开源网安携手国资证券机构，让金融软件供应链更具“安全韧性”

某国资证券公司是国内领先的资本市场综合服务商，拥有数十家分公司、数百家营业网点，依托自身的营业网点为客户提供“专业化、个性化、品质化”的综合金融服务。该公司正处于数字化转型的加速期，在财富管理、智能投行等都可以看到其主动拥抱数字化的身影。得益于数字化转型战略的坚定开展，该证券公司的业务不断实现突破。

数字化发展与安全应并驾齐驱，软件供应链安全风险亟需重视

随着数字化程度的加深，强大的金融信息科技帮助该公司实现业务变革、为客户提供更高质量的金融服务，同时也令其面临着巨大的软件供应链安全威胁。

01 外部软件供应链安全风险频发

近年来，软件供应链安全攻击事件频发，据 Sonatype今年发布的报告显示，仅19至21年三年，安全事件的年平均增长率即达到了 742%。

02 第三方科技外包产品安全质量参差不齐

信息科技外包供应商，作为弥补传统金融机构信息技术短板的专业力量，在金融机构数字化转型道路上承担着越来越重要的角色。但因部分供应商对产品安全性重视程度不足，导致第三方供应商产品安全质量参差不齐，软件供应链存在较大的安全隐患。

03 开源技术带来安全与合规风险

金融机构在享受着开源技术带来的便利和高效时，也面临着安全与合规风险。据新思科技2022年报告显示：金融行业被扫代码库中使用开源的比例为97%；其中就有53%的代码库含开源漏洞，51%的代码库存在严重的安全风险与合规风险。

共建软件供应链安全管理体系，为金融数字化转型保驾护航

该证券公司深知数字化转型进程中，发展与安全应“并驾齐驱”，也洞察到软件供应链安全对公司金融科技业务持续发展的重要性，因此选择了开源网安进行合作，共同构建软件供应链安全管理体系。开源网安依据丰富的软件供应链安全实践经验，为该证券公司提供软件供应链安全管理体系和治理方案，助力完成软件供应链安全管理体系的建设、试行和验证。

01 构建软件供应链安全管理体系

开源网安发挥专业的安全咨询服务能力，基于该证券公司实际情况（业务类型、行业属性、部门要求等），协助该公司进行软件供应链安全治理思路探索，并完成安全需求设计与管理体系的制定。为内外部所有软件系统，在开发/采购、交付/上线、运维/使用等场景中，设置软件供应链安全检测技术标准与检测规范。为供应商管理制定完善的管理标准、规范与制度，帮助该证券公司提升供应商安全管理能力，降低第三方科技外包带来的安全风险。

02 搭建技术支撑平台，落实软件供应链安全标准

通过开源网安软件供应链安全检测与管理平台，落实软件供应链安全技术标准，将复杂多维的安全检测工具平台化。在开发、交付、运维等环节，全方位识别软件供应链安全风险、对供应商的安全承诺进行审查确认、对承载软件运行的ICT设备设施进行安全评估等。

03 打造立体的安全防御体系，提升软件供应链安全管控能力

打造立体主动安全防御体系：软件供应链安全态势感知+软件安全威胁情报中心。实现软件供应链安全与合规风险实时监测、高效响应、有效防御，提升安全威胁感知与风险应对能力。

通过一系列的软件供应链安全管理体系建设与治理方案设计，开源网安助力该证券公司完成软件供应链安全管理能力的优化升级，提升软件供应链安全威胁感知与风险应对能力，面对安全风险既能“有力处置”又能“有效预防”，高效提升软件供应链安全性，为数字化转型业务高质量发展保驾护航。

未来，开源网安也将持续发力，通过不断的技术迭代与实践沉淀，为更多金融行业客户提供软件供应链安全解决方案，助力金融机构构筑更具“安全韧性”的软件供应链。