专栏简介：本专栏将由默安科技各条业务线的精锐一线交付专家领衔，聚焦主动防御、开发安全、软件供应链安全、云安全等安全关键领域，深度洞察行业动态与技术趋势，针对各行业用户在产品落地过程中遇到的复杂场景、疑难杂症等提供实战案例解析，分享经过验证的优选解决方案，帮助更多政企用户最大程度地获得安全产品的价值。

开源软件治理问题一直是业内关注的重点话题，在对安全风险十分敏感的金融行业更是如此。“落地有声”专栏第一期，默安科技安全专家将围绕金融行业开源软件治理，带来最新的标准解析，并结合在治理过程中遇到的复杂场景，针对具体问题探讨有效化解的方式方法。

近年来，开源软件在金融行业的应用日益广泛，成为金融机构数字化转型的重要支撑。然而，开源软件的应用也带来了一系列挑战和风险，例如：

·安全风险:开源软件可能存在安全漏洞，容易被攻击者利用。

·合规风险:开源软件的许可证条款复杂，金融机构可能面临合规风险。

·运维风险:开源软件的版本更新频繁，金融机构需要投入大量资源进行维护。

·供应链风险:开源软件的供应链复杂，金融机构难以全面掌控其安全性。

一、重要标准解析

为了规范金融业开源软件应用、防范相关风险，中国人民银行与2024年1月发布并实施了《JR/T 0290-2024金融业开源软件应用管理指南》和《JR/T 0291-2024金融业开源软件应用评估规范》两项重要行业标准。（关注默安科技公众号，回复“金融开源软件标准”可获取两项标准全文。）

默安科技安全专家认为，针对这个标准体系，可以拆解为以下几个部分。

1.《JR/T 0290-2024金融业开源软件应用管理指南》要点

管理架构

制度层：明确决策团队（技术负责人）与管理团队（专项、技术、安全、法务人员）的职责分工，要求法务合规人员全程参与。

流程层：覆盖开源软件全生命周期（引入→使用→持续评估→退出），需建立制品仓库、开源台账、版本更新机制。

工具层：强制部署自动化工具（如漏洞扫描、许可证分析），推动管理平台与供应链可视化。

三类风险的管理

法律风险：开源许可证兼容性审查，避免传染性协议（如GPL）导致闭源受限。

安全风险：漏洞修复时效性（参考CVE标准），定期扫描高危组件。

供应链风险：追踪二级依赖，标记高风险社区（贡献者集中度>80%）。

成熟度模型与工具链

开源软件应用管理成熟度分三级，分别为探索级、提升级和成熟级。探索级要求进行人工记录、分散管理。提升级则注重流程制度化，需部署基础工具（SCA、制品仓库）。成熟级达到全流程自动化，集成管理平台与供应链地图。

2.《JR/T 0291-2024金融业开源软件应用评估规范》核心要求

引入评估阶段：初选评估分为许可证兼容性（宽松型协议优先）、社区活跃度（贡献者分布、代码提交量、版本更新频率）、安全漏洞修复率（漏洞数/发行时间×分支数）三个维度。终选评估中，则从性能压测（TPS、QPS、响应时间、CPU/内存占用率）；国产化兼容性（适配国产操作系统及数据库）；代码可维护性（模块化设计，注释量≥5%）这三个方面来进行。

维护评估阶段：分级管控从简单使用类（基础运维）到深度使用类（掌握容灾机制），再到定制开发类（代码自主可控）；持续监控要求建立指标阈值（性能、漏洞、许可证变更），定期生成报告。

退出评估阶段：新版本或替代组件需通过终选评估，强制兼容性验证；若许可证变更，需重新进行评估，审查合规性。

注：受限于篇幅，以上内容仅摘取重点部分。

二、复杂场景的问题与解决

场景1：多许可证冲突导致合规风险

问题：混合使用GPL、AGPL等传染性许可证，导致代码闭源受限。

解决步骤：

l建立许可证兼容矩阵：基于SPDX标准，工具化扫描依赖关系（如ORT工具），识别冲突点。

l法务-技术联合审查：制定白名单（优先MIT/Apache协议），隔离高风险组件至独立模块。

l案例参考：某银行通过“许可证沙箱”隔离GPL组件，避免代码传染。

场景2：供应链深度依赖引发断供风险

问题：关键组件依赖单一开源社区，上游停更或恶意代码注入。

解决步骤：

l供应链追溯地图：使用SCA工具，或人工运营的方式，可视化二级依赖，标记高风险社区（贡献者集中度>80%），形成组织内属于自己业务的。

l备用机制：同步评估同类组件（如Redis→KeyDB），制定热切换方案，定期演练。

l社区参与：定向培养内部贡献者，加入核心社区决策层，掌握技术路线话语权。

场景3：高危漏洞突发且修复滞后

问题：Log4j2级漏洞爆发，社区补丁延迟，业务面临瘫痪。

解决步骤：

热补丁自动化流水线：结合IaC（基础设施即代码），快速部署临时防护规则（如WAF拦截恶意请求）。

漏洞赏金计划：联合第三方白帽团队，定向挖掘并提交修复PR，缩短修复周期。

降级预案：启用轻量级替代组件（如换用Logback替代Log4j2），保障业务连续性。

三、实施建议

默安科技一线专家认为，金融机构在提升开源治理能力的过程中，可以从以三个方面推进。

自查与基线建设：生成SBOM（软件物料清单），识别现有系统的许可证与漏洞热点，部署基础工具链（SCA、制品仓库），建立开源台账。除此之外，还可以结合分层推进的成熟度模型，建立自己的初级、中级、高级的图谱、台账，作为安全建设目标。

分层推进成熟度：在基础级实现流程制度化，完成初选/终选评估。在进阶级，构建治理平台，集成自动化扫描与供应链地图。在成熟级，通过自动化工具链的建立以及流程的结合，实现针对软件供应链的自扫描、自备案、自巡检、自优化能力。

跨部门应急演练：每季度进行模拟许可证冲突、供应链断供、0day漏洞场景，测试响应流程的完备与有效性。

附：关键工具与资源

开源软件治理过程中涉及到的关键工具与资源，相关人员如果能熟练使用并深刻理解，能够达到事半功倍的效果。

•许可证管理：SPDX标准

•漏洞扫描：SCA以及IaC扫描、镜像扫描工具

•成熟度评估模板：参考《JR/T 0290-2024金融业开源软件应用管理指南》附录的成熟度自评表