上海站——开源治理行业最佳实践研讨会

2023年5月27日，OWASP中国联合网安加社区于上海成功举办“开源治理行业最佳实践研讨会”。研讨会聚焦金融行业开源治理、软件供应链安全等新的安全实战需求，邀请了中兴通讯开源合规&安全治理总监项曙明、中银证券科技风险与安全负责人蒋琼、中银证券开发安全专家饶滔和某跨国企业CSO赵锐出席演讲并分享各自行业的开源治理实战经验。同时，会议吸引了来自众多金融机构的安全与开发等管理人员参与，共同进行研讨与交流。

首先，网安加学院宋院长做了开场介绍，他指出，近年来开源技术在金融业各领域得到广泛应用，在推动金融产业创新和数字化转型方面发挥着积极作用，但同时也面临安全可控等诸多挑战。掌握开源技术、防范开源风险、提升科技水平成为金融机构使用开源的首要任务，希望通过此次研讨会支撑金融等相关行业的开源生态建设，为软件的高质量稳步发展保驾护航。

中兴通讯开源合规&安全治理总监项曙明分享了《企业安全开源管控》，他指出，开源的开源软件许可证&知识产权合规风险涉及到知识产权风险、供应链风险、安全风险、技术演进复杂性风险四类。企业应根据企业经营模式和特点，资源投入以及结合外部环境及要求，进行企业开源风险场景分析，制定适合企业长期发展的开源风险治理机制。如做好企业开源安全管理的两点一线，管控好开源软件和“产品版本”以及构建管控保证机制；构建开源软件安全治理架构，包括构建企业合规安全一体化管控机制、产品版本全生命周期开源漏洞管控机制、管控机制内嵌企业业务流程和构建有效的IT工具流等。

某跨国企业CSO赵锐分享了《DevSecOps中的开源风险治理》，他首先详细介绍了DevSecOps中的开源风险：包括软件组件、依赖项、许可证、二进制风险等，并给出开源风险治理方案建议，如从管理组织、识别开源成分、修复已知开源漏洞和建立开源危险情报体系等入手，并要时常更新开源组件，以及做好“安全左移”工作。

某跨国企业CSO赵锐

中银证券科技风险与安全负责人蒋琼和开发安全专家饶滔共同分享了《科技风险运营体系建设之开源软件治理探索》，从开源组件威胁和开源组件安全漏洞事件介绍出发，接下来分享了开源软件治理思路，从准入、组件管理、检测、修复、开发、生态等各处着手，分享了详细的开源软件治理方案。最后他们呼吁只有开源生态健康发展，才能谈开源软件安全，开源是人与人之间的关系，各方应积极建立开源生态的鼓励机制，让更多的人拥抱开源。

中银证券科技风险与安全负责人蒋琼和开发安全专家饶滔

最后的讨论环节，来自开源网安的产品经理尹杰分享了《开源治理解决方案》，他首先对金融业的数字化转型、开源技术应用等现实问题进行了背景分析，然后直面金融行业开源治理安全诉求，提供了开源治理落地解决方案。各参会嘉宾围绕企业开源治理痛点以及开源治理诉求展开了热烈讨论。

随着金融等行业数字化转型的深入，开源技术的运用已成大势所趋，我们在拥抱开源的同时，也需要关注引入风险。各企业应持续优化开源技术治理体系，集众智、采众长，充分运用开源技术助力数字化转型。未来，网安加社区将持续开展开源治理行业最佳实践系列线下活动，欢迎大家持续关注、积极参与！