中国建设银行首创安全基因技术，筑牢金融软件供应链安全防线

hwyzw

    中国建设银行的金融软件供应链安全治理项目，首次引入了软件安全基因技术，通过工程化手段和工具，将安全基因融入软件供应链全生命周期的各个环节，实现了对威胁情报的自动化检测和漏洞的即时定位，显著减少了金融应用的安全风险，并在保障关键网络与数据安全方面起到了关键作用。

    网络安全构成了一道无形的防线，2013年，斯诺登揭露了“棱镜”项目，揭示了国际网络安全威胁的冰山一角，自那时起，超过十年间，网络安全形势持续恶化。在当前网络安全领域，软件供应链的攻防战成为高级对手间最为关键的战场。回顾2020年至今的国内外重大网络攻击案例，软件供应链攻击成为最常用的攻击方式，如对全球造成重大影响的太阳风攻击事件即是例证。因此，做好软件供应链安全，确保金融业务万无一失，意义重大。

    中国建设银行的金融软件供应链安全治理项目致力于解决软件供应链全生命周期中存在的诸多问题，包括缺乏对全链条的有效管理、安全测试的准确性不足和检测效率低下、威胁模型智能推荐及情报漏洞排查速度缓慢，以及难以有效追踪和追溯等行业普遍面临的挑战。工程旨在构建覆盖整个软件供应链的安全保障机制，增强软件供应链的可追踪性和透明度，确保供应链安全风险处于可控范围，构建企业级的软件供应链安全管理框架，全方位服务于总行、分行及子公司，以软件供应流程为中心，对从软件的引入到开发测试、再到投产运营以及软件应用的全过程实施全面的安全风险管理。

    工程核心技术思想

    中国建设银行经过多年在网络与信息安全领域的实践与总结，独立研发了软件安全基因技术。该技术涵盖了被保护软件的物料信息以及安全行为特点，成为衡量和管理安全对象及安全能力的标准化单元。基于此技术，结合金融工作的具体需求，建设银行研发了一套金融软件供应链网络安全治理与运营体系，并成功实现了工程化应用。

    工程基于网络安全能力成熟度模型的原理，将成熟度水平对应到技术成熟度这一维度，进而构建出技术方案，确保软件供应链治理工程在安全能力成熟度方面能够不断得到增强。在工程建设阶段，建设银行运用软件安全基因技术，打造了金融软件安全基因库，并将其全面融入集团研发、开源项目管理、外部产品等多个应用场景。此举实现了对软件供应链的全方位追溯与查询，提升了研发过程中的安全质量检测，自动化识别并处理投毒组件及安全漏洞，同时进行跟踪、验证，并具备预测供应链入口攻击风险的能力。

    工程体系架构

    中国建设银行的金融软件供应链安全治理项目，依据国家法律法规、监管机构政策以及企业内部规范进行指导，该项目包含“安全评估度量平台、安全测试工作台、安全运营平台”等三大业务系统，“安全基因模块、知识图谱模块、人工智能模块、可信软件库、任务调度模块”等五大技术模块。它整合了包括安全基因识别与分析、代码安全扫描、代码规范扫描、开源漏洞扫描、配置安全检测、敏感信息检测、渗透测试线上化、交互式安全检测、病毒检测、App静态安全扫描、App动态安全扫描、App金融备案检测、物联安全固件检测、API检测、容器安全检测在内的多项安全检测工具。通过全面管理软件供应链全流程和所有对象的安全风险，该项目旨在确保软件供应链的安全，提升其可追溯性和透明度，并全面支持总行、分行及子公司的金融网络安全。

   

    技术体系分为五个层级（如图所示），涉及软件开发、测试、投产、运营等多个阶段，全面覆盖了从事前、事中到事后的全方位安全治理功能。服务层保障了全行金融业务的顺利进行；应用层成功消除了信息隔阂，漏洞情报在运行和开发测试阶段实现了自动化且高效的流动，显著提升了漏洞的排查和整改效率；管理层在软件供应链的整个生命周期中发挥着作用，确保了安全治理的全面覆盖；基础服务层致力于迅速发现并精确定位漏洞；而基础数据层则实现了安全元素、安全行为和漏洞信息等方面的标准化管理及高效传递。

