证券行业SCA开源风险治理实践

近日，悬镜安全成功中标国内领先的证券公司海通证券软件成分分析工具采购项目，中标产品为源鉴SCA开源威胁管控平台。

海通证券作为国内领先的证券公司之一，当下已基本建成涵盖证券期货经纪、投行、自营、资产管理、私募股权投资、另类投资、融资租赁、境外投行等多个业务领域的金融服务企业。海通证券始终秉承“科技引领”发展战略，以建设“敏捷化、平台化、智能化、生态化”为核心特征的“数字海通 2.0”为目标，坚持关键技术自主可控，深入推进金融科技创新，已成为行业数字化转型的探索者、先行者。

积极推进“数字海通2.0”建设，从源头风险治理开始

随着海通证券业务发展，软件开发生命周期中的开源组件使用日益增多，为满足内部安全要求，有效防控开源组件相关风险，并结合 DevOps 流程建设保障应用和软件知识产权与安全，特开展软件成分分析工具采购项目建设。根据海通证券内部软件开发现状，软件开发生命周期制定合理的开源治理方案，从源头控制不安全组件入口，全面检测第三方组件在入库及使用过程中的完整性、安全性、合规性、恶意代码以及版本问题，防范因第三方组件引发的应用系统攻击、法律风险和知识产权损失等问题。

风险预知，积极以对

检测应用第三方组件中的已知、可达漏洞

持续监控第三方组件在应用中的情况，检测其中本身存在的漏洞。由于攻击者可利用这些已知漏洞对应用系统发起攻击破坏，因此需建立完善的漏洞检测机制，及时发现并处理，确保应用系统安全。同时，基于漏洞的“可达性分析”技术，降低被声明引入但还未真正使用组件中的漏洞的优先级，能够帮助用户做出更合理的优先级决策，让有限的安全资源能够更加聚焦、高效的被利用。

检测第三方组件的软件许可问题

分析调用的第三方组件的许可证类型。目前，国际公认的开源许可证共有80多种。有的许可证对软件的使用方式几乎没有限制，用户几乎不用关心需要承担的责任，但是也存在一些限制性比较强的许可证，如果不小心调用，可能会带来较大的法律风险和知识产权的损失。通过将具备相似特征和风险的许可证自定义为许可证系列，并以系列为单位进行管理，结合对许可证冲突条款的持续监控预警，将极大程度简化用户在许可证合规治理过程中的复杂度。

检测第三方组件中的恶意代码问题

高度关注第三方组件中的恶意代码问题。恶意代码风险主要源于非正规渠道获取的被篡改组件或恶意开发者提供的组件。若未经确认将此类组件引入业务系统，会带来极大风险。因此，要建立严格的代码审查机制，对第三方组件进行深度扫描，精准识别恶意组件的名称、版本号、编程语言、投毒方式等信息，杜绝业务系统中恶意代码的进入和扩散。

引用版本过旧的第三方组件

虽然老旧的第三方组件所带来的风险相对较低，但仍需留意。由于其可能存在一些未知的、开发者未公布但已修复的 0day 漏洞，应将其视为潜在风险进行跟踪，在必要时进行更新或替换。

以软件物料清单为核心情报进行监测预警

数字供应链的分析与安全监测，同样需要自己的威胁情报。充分利用软件物料清单（SBOM）技术，已经成为业界对此的共识。通过匹配SBOM情报与自身数字资产，用户能够从漏洞和恶意代码两个维度，对第三方组件进行更具针对性的风险预警、威胁定位和响应处置。

六大核心引擎，打造数字供应链安全防线

基于以上背景，为了有效应对开源治理方面的挑战，经过多轮测试对比，海通证券最终引入悬镜安全源鉴SCA开源威胁管控平台，通过悬镜SCA自研专利级源码组件成分分析、制品成分二进制分析、容器镜像成分扫描、运行时成分动态追踪、代码成分溯源分析及开源供应链安全情报预警分析等六大核心引擎，快速反馈清单中的组件的漏洞风险和许可证风险。通过源鉴 SCA 工具的建设，海通证券可以对应用中的开源组件、可能存在的漏洞以及相关许可证风险进行全面且细致的关联聚合分析。一旦风险浮现，无论是在引入源头环节、开发过程中，还是在运行监控阶段，甚至是管理层面，都能够凭借该平台快速精准地定位漏洞所在，并及时实施修复。这种多维度的管控模式，形成了一个严密的闭环，如同坚固的防线一般，全面治理开源威胁，为海通证券的业务发展和信息安全保驾护航，确保其在金融科技领域的稳健前行。

源鉴SCA开源治理工具融入DevOps流程建设

敏捷安全赋能，润物细无声

CI 流水线与代码库、私服库

在软件开发过程中，CI（持续集成）流水线扮演着关键角色。它与代码库和私服库紧密相连。代码库是代码的存储中心，私服库则是存放第三方依赖或内部共享组件的地方。CI 流水线会从代码库获取代码，并在构建过程中从私服库获取所需的依赖。对于 CI 流水线的管控，要确保其对代码库和私服库的访问安全，防止恶意篡改或引入不安全的元素。同时，要保证代码从代码库到 CI 流水线的传输完整性，以及私服库中组件的合法性和安全性。

重点业务系统与非重点业务系统

重点业务系统由于其对公司运营的关键作用，需要更高标准的安全防护。相比之下，非重点业务系统的安全优先级稍低。在资源分配和安全策略实施上，要优先保障重点业务系统的安全。对于重点业务系统所使用的代码和组件，无论是开源还是内部开发，都要经过严格审查和测试。在出现安全风险时，重点业务系统的修复要优先于非重点业务系统，以降低对核心业务的影响。

直接依赖与间接依赖

直接依赖是项目中直接引用的组件或库，对项目的运行有着直接影响。而间接依赖则是依赖项的依赖，其关系更为复杂。在安全管理中，要更关注直接依赖的安全性，因为它们与业务逻辑的联系更紧密。但也不能忽视间接依赖可能带来的风险，需要进行全面的依赖分析，确保整个依赖链的安全。

风险等级与利用难度

严重风险、高危风险和中危风险需要我们重点关注和修复，低危风险由于影响较小可不进行修复。同时，利用难度也是评估风险的一个因素。利用难度容易的风险要优先处理，因为它们更容易被攻击者利用。根据修复建议实施的困难程度，若修复困难较大，可以考虑使用临时措施来降低风险，保障系统在修复期间的安全性。

截至目前，作为新一代开源数字供应链安全审查与治理平台，源鉴SCA开源威胁管控平台已连续四年在市场应用率领先，在国内首批通过供应链安全检测工具类-增强级（编号CSPEC-GGJ2401001）认证，并广泛实践于金融、泛互联网、政企、通信、能源等行业头部用户，帮助用户从引入源头、开发过程、运行监控、管理等多维度闭环治理开源威胁。身为全球数字供应链安全开拓者与引领者，悬镜安全将持续深耕数字供应链安全关键技术研究突破与实践创新，通过AI大模型技术深度赋能基于“智能供应链安全管理平台+敏捷安全工具链+AI安全情报预警”的第三代DevSecOps数字供应链安全管理体系，积极发挥先行者的产业生态影响力，加强行业生态协同，助力企业用户数智化转型升级和高质量发展，真正实现数字供应链安全能力质的飞跃，守护中国数字供应链安全。