您好,您的问题非常好,这也是中小银行的痛点问题。我觉得这可能属于一个更高层面——“开源治理”的范畴,需要有一系列的管理和技术手段进行管控,不是一个工具、一个部门能够独立完成的。我觉得
它至少包括下列3方面的内容:
1、准入标准。建设完善的企业级开源软件安全评估与引入流程。
2、安全管控。具备强大的开源组件安全管控能力,包括已有的开源软件使用情况梳理、及时获取开源软件安全漏洞信息、对开源组件的安全测试等能力。
3、修复或退出机制。实现安全漏洞的快速定位,通过对开源软件的修复或退出,快速解决问题,并考虑出现重大问题后的法务解决方案。
目前,我们行是通过一些流程进行管控的,比如架构部门的评审、安全部门的安全扫描测试等,发现问题通知整改等手段进行管控。但我们也是刚刚起步,感觉还存在职责不清晰、覆盖不全面、缺乏长效机制等问题,治理效果还有待进一步提升,咱们可以持续探讨这个问题。