近年来，作为已上市的区域性股份制商业银行，H银行信息科技投入持续增长，重点用于云计算、大数据、人工智能等领域，数字化转型已从技术应用阶段迈向业务深度融合阶段，通过“科技+场景”策略提升服务效率和客户体验。相比头部国有大行，H银行在差异化服务上深入数字化布局，持续优化技术底层能力，在乡村振兴、长三角一体化等区域金融特色中寻找数字化突破点，并已积累了诸多先发优势，连续获得“亚洲银行家中国最佳数字化转型项目”、“中国普惠金融典型案例”等荣誉。

数字化转型进入深水区 开源风险来袭

随着数字化进程的不断深入，开源软件在H银行的各类应用中日益广泛，成为数字化转型的重要支撑，涵盖底层架构、数据分析、智能风控、开放银行等从基础设施到业务创新的多个领域。然而开源软件的应用也带来了一系列挑战和风险，主要包括以下四类：

安全风险加剧：开源软件可能存在安全漏洞，容易被攻击者利用。

合规风险复杂：开源软件的许可证条款复杂，金融机构可能面临合规风险。

运维风险突出：开源软件版本迭代频繁，若未能及时识别并修复组件漏洞，可能导致安全风险暴露，增加被攻击的可能性。

供应链风险难控：开源软件的供应链复杂，金融机构难以全面掌控其安全性。

国家与行业层面的开源治理要求

开源软件的安全治理涉及科技创新、软件安全、知识产权和软件供应链安全，重要性越来越高。国家、行业层面高度重视开源治理，相继发布政策与标准鼓励金融机构建立更加完善的开源技术使用规范。《GB/T 43698-2024网络安全技术 软件供应链安全要求》是我国针对软件供应链安全发布的首个国家标准，其对开源软件治理提出了系统化要求，旨在降低因开源组件引入的安全与合规风险。

为了规范金融业开源软件应用、防范相关风险，中国人民银行于2024年1月发布并实施了《JR/T 0290-2024金融业开源软件应用管理指南》和《JR/T 0291-2024金融业开源软件应用评估规范》等多项重要行业标准，针对开源软件特性提出对应的全流程管理方法，提升金融机构开源软件管理能力，控制开源软件应用风险。满足监管合规、筑牢安全根基，成为H银行的必然选择。

携手默安：充分调研与清晰规划

随着H银行数字化进程的发展，业务系统的开发与使用过程中越来越多地涉及到开源软件，由此带来的风险也随之加剧。无论是基于业务发展需求，还是满足监管合规要求，H银行都亟须建设一套行之有效的开源软件安全治理体系。经过周密的市场调研与全面的能力评估，H银行最终选择在开发安全与软件供应链安全领域深耕多年的默安科技作为开源软件治理的伙伴。

精准把脉，识别差距：默安科技安全专家团队基于《JR/T 0290-2024金融业开源软件应用管理指南》的评估框架，通过现场调研、文档审查及技术评估等方式，对H银行开源软件管理体系进行全面诊断。团队采用成熟度模型对标分析，系统评估H银行在开源治理各维度的合规水平，量化评分并识别管理机制与技术能力的差距，为后续治理体系建设提供精准输入。

科学规划，明晰路径：综合多种因素，针对紧急程度、方案成熟度、实施难易度和预期效果进行打分，默安科技协助H银行制定了清晰的开源治理能力建设优先级路线图，并划分管理成熟度等级，明确管理项目的方式，对管理效果的成熟度开展自评估，为后续建设奠定坚实基础。

全生命周期覆盖：开源软件安全治理能力建设

在科学规划指引下，默安科技协助H银行打造了覆盖“引入阶段、使用阶段、持续评估、风险管控、存量管理、退出阶段”全生命周期的开源软件安全治理能力建设闭环。

引入阶段：确定开源软件管理规范与基线清单，建立开源软件选型流程与引入管理流程，仓库管理及更新策略；建设开源软件的制品库、组件库、集中管理平台等。

使用阶段：形成开源软件管理细则、安全基线、风险确认单等规范制度，依托DevOps平台、开源软件安全检测平台、开发管理平台等，建立开源软件使用流程、漏洞修复流程。

持续评估：系统上线后，建立覆盖全生命周期的安全运营机制，包括常态化安全检测、闭环化问题处置及标准化应急响应流程，确保风险可防可控。

风险管控：建立开源软件风险管理机制，对开源软件全生命周期中存在的风险点作出识别、记录与及时处置，进行动态管控。

存量管理：引入自动化检测工具，对存量系统进行安全检测，形成开源组件风险清单，并设计存量风险治理方案。

退出阶段：当所应用的开源软件已无法满足功能需求和性能需求，或发现当前版本存在重大风险隐患，或该开源软件已停止更新时，进行退出评估；通过开源软件的版本升级或更换来完成替代。

四大建设成果：治理流程闭环与效能整体跃升

建立统一规范及流程

依托默安科技的专业化工具与经验丰富的服务团队，H银行开源软件安全治理工作得到系统化的执行、监控和保障，管理流程效能得到整体提升，全面满足国家和行业层面的监管要求。

存量系统开源风险的发现与治理

完成数百个存量系统的安全检测，形成存量系统开源组件风险清单与风险治理方案，确保了线上运行系统的安全性。

DevOps能力集成

在应用开发与运营过程中将自动化安全检测工具与原有DevOps平台能力集成，大幅提升应用系统的开源组件梳理分析及安全检测能力。

漏洞管理高效闭环

解决开源软件安全管理流程存在的跟踪处理不及时、流程不清晰等现象，完成漏洞闭环处置及相关各部门人员的职责监控，实现漏洞的全生命周期管理。

结语

作为在行业重要标准《JR/T 0290-2024金融业开源软件应用管理指南》发布之后率先开展开源软件治理的区域性股份制商业银行，H银行直面开源软件的安全、合规与运维风险，携手默安科技构建覆盖引入、使用、退出的全生命周期治理体系。通过统一流程规范、存量风险治理、DevOps能力集成及漏洞闭环管理等手段，H银行不仅全面满足国家与行业监管要求，更实现了开源治理从被动应对到主动防控的质变，未来，默安科技将继续加深在开源安全治理领域的专业优势，为更多金融机构数字化进程中的安全建设提供可复制的实践经验与落地价值。