当今物联网、大数据、5G、AI等前沿科技已广泛渗透至各行各业，而这些主流技术均采用了大量的开源技术以及开源生态产品。随着开源软件在金融行业软件开发中的占比持续攀升，其隐含的安全风险也愈发显著。

为有效规范金融行业开源软件的引入和应用，各监管机构纷纷出台相关政策。2021年10月20日，中国人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》，旨在规范金融机构合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展。2024年1月15日，中国人民银行发布三项开源软件相关标准：《JRT 0289—2024 金融业开源技术 术语》《JRT 0290—2024 金融业开源软件应用 管理指南》《JRT 0291—2024 金融业开源软件应用 评估规范》，为各金融机构实施开源软件管理和应用评估提供了新的方向指引。

在此背景下，中金金融认证中心（CFCA）积极响应监管要求，并充分考虑客户需要，以安全为核心，推出一体化开源软件治理方案。该方案分为管理和技术两个方向，具体包括：开源软件管理制度/组织架构建设咨询、开源软件引入标准管理、开源软件治理工程化培训、开源软件合规性检测等服务。同时，CFCA建设了开源软件自动化检测平台，可为客户提供代码溯源、许可证分析、漏洞分析等定制化服务。

方案优势

多样的服务形式

单次指纹检测/源码检测：CFCA可提供工具提取源码指纹或客户直接提供源码，对目标系统进行组件分析、许可证分析、漏洞分析并出具检测报告，检测无源码泄漏风险，且效率高、费用低。

综合服务：CFCA通过提供专业技术人员与平台，协助客户建设开源安全治理体系、部署平台及开展培训，全方位支持客户满足开源软件治理的合规要求。

丰富的项目经验

CFCA已开展了大量代码审计工作，在审计过程中，一直重点关注开源软件的代码审计和漏洞审查，积累了大量的工作经验。凭借丰富的经验，针对行业新需求，CFCA为某全国性银行实施了多项开源软件治理工作，包括制度建设咨询、管理制度落地审查及合规性检查等。

广泛的适用范围

CFCA开源软件治理方案适用于数字化和信息化应用的各个领域，包括金融和非金融领域。如：具有自主开发需求的机构；通过技术外包、商业采购等方式引入了开源代码、开源组件、开源软件和基于开源技术的云服务的机构。同时，开源软件治理是金融信息技术创新应用工作开展的重点，所有涉及金融信息技术创新应用改造的机构也需开展开源软件治理工作。

未来，CFCA将继续以数字安全为基础，积极开展新型数字安全生态研究与服务模式的创新，针对开源技术治理等新需求持续推进新业务研发与优化，为行业发展提供安全可靠的产品、服务及解决方案，为数字金融健康发展贡献力量。