某国资证券公司是国内领先的资本市场综合服务商,拥有数十家分公司、数百家营业网点,依托自身的营业网点为客户提供“专业化、个性化、品质化”的综合金融服务。该公司正处于数字化转型的加速期,在财富管理、智能投行等都可以看到其主动拥抱数字化的身影。得益于数字化转型战略的坚定开展,该证券公司的业务不断实现突破。
随着数字化程度的加深,强大的金融信息科技帮助该公司实现业务变革、为客户提供更高质量的金融服务,同时也令其面临着巨大的软件供应链安全威胁。
近年来,软件供应链安全攻击事件频发,据 Sonatype今年发布的报告显示,仅19至21年三年,安全事件的年平均增长率即达到了 742%。
信息科技外包供应商,作为弥补传统金融机构信息技术短板的专业力量,在金融机构数字化转型道路上承担着越来越重要的角色。但因部分供应商对产品安全性重视程度不足,导致第三方供应商产品安全质量参差不齐,软件供应链存在较大的安全隐患。
金融机构在享受着开源技术带来的便利和高效时,也面临着安全与合规风险。据新思科技2022年报告显示:金融行业被扫代码库中使用开源的比例为97%;其中就有53%的代码库含开源漏洞,51%的代码库存在严重的安全风险与合规风险。
该证券公司深知数字化转型进程中,发展与安全应“并驾齐驱”,也洞察到软件供应链安全对公司金融科技业务持续发展的重要性,因此选择了开源网安进行合作,共同构建软件供应链安全管理体系。开源网安依据丰富的软件供应链安全实践经验,为该证券公司提供软件供应链安全管理体系和治理方案,助力完成软件供应链安全管理体系的建设、试行和验证。
开源网安发挥专业的安全咨询服务能力,基于该证券公司实际情况(业务类型、行业属性、部门要求等),协助该公司进行软件供应链安全治理思路探索,并完成安全需求设计与管理体系的制定。为内外部所有软件系统,在开发/采购、交付/上线、运维/使用等场景中,设置软件供应链安全检测技术标准与检测规范。为供应商管理制定完善的管理标准、规范与制度,帮助该证券公司提升供应商安全管理能力,降低第三方科技外包带来的安全风险。
通过开源网安软件供应链安全检测与管理平台,落实软件供应链安全技术标准,将复杂多维的安全检测工具平台化。在开发、交付、运维等环节,全方位识别软件供应链安全风险、对供应商的安全承诺进行审查确认、对承载软件运行的ICT设备设施进行安全评估等。
打造立体主动安全防御体系:软件供应链安全态势感知+软件安全威胁情报中心。实现软件供应链安全与合规风险实时监测、高效响应、有效防御,提升安全威胁感知与风险应对能力。
通过一系列的软件供应链安全管理体系建设与治理方案设计,开源网安助力该证券公司完成软件供应链安全管理能力的优化升级,提升软件供应链安全威胁感知与风险应对能力,面对安全风险既能“有力处置”又能“有效预防”,高效提升软件供应链安全性,为数字化转型业务高质量发展保驾护航。
未来,开源网安也将持续发力,通过不断的技术迭代与实践沉淀,为更多金融行业客户提供软件供应链安全解决方案,助力金融机构构筑更具“安全韧性”的软件供应链。
推荐阅读