金融科技领域聚焦自主创新与安全发展

10月27日，证券基金行业信息技术应用创新联盟在南京举办第三季度工作会议，重点探讨了证券基金行业的自主创新与安全发展实践。会上，上海证券交易所技术公司、国家工业信息安全发展研究中心（简称“国家工信安全中心”）、南京证券、国金证券、恒泰证券和恒生电子联合发布了“行业云开源治理风险防范解决方案”。这一方案由恒生电子携手国家工信安全中心推出，并成功应用于上证云平台，旨在为证券期货行业机构提供一站式开源软件使用与管理服务，保障金融软件供应链安全。

开源技术与金融系统的融合

随着开源技术的迅速发展，金融信息系统正越来越多地采纳开源技术。开源软件在促进金融机构科技创新和数字化转型方面扮演着关键角色，但同时也带来了开源安全漏洞、许可证合规、数据泄露风险、以及开源软件管理等方面的挑战。

国家政策指导与行业实践

2021年，中国人民银行、中央网信办等五部门联合印发了《关于规范金融业开源技术应用与发展的意见》，从正确应用开源软件和构建开源生态体系的角度出发，为金融机构在开源技术领域的健康发展提供了建设性指导。

上交所引领下的技术创新

在上交所的指导下，国家工信安全中心和恒生电子分别研发了开源软件代码安全检测工具和开源中心库管理工具，并在上证云上成功部署运行。经过与行业机构的多次验证性测试和产品迭代，双方最终共同推出了“行业云开源治理风险防范解决方案”。

解决方案的核心价值

该解决方案充分汲取了证券期货行业的开源治理经验和能力优势，针对金融机构在开源软件引入、使用、退出流程管理，软件资产台账建立，以及风险管控等方面的需求，提供了全面的指导与支持，旨在规范证券期货机构对开源软件的应用，提升其应用水平和供应链安全。

双向协同与服务升级

方案基于行业云端和用户本地端的双向协同，面向行业用户提供了自研及外购软件产品的开源风险检测、开源软件管控和基线组件运维服务，助力行业机构的开源治理能力持续提升。在行业云端，依托开源技术风险防范平台和中心库管理工具，强化了开源软件的检测与管控能力；在用户本地端，开源软件管理平台与云端平台联动，提供了包括问题界定、漏洞规避、补丁修复在内的全流程维护服务。

实践案例与行业影响力

该解决方案已经在南京证券、恒泰证券、国金证券等多家金融机构实施，有效地促进了机构的开源治理工作。作为国内领先的金融科技公司，恒生电子自2019年起就开始关注开源风险并开展治理工作，通过自主研发的开源治理平台和工具，构建了一套包含人员、流程、平台与工具的全面开源治理体系，并与中国信通院合作发布白皮书，分享实践经验，提升整个行业的开源治理水平。

推动金融软件供应链安全

借助此次解决方案的发布，恒生电子将通过其丰富的开源治理平台建设和治理经验，助力金融机构有效应对开源风险，进一步加强金融软件供应链的安全保障。