JR_T0290-2024金融业开源软件应用管理指南.docx

上传人:王** 文档编号:994643 上传时间:2024-03-13 格式:DOCX 页数:15 大小:123.05KB
下载 相关 举报
JR_T0290-2024金融业开源软件应用管理指南.docx_第1页
第1页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第2页
第2页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第3页
第3页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第4页
第4页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第5页
第5页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第6页
第6页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第7页
第7页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第8页
第8页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第9页
第9页 / 共15页
JR_T0290-2024金融业开源软件应用管理指南.docx_第10页
第10页 / 共15页
亲,该文档总共15页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《JR_T0290-2024金融业开源软件应用管理指南.docx》由会员分享,可在线阅读,更多相关《JR_T0290-2024金融业开源软件应用管理指南.docx(15页珍藏版)》请在优知文库上搜索。

1、ICS35.240.20CCSA11JR中华人民共和国金融行业标准JR/T02902024金融业开源软件应用管理指南Opensourcesoftwareapplicationsinfinancialindustry-ManagementguideIines2024 - 01 - 15 实施2024-01-15发布中国人民银行目次前言11弓I言III1范围12规范性引用文件13术语和定义14管理架构15配套组织架构26配套管理规章制度27生命周期流程管理38风险管理69存量管理710工具化管理711开源软件应用管理评估方法8参考文献11本文件按照GB/T1.1-2020标准化工作导则第1部分:标

2、准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由北京金融科技产业联盟提出。本文件由全国金融标准化技术委员会(SAC/TCI80)归口。本文件起草单位:中国人民银行科技司、北京金融科技产业联盟、上海浦东发展银行股份有限公司、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、平安银行股份有限公司、深圳前海微众银行股份有限公司、中国光大银行股份有限公司、北京国家金融标准化研究院有限责任公司、中信百信银行股份有限公司、浙江网商银行股份有限公司、中国银联股

3、份有限公司、网联清算有限公司、华为技术有限公司、腾讯云计算(北京)有限责任公司、阿里云计算有限公司。本文件主要起草人:李伟、陈立吾、周祥昆、詹志建、刘帅、潘润红、聂丽琴、胡达川、李寻、万化、杨欣捷、弓豪怡、江一鸣、徐翥、孙刚、刘阳、闫晓林、刘建珍、王丽静、黄凯、金磐石、李鑫、胡军锋、张兰英、朱礼华、冯志强、郝巍、杜胜、丛洋、刘玉花、周夕崇、谢彦丽、张晋铳、李佳凝、薄舜添、周欢、辛子英、陆碧波、赵峰、边思康、周继恩、弓祎斌、杨阳、郭林、薛松源、吴涛、白阳、耿航、董宾、陈明、胡伟琪、王晶昱。开源软件与传统闭源软件相比,在技术安全与运维等方面存在较多外部影响因素,可能导致安全合规问题。因此金融机构在

4、应用开源软件时,宜对开源软件进行体系化的统一管理,提高应用效率,降低潜在风险。本文件旨在针对开源软件特性提出对应的全流程管理方法,提升金融机构开源软件管理能力,控制开源软件应用风险。本文件可作为金融机构开源软件应用管理的参考标准,也可作为行业主管部门开展相关工作的参考依据。金融业开源软件应用管理指南1范围本文件提供了金融机构在应用开源软件时的全流程管理指南,对开源软件的使用和管理提供了配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导。本文件适用于金融机构规范自身对开源软件引入、使用及退出的过程管理以及风险管控。2规范性引用文件下列文件中的内容通过文中

5、的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 284582020GB/T 302762020GB/T 302792020信息安全技术 信息安全技术 信息安全技术网络安全漏洞标识与描述规范网络安全漏洞管理规范网络安全漏洞分类分级指南JR/T0289-2024金融业开源技术术语JR/T02912024金融业开源软件应用评估规范3术语和定义JR/T0289-2024界定的术语和定义适用于本文件。4管理架构开源软件管理架构如图1所示,其中包括配套组织架构、配套管理规章制度、生命周

