金融科技领域聚焦自主创新与安全发展

2023年11月1日，南京，证券基金行业的信息技术应用创新联盟召开第三季度工作会议，聚焦于证券基金行业在自主创新与安全发展方面的实践。会议亮点之一是上海证券交易所技术公司、国家工业信息安全发展研究中心（简称“国家工信安全中心”）、南京证券、国金证券、恒泰证券和恒生电子共同发布的“行业云开源治理风险防范解决方案”。这一方案由恒生电子与国家工信安全中心联手推出，并在上证云上实现落地，旨在为证券期货行业机构提供一站式开源软件使用与管理服务，确保金融软件供应链的安全性。

随着开源技术的迅猛发展，金融信息系统越来越多地采纳开源技术，开源软件在加速金融机构科技创新和数字化转型方面扮演着关键角色。然而，伴随而来的是开源安全漏洞、许可证合规性、数据泄露风险以及开源软件管理的挑战日益凸显。为此，中国银行业监督管理委员会、中央网络安全和信息化委员会办公室等五部门于2021年联合发布《关于规范金融业开源技术应用与发展的意见》，为金融机构在开源技术的合理健康发展提供了指导。

在上交所的指导下，国家工信安全中心和恒生电子于2022年分别研发了开源软件代码安全检测工具和开源中心库管理工具，并在上证云中实施部署运行。经过与行业机构的多次验证性测试与产品迭代，双方最终携手推出了“行业云开源治理风险防范解决方案”。

此解决方案充分汲取证券期货行业在开源治理方面的实践经验与能力优势，针对金融机构在开源软件引入、使用、退出流程管理、软件资产台账建立、风险管控等方面的实际需求，为规范证券期货机构合理应用开源软件、提升应用水平与供应链安全性提供重要参考。

方案通过结合行业云端与用户本地端的协同机制，面向行业用户提供了包括自研及外购软件产品的开源风险检测、开源软件管控与基线组件运维服务在内的全面支持，旨在助力行业机构的开源治理能力持续提升。在行业云端，依托开源技术风险防范平台与中心库管理工具，强化了开源软件检测与管控能力；在用户本地端，则通过开源软件管理平台与云端平台的联动，提供了问题界定、漏洞规避、补丁修复等基线组件的全流程维护服务。

该解决方案已成功在南京证券、恒泰证券、国金证券等多家金融机构进行了实践，有效推动了机构的开源治理工作进程。

作为中国领先的金融科技公司，恒生电子自2019年起就开始关注开源风险，并逐步开展相关治理工作。依托自主研发的开源治理平台与工具，恒生电子构建了一套全面的开源治理体系，并与中国信息通信研究院合作发布白皮书，分享自身实践经验，以提升整个行业的开源治理水平。

通过此次解决方案的发布，恒生电子将借助其丰富的开源治理平台建设与治理经验，协助金融机构有效应对开源风险，进一步加强金融软件供应链的安全保障。