嘉实基金成立于1999年,是国内最早成立的十家基金管理公司之一,也是国内首家资产管理规模超过千亿的基金公司。作为一家领先的投资管理公司,嘉实基金也在数字化转型趋势中,积极推进金融科技在金融资管行业中的探索实践。为了支撑基金业务的快速发展,嘉实基金围绕投资交易、估值核算、基金直销等核心业务构建数字系统。
开源风险阻碍数字化进程
开源治理成为“安全必修课”
嘉实基金作为金融资管行业的佼佼者,不断探索金融科技和新技术的应用创新,开源技术因其使用便捷、定制灵活、节省了大量研发成本,在嘉实基金构建各类数字系统的过程中被广泛应用,帮助其快速实现数字系统的开发交付。但在应用开源组件的过程中,隐藏的开源风险成为了嘉实基金数字系统建设所面临的挑战:
被公开的安全漏洞,使用者无法及时防御。由于开源组件源代码公开的特点,使得黑客可以直接检测开源组件中的漏洞,并利用漏洞去攻击此开源组件的使用者。而对于漏洞的修复,开源组件的更新速度有一定的延迟。
更深层的依赖冲突,软件无法保证安全质量。嘉实基金构建数字系统时,引入各类开源组件,而这些开源组件中很可能又依赖同一个第三方组件的不同版本,产生依赖冲突,导致软件功能或性能的缺失,引发软件安全质量问题。
不易察觉的知识产权问题,造成复杂的法律纠纷。因许可证(GPL类)的传染性、开源许可证之间可能不兼容、开源组件的使用规则存在不确定性等因素影响,很容易因违规使用开源组件而引起法律纠纷。
SourceCheck提供开源治理能力
嘉实基金推动资管业务安全创新
为了解决上述问题,嘉实基金应用开源网安软件成分分析平台(SourceCheck)作为开源组件治理工具。软件成分分析平台为嘉实基金解决了软件成分分析(SCA)、许可证检测以及对开源组件的依赖分析等开源治理需求。
多种文件检测,高效分析代码安全。软件成分分析平台集成于CI/CD流程中,实现自动对源代码、二进制文件进行扫描,检测其中的开源组件并与海量的组件库、漏洞库进行比对分析,判断代码中漏洞信息,并反馈修复建议,确保数字系统的安全性。
生成SBOM,透视组件全部信息。软件成分分析平台对嘉实基金所研发的数字系统进行深度检测,精确识别所使用开源组件的完整信息,包括现有组件版本、发布时间、现有组件漏洞、组件依赖关系等信息,快速生成详细的软件物料清单(SBOM),帮助研发团队理清组件依赖关系,高效管理开源组件,提升软件安全与质量。
开源许可证识别,避免合规性风险。软件成分分析平台可以识别包管理器中声明的组件,对于不同开源许可证的组件,提供可读性高的许可证说明,帮助研发人员快速掌握完整的许可证风险数据,最大程度避免合规性风险。
嘉实基金通过应用开源网安软件成分分析平台完成了开源组件治理能力的提升,帮助研发人员更安全地使用开源组件,保障了嘉实基金数字系统的交付效率与质量,提高了业务稳定性与连续性,使客户体验得到大幅度提升。在金融行业,开源网安持续探索开源治理解决方案,为帮助金融客户安全合规地利用全球范围内的技术和知识,推动自身业务的创新与发展。
