海保人寿保险股份有限公司(简称“海保人寿”)是第一家在海南筹建开业的全国性保险机构。从成立之初,便深耕于数字化创新,在自身多业务环节中实现数字化转型,依托优秀的研发体系与数智融合的业务系统,不断推进保险业务的改革与创新。
开源组件风险防不胜防
开源治理成为“良药”
海保人寿高度重视科技与保险的融合发展,积极探索数字化创新。在此过程中,开源组件因其使用便捷、灵活定制等特点,在海保人寿业务系统研发过程中被广泛应用,使系统得以快速升级迭代,节省大量研发成本。随着开源组件应用趋势不断扩大,其安全合规问题逐渐暴露,给海保人寿带来安全隐患。
高透明度的代码漏洞,随时面临攻击威胁。开源技术具有开放性与透明性,使得黑客有机会利用开源组件的代码漏洞,随时对组件使用者发起攻击,这成为了系统研发的薄弱环节。
复杂的依赖关系,潜藏开源软件供应链安全风险。开源组件并非是独立产品,更多是以其他开源项目为基础进行构建,导致开源组件背后隐藏多层复杂的依赖关系。一旦其中的所依赖项目出现安全问题,容易扩散到其他组件,导致系统存在更难发觉的安全隐患。
开源组件违规使用,引发知识产权法律纠纷。因许可证(GPL类)的传染性、开源许可证之间可能不兼容、开源组件的使用规则存在不确定性等因素影响,很容易因违规使用开源组件而引起法律纠纷。
海保人寿提升开源治理能力
助力保险业务数字化改革创新
海保人寿应用开源网安软件成分分析平台SourceCheck作为开源组件治理工具,为海保人寿解决了软件成分分析(SCA)、许可证检测以及对组件依赖分析等开源组件治理需求。
高效分析组件,快速识别代码漏洞。海保人寿应用开源网安软件成分分析平台,实现自动化分析组件源代码或二进制文件,通过与平台自研的海量组件库、漏洞库进行比对分析,帮助其识别系统源代码中漏洞信息,并及时反馈修复建议,确保海保人寿业务系统的安全可靠。
生成SBOM,解决开源软件供应链安全风险。软件成分分析平台对海保人寿业务系统进行深层检测,精确识别所使用的开源组件信息,生成一个详细的软件物料清单(SBOM),其中包括组件所依赖的其他组件版本和源码地址,并通过对SBOM的持续维护,实时监控组件依赖关系变化,帮助研发团队高效管理开源组件,解决依赖冲突所带来的开源软件供应链安全风险。
开源许可证识别,避免合规性风险。软件成分分析平台可以识别包管理器中声明的组件,及时了解使用的所有开源组件许可证及其约束条件,以提供全面的许可证分析报告,提示潜在的许可证合规性问题,帮助海保人寿在早期阶段就能有效避免合规性风险。
海保人寿通过开源网安软件成分分析平台,提升开源组件治理能力,帮助研发更安全地使用开源组件,极大地提高了业务系统研发的效率与质量,助力其利用数字化技术支持从业务开发、报价、批改、理赔、续保、再保等全流程保险业务需求。真正做到以客户为中心,让客户获得更优质的服务。
在未来,开源网安将继续探索先进的开源治理解决方案,致力于帮助金融客户安全合规地利用开源技术,推动数字科技与金融业务的创新融合。