隨著傳統金融機構進行數字化業務擴張，金融數字化轉型成為市場競爭的主戰場，手機銀行、直銷銀行、移動支付、微信營銷等“互聯網+”新興業務不斷涌現。據統計，以股份制商業銀行為首的眾多金融機構離柜交易額不斷增長，同時增長的還有新業務不斷擴展帶來的安全風險。當前，各大金融機構最受關注的是信息泄漏、邏輯缺陷、SQL注入等嚴重威脅自身業務的安全問題，在關注基礎環境安全問題的同時，亟需構筑自身業務應用系統的“內建安全”。

引發金融行業業務安全問題的源頭有兩方面，一方面是基礎環境安全問題，包括網絡、安全等設備的漏洞，此類漏洞由設備廠商關注并修復;另一方面是自主研發軟件存在的未被發現的各種漏洞，主要由金融機構的科技管理人員管理和響應。

作為金融機構的科技管理人員，在自研漏洞爆發時有兩個問題需要解決，一是在組織內部數百種金融業務應用中快速了解該漏洞的存在數量和影響的范圍;二是采取措施將風險和損失降到最低。

例如近日影響范圍較大的Apache Struts2漏洞，傳統的應急響應方式解決的是將風險和損失降低，即啟動應急預案，通過分析新型漏洞的特點提取漏洞特征，定制檢測規則，第一時間在邊界安全設備(IDS、IPS、WAF等)中完成部署，確保攻擊來臨時可以進行監測和阻斷，盡可能降低漏洞帶來的損失。這種方式只解決了管理人員關心的第二個問題，但對出現漏洞的組件涉及哪種開發語言、開發框架，這些開發語言和開發框架在當前業務應用中的使用數量等疑問缺乏快速的響應措施，現階段只能耗費大量人員和時間通過手工方式進行匯總統計。

[[188137]]

從安全管理角度進行分析，近期出現的漏洞大部分都是由代碼設計缺陷導致，目前各家金融機構都已經建立自身的業務安全開發管理流程。同時，在每一個業務應用上線前，都會進行必要的源代碼缺陷、合規性等安全檢測。

如果將檢測的過程和相關結果信息進行收集匯總，例如開發語言、開發框架、開源組件、缺陷、漏洞等，同時與組織原有的代碼倉庫、Bug管理系統進行無縫對接，構成金融機構自己的軟件資產庫，并在開發運維階段不斷豐富，形成基于安全開發的軟件資產管理大數據平臺。當新型漏洞爆發時，就能提供應急響應查詢，檢測業務系統中是否使用了存在漏洞的第三方組件，業務系統代碼中是否包含了漏洞代碼，并通過搜索技術實現源代碼層面的問題追溯，有效提升金融機構安全開發管理能力。

軟件資產管理大數據平臺不僅滿足金融行業對于軟件資產的源代碼級別應急響應需求;同時滿足基于代碼搜索、自動化查詢等快速定位需求;甚至未來可采用機器學習等技術，將安全開發信息提取形成基于源代碼的安全威脅情報，精準定位源代碼安全缺陷，提升金融業務應用整體安全能力。

360企業安全集團代碼衛士相關負責人表示，軟件資產是組成金融應用系統的基礎，源代碼是軟件資產的核心機密，源代碼的安全問題至關重要。

據了解，360代碼衛士是基于多年源代碼安全實踐經驗的源代碼安全解決方案，涵蓋缺陷分析、合規檢測、溯源檢測三大檢測方向，分別解決軟件開發過程中的安全缺陷和漏洞問題、安全合規性問題、第三方代碼安全管控問題。在此基礎上，代碼衛士產品的軟件安全開發管理平臺可與企業已有的軟件開發測試環境無縫對接，形成企業自有的軟件資產管理大數據平臺，幫助企業以最小代價建立軟件資產管理庫，構筑基于金融業務應用系統的“內建安全”。

以“Apache Struts2漏洞”事件為例，通過軟件資產管理大數據平臺進行漏洞響應，可以采用基于漏洞屬性的自動化查詢方式，快速生成統計報告，相比傳統的應急響應方式，在縮短響應時間的同時又保證統計的全面性，幫助管理人員第一時間了解新型漏洞在組織中存在的數據和影響范圍，從源頭定位問題采取根治措施，盡可能降低漏洞帶來的風險和損失。