6、期流程管理、风险管理、存量管理和工具化管理等6部分内容,覆盖2个制度要素和3个技术管理流程,宜配置1个管理工具。金融机构可通过对以下3个层面的管理效果开展成熟度自评估,不断完善整体技术管理能力。a)制度层面:在配套组织架构和配套管理规章制度上设置针对开源软件应用的管理要求。b)流程层面:在开源软件从引入到退出的生命周期流程管理、风险管理和存量管理等3个方面提出管理要求。O工具层面:宜通过构建基础设施支撑开源软件管理,引入或搭建自动化工具提高管理效率。制度层面配套组织架构配套管理规童制度流程层面生俞周期流程管理仄曾叫项卷国画画o退出管理风险管理存管理开源软件应用管理评估工具博面工具化管理图1开源

7、软件管理架构5配套组织架构5. 1总则金融机构宜健全开源软件应用管理的配套组织架构,明确职责分工。配套组织架构中主要包括决策团队和管理团队。5.2 决策团队决策团队第一负责人宜为金融机构技术条线总责任人,负责决策和发布开源软件应用管理规章制度、管理流程和管理策略.5.3 管理团队管理团队可为实体组织或虚拟型组织,负责制定和执行开源软件管理规章制度和管理流程,至少包含以下岗位人员及岗位职责。a)专项人员:负责起草与维护开源软件管理规章制度和管理流程,并负责开源软件全生命周期日常管理的具体工作。b)技术人员:负责对各类开源软件开展技术评估与运行维护工作。c)安全人员:负责识别和跟踪开源软件安全漏洞

8、风险和修复情况,实现全程可视、可追溯。d)法务合规人员:针对开源软件引入和使用过程中所涉及的知识产权等法律问题,负责给出专业的法律建议,提供法务支持。在管理团队中,除法务合规人员外,其余岗位人员及岗位职责可根据金融机构内部实际资源配置情况,选择职责兼并、一岗多责等形式建立和完善配套组织架构。6配套管理规章制度1.1 生命周期管理对开源软件在引入、使用及退出的全生命周期提出明确的管理规定,至少覆盖以下方面。a)引入管理:制定开源软件引入流程规范,确保流程的统一性,明确要求开源软件经评估通过后再正式引入。b)使用管理:制定内部开源软件使用规范,统一开源软件使用规则。c)持续评估:针对开源软件应用过

9、程中的风险点进行持续跟踪,规范各环节管理举措,至少包括以下措施。版本管理:制定开源软件的版本规范,宜明确更新版本及推荐版本,通过可信下载源获取并在制品仓库中统一管理。持续跟踪:明确开源软件全生命周期中应识别和处置的风险点,安排专项人员对其进行登记和追踪,并反馈相关人员进行处置。d)退出:建立健全开源软件退出规则与操作流程,确保所制定的退出规则不与整体研发和运维基线要求发生冲突。1.2 应急处置管理针对开源软件出现重大安全漏洞、停服等突发情况,宜制定特定或整体的开源软件应急处置预案,规范应急处置流程,合理安排预案演练,做到及时有效地实施应急处置工作,降低风险影响。7生命周期流程管理7. 1总则金

10、融机构宜建立开源软件流程管理机制,规范开源软件全生命周期中重点环节的管理举措。开源软件生命周期流程管理环节如图2所示。图2开源软件生命周期流程管理环节7.1 引入管理金融机构建立开源软件引入流程时,宜对引入的开源软件进行全面记录;在引入评估时宜充分考虑各类开源软件的差异性。开源软件引入管理流程如图3所示,主要包括以下事项。a)引入评估: 对开源软件进行分类分级,例如根据开源软件技术领域、软件语言、软件颗粒度等进行分类分级。 按照不同的分类分级标准,安排相应专业领域的技术人员对拟选用的开源软件进行评估。 按照JR/T0291-2024中的引入评估内容对各类开源软件进行综合评估。b)信息管理:一对

