融机构需要投入大量资源进行维护。

供应链风险: 开源软件的供应链复杂，金融机构难以全面掌控其安全性。

一、重要标准解析

为了规范金融业开源软件应用、防范相关风险，中国人民银行与2024年1月发布并实施了《JR/T 0290-2024 金融业开源软件应用管理指南》和《JR/T 0291-2024 金融业开源软件应用评估规范》两项重要行业标准。（关注默安科技公众号，回复“金融开源软件标准”可获取两项标准全文。）

默安科技安全专家认为，针对这个标准体系，可以拆解为以下几个部分。

1、《JR/T 0290-2024 金融业开源软件应用管理指南》要点

管理架构

制度层：明确决策团队（技术负责人）与管理团队（专项、技术、安全、法务人员）的职责分工，要求法务合规人员全程参与。

流程层：覆盖开源软件全生命周期（引入→使用→持续评估→退出），需建立制品仓库、开源台账、版本更新机制。

工具层：强制部署自动化工具（如漏洞扫描、许可证分析），推动管理平台与供应链可视化。

三类风险的管理

法律风险：开源许可证兼容性审查，避免传染性协议（如GPL）导致闭源受限。

安全风险：漏洞修复时效性（参考CVE标准），定期扫描高危组件。

供应链风险：追踪二级依赖，标记高风险社区（贡献者集中度>80%）。

成熟度模型与工具链

开源软件应用管理成熟度分三级，分别为探索级、提升级和成熟级。探索级要求进行人工记录、分散管理。提升级则注重流程制度化，需部署基础工具（SCA、制品仓库）。成熟级达到全流程自动化，集成管理平台与供应链地图。

2、《JR/T 0291-2024 金融业开源软件应用评估规范》核心要求

引入评估阶段：初选评估分为许可证兼容性（宽松型协议优先）、社区活跃度（贡献者分布、代码提交量、版本更新频率）、安全漏洞修复率（漏洞数/发行时间×分支数）三个维度。终选评估中，则从性能压测（TPS、QPS、响应时间、CPU/内存占用率）；国产化兼容性（适配国产操作系统及数据库）；代码可维护性（模块化设计，注释量≥5%）这三个方面来进行。

维护评估阶段：分级管控从简单使用类（基础运维）到深度使用类（掌握容灾机制），再到定制开发类（代码自主可控）；持续监控要求建立指标阈值（性能、漏洞、许可证变更），定期生成报告。

退出评估阶段：新版本或替代组件需通过终选评估，强制兼容性验证；若许可证变更，需重新进行评估，审查合规性。

注：受限于篇幅，以上内容仅摘取重点部分。

二、复杂场景的问题与解决

场景一：多许可证冲突导致合规风险

混合使用GPL、AGPL等传染性许可证，导致代码闭源受限。

解决步骤：

建立许可证兼容矩阵：基于SPDX标准，工具化扫描依赖关系（如ORT工具），识别冲突点。

法务-技术联合审查：制定白名单（优先MIT/Apache协议），隔离高风险组件至独立模块。

案例参考：某银行通过“许可证沙箱”隔离GPL组件，避免代码传染。

场景二：供应链深度依赖引发断供风险

关键组件依赖单一开源社区，上游停更或恶意代码注入。