WG10正式启动！共话证券基金行业开源软件治理

聚焦源代码安全，网罗国内外最新资讯！

6月28日，国家工业信息安全发展研究中心（以下简称“中心”）线上组织召开了证券基金行业信息技术应用创新联盟开源软件与供应链安全工作组首次全体成员大会。开源软件与供应链安全工作组（以下简称“WG10”）为证券基金行业信息技术应用创新联盟（以下简称“联盟”）下设工作组，由国家工业信息安全发展研究中心牵头，联合证券基金等行业用户、科技企业及研究机构等共同成立，聚焦证券基金行业开源软件应用和供应链安全，积极推动开源软件相关标准规范、技术能力、评估认证体系建设。上海证券交易所信创基地（以下简称“基地”）专员钟浪辉、联盟常务副秘书长左天祖、国家工信安全中心软件所所长潘妍线上参会并致辞。工作组60余家成员单位参加了本次会议。

钟浪辉博士从优化升级产业链供应链的角度，首先阐述了基地和联盟成立的背景与意义，并着眼于行业开源技术健康可持续发展，明确了WG10协助基地完成开源治理工作、维护行业开源生态的工作定位和工作方向，提出了依托工作组构建行业开源生态的总体框架。左天祖副秘书长表示，联盟高度重视WG10工作组，会全力做好对工作组的服务支撑工作，希望工作组加快步伐有序推进后续工作的开展。

潘妍所长在致辞中表示，开源技术已成为新一代信息技术发展的基础和动力，尤其在推动金融机构信息技术应用创新工作深化和数字化转型方面发挥着积极的作用。然而，开源技术的应用也面临着安全漏洞、许可证合规、核心技术可控力不足等风险，为支撑行业开源技术的合理应用与可持续发展，WG10将从强化标准牵引、推动评估认证、加强生态联动三个方面发力，与产业各界共同营造相互支撑、协同并进、有效联合的开源技术应用生态，护航开源技术在证券基金行业健康可持续发展。

会上，中心作为组长单位，向全体成员单位详细介绍了工作组的成立背景及整体情况，发布了工作组的章程和工作计划；副组长单位代表兴业证券股份有限公司、海通证券股份有限公司和成员单位代表腾讯云计算（北京）有限责任公司、中电科数字技术股份有限公司、奇安信科技集团股份有限公司分别结合自己的相关工作，围绕开源软件应用现状、开源软件治理实践路径和相关案例等进行了分享，为工作组后续工作开展提供了宝贵经验。

奇安信科技集团股份有限公司作为唯一安全厂商代表，介绍了常见的开源软件风险、奇安信在开源软件安全方面所做的工作和未来计划。奇安信提到，目前常见的开源安全风险有五类：开源开发者恶意提交行为、开源软件恶意代码（后门/投毒）攻击、依赖混淆攻击、恶意开源软件攻击、开源软件漏洞攻击。开源软件还面临知识产权风险和运维风险。为此，监管机构陆续出台政策，促进开源软件健康发展。奇安信认为，治理开源软件供应链安全要打“团体赛”，国家与行业监管机构、最终用户、软件厂商等应协同提升开源软件供应链安全管理水平。

奇安信在2019年推出开源卫士，它是国内首款商用开源软件安全治理工具。开源卫士支持20多种编程语言的8000万+开源软件版本识别，支持源代码、二进制、容器镜像、操作系统的开源软件成分分析，兼容NVD、CNNVD、CNVD等多个漏洞情报来源，已应用于银行、保险、企业等多个行业客户。此外，开源卫士目前已与多种企业开发测试工具链集成，帮助企业落地DevSecOps。奇安信基于自研产品和漏洞研究能力，发起国内最大的公益性“开源项目检测计划”，并从2021年起发布年《中国软件供应链安全分析报告》，致力于提升开源软件供应链的安全性。

未来，奇安信将与其它厂商一起依托WG10平台，参与相关标准制定、技术研究、报告撰写以及行业公共平台建设等工作，保护开源软件安全。

下一步，中心将充分发挥WG10组长单位的带头作用，组织协调工作组成员单位广泛开展合作交流，实现优势互补、互利共赢、共同发展，支撑基地完成开源治理各项工作，推动建设行业良好开源生态，助力证券基金行业开源技术和应用高质量发展。

欢迎致力于促进证券基金行业开源生态建设的各相关单位积极加入WG10，具体事项可咨询工作组联系人：

狄晓晓，13051808033（微信同号）

石砳磊，13810579845（微信同号）

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

奇安信两案例入选信通院2022安全守卫者计划优秀案例

奇安信开源卫士率先通过可信开源治理工具评估

奇安信开源组件安全治理解决方案——开源卫士

开源邮件平台Zimbra 出现新漏洞，用户登录凭据可被盗

题图：公众平台

转载请注明“转自奇安信代码卫士 ”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 “赞” 吧~