11、引入的开源软件建立清单,详细记录开源软件版本、开源许可证等信息。 构建制品仓库,安排专人对开源软件的来源进行统一控制和管理。图3开源软件引入管理流程图7.2 使用管理金融机构宜明确开源软件使用规则,依据开源软件类别进行统一管理,至少建立开源软件应用台账,保证开源软件使用有迹可循。开源软件使用管理流程如图4所示,主要包括以下事项。a)从制品仓库获取相关介质,不宜自行下载。b)依据开源软件使用情况建立台账,实时记录开源软件的使用版本、使用部门、系统名称、联系人等,保证开源软件的使用情况可追溯,并安排技术人员对开源软件提供运维支持。图4开源软件使用管理流程图7.3 持续评估金融机构宜持续关注开源软件

12、使用过程中存在的风险情况,进行监控、登记、反馈,根据风险类型快速采取措施并及时处置,避免造成安全合规等方面问题,开源软件持续评估流程如图5所示。评估内容主要包括以下事项。a)安全漏洞评估:一持续评估开源软件安全漏洞信息,评估是否存在公共信息渠道中公开的安全漏洞信息。一安全人员对安全漏洞进行登记,形成安全漏洞详情文件,包括安全漏洞详情、受影响的软件及其版本,并将安全漏洞信息及时反馈给相关使用部门和技术人员,可结合GB/T302762020、GB/T302792020相关要求进行处置。b)版本评估:以开源基础软件为主,定期评估是否存在版本过低、更新频次过低等问题,对于需要废除的软件版本或软件,通知

13、相关人员进行版本升级或软件更换。c)开源许可证评估:以开源基础软件为主,定期跟踪开源许可证情况,出现开源许可证变更时,更新软件清单并重新评估开源许可证是否为著佐权许可证、是否存在开源许可证兼容性问题等风险。图5开源软件持续评估流程图7.4 退出管理当金融机构所应用的开源软件已无法满足功能需求和性能需求、发现当前版本存在重大风险隐患或该开源软件已停止更新等情况时,宜进行退出评估。可按照JR/T02912024中的有关要求,对于评估后需退出的开源软件,制定退出计划,进行统一记录和管理,建立对应的流程化管理机制,开源软件退出管理流程如图6所示。开源软件的退出可通过开源软件版本升级或开源软件更换来实现

14、,主要包括以下事项。a)升级机制:一一制定开源软件版本更新方案,存在软件版本收敛需求时,宜明确推荐的版本。一一定期升级为推荐版本。一升级版本时,按照7.2履行对应的评估工作。b)更换机制:一一制定开源软件更换方案。一一按照7.2履行对应的评估工作。c)退出机制:一定期评估之后,有规划地对开源软件进行退出操作。一进行退出操作后,及时通知相应人员更新相关信息、。8风险管理8. 1总则金融机构宜建立开源软件风险管理机制,对开源软件全生命周期中存在的风险点作出识别、记录,进行动态管控与及时处置。9. 2风险识别为提高开源软件风险防范意识,金融机构可通过以下风险点进行识别。a)法律风险:一根据潜在的定制

15、开发需求、所应用的业务系统重要等级等因素,评估开源许可证在发生变更、出现兼容性问题、未履行开源许可证要求时,可能出现侵害知识产权的风险。一一对于不存在专利许可条款说明的开源许可证,可通过专业的法务合规人员进行评估。b)安全漏洞风险:在引入开源软件前进行漏洞扫描,排查是否存在安全漏洞,以及评估安全漏洞的等级。c)供应链风险:在开源软件使用过程中,注意上游社区资源发生转移、源码或文档中承载政治主张、恶意代码注入等风险。对于第三方服务商提供的开源软件或开源代码,宜要求第三方服务商在可交付成果中提供开源软件或开源代码的相关信息。8. 3风险记录专项人员对开源软件风险点进行记录与及时反馈,主要包括以下事项。a)持续评估:对开源软件的安全漏洞、版本、开源许可证等信息进行全面、统一记录。b)建立内部沟通机制:安排技术人员、安全人员及法务合规人员对风险进行管控,遇到问题宜及时通过内部沟通渠道反馈给相关人员。9. 4风险处置金融机构对识别发现的开源软件风险问题进行分析,并制定处置方案,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > Java

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!