管理BFSI开源软件风险的一个好主意

无论是J.P. 摩根大通在GitHub上发布区块链代码, 高盛决定贡献其Alloy数据建模软件, 或者将ISDA的公共领域模型(CMD)转变为开放模型, 金融服务公司对开源软件(OSS)越来越“开放”。. 每一次公告, 开源组件的可用性增加了, 因此创造了更有说服力的理由来利用开源. 随之而来的是需要一种更智能的方式来管理风险.

最近的一项研究发现,所有被调查的金融服务公司都包含OSS,而且平均来说,OSS占他们代码库(OSSRA)的64%, 2019).

因为组织在数百甚至数千个应用程序中使用OSS, 获得利益的需求日益迫切 更好的可见性到他们的软件组成 识别和管理风险.

这些风险包括:

  • 常见的漏洞 & 存在安全风险的暴露(cve)
  • 代表技术风险的过时组件

金融服务公司, 当他们利用Alloy或Quorum等工具时,风险会被放大,因为他们的系统通常比大多数其他行业面临更高的攻击风险. 

评估OSS风险的任务太有挑战性了,无法手工完成. 虽然各种各样的产品提供自动扫描OSS代码组件来检测风险, 另一个挑战是,当这些产品显示的风险范围太广而无法应对时. 

那么,你如何决定首先关注哪里呢? 安全? 法律? 技术?  单靠代码无法对风险进行优先排序. 这就是 业务上下文 进来.

新的文字-动作

一个更好的方法来优先考虑和管理开源软件的风险

把突出 在投资组合级别显示信息, 使技术和业务领导者能够在他们的企业中获得对开源风险的即时可见性. 

除了通过自动化的源代码扫描,把突出还收集了客观数据, 它还通过集成调查来捕获应用程序在业务中的上下文. 这有助于决策者做出更明智的决定.

 

把突出的业务影响度量是基于简单扫描源代码无法捕获的应用程序的关键特征计算的. 将它与开源安全索引相结合,可以帮助组织快速确定他们在大型应用程序组合中的补救工作的重点.

以下是驱动业务影响评分的应用程序特征的一些示例:

  • 应用程序有多少用户?
  • 应用程序服务于外部客户吗?
  • 如果应用程序宕机, 它会影响组织的收入或关键任务运营吗?

当这些考虑事项与标准SCA指标一起集成到仪表板时, 结果是真正的软件智能-洞察您的软件,允许更快, 作出更明智的决策, 以及对开源风险缓解和补救行动进行优先排序的能力.

例子:为什么它很重要

宝博体育app下载以两个不同的应用程序为例. 常见的SCA工具会向您显示以下类型的信息:

  • 应用#1 - 43个中等严重漏洞,2个高严重漏洞
  • 12个中等严重漏洞,1个高严重漏洞

使用最常见SCA工具的组织会看到这些数据,并可能选择将重点放在修复App #1上作为优先事项. 这是基于已识别的漏洞数量的自然结论. 团队甚至可能认为这是一个“受过教育的”决定.

然而, 现在让宝博体育app下载使用把突出来更深入地研究这些应用程序,它在上述漏洞数据的基础上提供了额外的业务影响指标:

  • 应用程序1 -商业影响评分22分(满分100分)
  • 应用程序2 -商业影响评分94分(满分100)

事实证明,App #1是一个用于管理工作空间的小型内部系统,而App #2是一个核心支付应用,它能够接触到用户并推动收益. 现在,哪一个似乎是显而易见的选择,首先工作?

很明显, 这是一个极端的例子,如果it团队成员只看这两个应用程序,就很容易做出这样的决定. 然而, 如果组织, 像许多银行和金融服务公司一样, 有成百上千的申请? 他们如何快速决定将工作重点放在哪里以减少开源风险?

把突出提供了 软件智能 跨企业应用程序投资组合的业务环境,以帮助今天的领导者对他们的关键软件资产快速作出更明智的决策.

 

 

 

阿兰·汉森 & 格雷格•里维拉
加载更多的评论
谢谢你的评论! 你的审查必须首先得到批准
你已经提交了这个项目的评审
|
()