在数字浪潮汹涌澎湃的今天，软件已成为驱动各行业发展的核心引擎，而软件供应链的安全性更是直接关系到国家经济命脉的稳固。2024年7月3日，备受瞩目的2024全球数字经济大会云和软件安全论坛暨第二届SecGo云和软件安全大会在北京召开，此次盛会汇聚了行业内外顶尖专家与学者，就软件供应链安全治理这一关键议题展开了深入交流与探讨，尤为值得关注的是，其对金融行业的影响深远且重大。

一、软件供应链安全是金融行业紧迫课题

在当今数字化时代，软件应用无处不在。软件就像人体中的“软组织”，已经成为支撑人类社会正常运转的基本元素之一，软件安全性问题也正在成为当今社会特别是金融行业面临的基础性重大问题。

然而，随着软件应用的广泛深入，金融软件供应链的安全问题日益凸显，成为威胁数字安全的重要隐患。一旦发生攻击事件，往往对整个金融产业链造成连锁反应。这些攻击不仅可能导致数据泄露、资金损失，还可能引发系统性风险，对整个经济体系产生重大影响。所以供应链安全管理至关重要，关乎金融行业稳定运营和国家经济安全，必须严阵以待。面对日益复杂的网络环境和层出不穷的安全挑战，金融行业加强软件供应链安全治理，确保软件全生命周期的安全可控，已成为保障数字金融健康发展的当务之急。

二、金融软件供应链安全治理压力大

1. 合规要求提升

目前国内与软件供应链安全相关的法律法规主要有《中华人民共和国国家安全法》、《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》以及《网络安全审查办法》，对软件供应链安全提出一系列指导意见和要求。在金融领域，在政策法规及标准层面的更新迭代速度加快，合规要求日益严格。

2022年9月，全国金融标准化技术委员会发布了金融标准《金融业开源软件应用管理指南》(送审稿)以及《金融信息系统开源软件应用 评估规范》(送审稿)，标准对开源软件应用管理以及开源软件应用评估工作提出了一系列要求。在 2021年12月，中国人民银行印发《金融科技发展规划(2022-2025 年)》的通知，通知中提出了关于切实保障供应链稳定可靠的一系列要求。2021 年 10月，人民银行办公厅、中央网信办秘书局工信部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》。在《意见》中明确要求金融机构在使用开源技术时，应遵循“安全可控、合规使用、问题导向、开放创新"等原则，鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等。

这些政策法规的出台，标志着我国金融行业在软件供应链安全上的合规门槛持续提升。

2. 安全事件持续高发

金融行业软件供应链安全事件频发，从数据泄露到恶意软件植入，每一例事件都敲响了警钟。例如，2021年某大型银行因第三方供应商软件漏洞遭遇数据泄露，2023年一家支付平台因供应链攻击导致服务中断，这些事件不仅造成了经济损失，也严重损害了客户信任。

二、金融软件供应链安全管理中存在诸多挑战

在此背景下，构建一套坚固的供应链安全管理体系显得尤为迫切。然而，这并非易事，金融行业需面对技术复杂性高、供应商众多、国内外合规差异大等多重难题，加之人才短缺和技术迭代速度快，使得有效管理和控制风险变得异常艰难。

供应关系复杂，管理难度大

金融行业涉及供应商数量众多，且可能存在层层转包的现象，运营者难以理清供应关系，透明度低，软件供应链安全管理难度大。

管理制度不完善，安全评估缺失

金融行业缺乏可落地的软件供应链安全管理体系，缺少对软件供应链安全管理的有效手段和措施，如软件供应链安全评估、软件供应商安全检查等。

重视程度不够，干系人管理不到位

金融行业往往更加注重通过技术手段保护软件安全，对为其提供设计、建设、运维、技术服务的供应商和人员的服务过程安全管理不足。

开源依赖严重，漏洞风险较大

软件开发大量引入开源和第三方组件，金融行业供应商缺少产品安全开发流程、产品安全漏洞快速响应机制、供应链安全风险监测机制等，导致无法及时处置供应链安全风险。

四、软件供应链安全管控帮助金融行业构建安全基石

针对上述挑战，道普信息第三方风险管控专家提出，通过供应链安全管控来有效应对安全威胁，满足监管要求。

供应链安全管控服务全景图

1.摸现状

摸清监管单位、建设单位、承建单位的供应链安全现状。包含区域监管部门要求、本单位软件供应链关系、供应链安全管理体系、供应链安全技术措施等。

2.做评估

开展供应链安全能力评估，包含设立指标、数据采集、差距分析、风险评估、整改建议等阶段，全方位评估服务对象供应链管理能力。

云服务供应链管理能力评估方案

软件供应链管理能力评估方案

3.建制度

协助服务对象完善软件供应链安全管理体系，从立项、采购、实施、验收、运维等阶段建立或完善管理制度、规范等。

4.常监控

常态化开展供应链安全检测及监督工作，可定期开展针对软件层面的攻防演练、软件上线检测、开源软件漏洞检测、人员安全意识培训、供应链专项监督检查等。

金融行业软件供应链安全已成为当前亟待关注和解决的重要课题。云和软件安全论坛暨第二届SecGo云和软件安全大会的召开，不仅为金融行业提供了宝贵的交流平台，更指明了供应链安全治理的新方向，促进了金融软件供应链的健康发展。展望未来，随着技术与策略的不断优化，金融行业的数字化转型之路定将更加稳健，安全地迈向新的高度。