原创力文档金融机构开源软件安全治理思考与实践
背景与挑战治理策略与实践思考与体会
监管要求安全问题不容小觑国家信息安全形势内部管理要求开源软件快速发展AI云计算移动互联网背景大数据
开源软件种类和数量规模巨大存在安全漏洞众多数量众多关系复杂广泛的直接引用错综复杂的间接引用成本较高大量应用系统升级改造大量的回归测试情况多变版本不断升级漏洞不断发现挑战
背景与挑战治理策略与实践思考与体会
总体思路仓库管理漏洞扫描工具流程平台配置平台漏洞处置平台策略层增量控制存量治理持续改进制度层建立开源软件管理的制度依据严格 安全使用 安全退出准入 持续监测流程层工具层兼顾安全与发展
外防输入存量治理制定标准内防扩散持续监测度量与评价摸清家底治理策略
摸清家底搭建统一管理的开源软件仓库构建引用关系自动化分析能力搭建自动化的漏洞排查工具不知道有哪些?不知道谁在用?不知道安全吗?
制定标准接受什么拒绝什么关注什么???风险偏好差异化管理
外防输入互联网功能测评安全测评协议审查13安全使用合法来源例外使用构建环节阻断风险引入环节严格把关2不知道从哪里来?不知道能不能用?
内防扩散存量的不安全组件新发现漏洞的组件例外引入的组件限制使用白名单漏洞组件不 安安 全全 的组 组件 件的 新使 发用 现范 了围 漏扩
文档评论(0)