    图   金融软件供应链安全治理工程体系架构图

    工程技术能力

    构建一个可信赖的软件库，严格把控软件供应链的入口，并对其持续进行核实。在中国建设银行进行的软件供应链安全管理实践中，对供应链中的软件设定了两个可信的标识，分别是“来源”和“谱系”。其中，“来源”标识涵盖了软件监管链的相关信息，“谱系”标识则包含了软件的质量信息，如准确性、正确性和完整性。在此基础上，我们确立了可信标签的规范，并将符合这些规范的软件纳入到可信软件库中，从而在软件供应链的整个生命周期内进行持续的审核与确认。

    对软件开发流程实施供应链安全监管，实施准实时威胁模型构建。将安全需求分析与设计融入研发流程的线上化系统中，自动关联业务场景进行威胁模型构建，并提出缓解策略，同时结合安全案例库推荐安全测试案例。通过执行缓解策略和安全测试用例，设定研发线上化系统的安全关卡，增强开发阶段的安全监管效能。

    实施精准的实时响应策略，借助集成开发环境（IDE）插件，将缓解策略与代码提交功能相绑定，以此达到对缓解措施进行标注的目的，从而为后续的测试及运行阶段的有效性检验提供有力保障。

    实时进行组件安全漏洞的检测，通过集成SDK至CI/CD管道，软件开发过程中可自动识别漏洞，并向研发团队发出关于工程内开源组件漏洞的警示，同时提供漏洞修复的方案。此举不仅实现了软件成分分析的同步调用，还确保了检测过程的透明性，并且无需依赖代码编译构建配置和用户权限，有效降低了特权账户使用所带来的风险。

    针对潜在的安全隐患，对软件供应链进行风险评估，以增强对漏洞的处置效率。网络安全领域已从起初的侧重合规性防御模式，演变至目前以漏洞评级为核心的风险管理模式。依照此模式，中国建设银行启动了针对实际威胁的风险管理机制，将高等级漏洞与现行的防护手段相匹配，明确缓解策略的优先顺序，构建出具体的网络攻击风险信息，设立情报核查任务，并将威胁信息与安全特性相对应，为系统管理提供了达到代码工程深度的细致软件成分资料。借助IDE插件、持续集成/持续部署流程以及本地软件开发工具包，我们能够有效识别安全风险，迅速进行排查，从而提高整个银行的安全情报排查效率。同时，我们实现了漏洞的线上自动化追踪，对安全情报相关的项目改进进行了自动化验证，有效解决了漏报和误报的问题，为漏洞应对策略的实施赢得了宝贵的时间。

   

    实现深度开源安全治理，构建起全面的安全足迹追踪体系。这一体系将记录开发运营全流程中安全检测动作的执行信息，内容涵盖安全准入、开发测试以及投产部署等三个至关重要的阶段。通过深入分析安全足迹，对安全检测的适配性和完整性进行评估，从而有效提升检测工作的成效。

    依托情报系统，构建中央源码仓库的开源组件防篡改监控体系，并与统一依赖仓库协同工作，提供恶意组件的数据支持，从而实现阻止从互联网下载恶意组件、全面扫描并排查恶意组件的功能，有效减少第三方恶意注入的风险。

    依据监管部门的规范，需构建投产版本和生产运营阶段的黑链、暗链、明链自动检测系统，并将不良网络链接的排查工作融入日常的安全管理流程中，以预防可能出现的舆论风波和安全威胁。

    工程实践价值

    自中国建设银行金融软件供应链安全治理工程顺利完工，该行已成功保障了两会、云上峰会、亚运会以及分布式核心推广等多项网络安全任务，全行网络与信息系统运行稳定，有效支撑了业务的持续发展。在工程建设阶段，主导编制了一项行业标准，协同推出了我国首份软件物料清单（SBOM）安全应用的白皮书，促进了国内信息产业SBOM生态系统的构建，汇聚了社会力量，共同应对我国软件供应链的安全挑战，并在网络安全保护方面起到了示范和引领的作用。

    结束语

    中国建设银行研发了一套完整的工程化方案与工具，确保安全要素在软件供应链的每个环节得到体现，增强了软件供应链在遭受攻击时的可视性和管控能力。这套方案涵盖了从规划到部署再到生产的整个开发流程，对影响软件安全的所有操作进行监控与记录，实现了对威胁信息的自动检测和对漏洞的即时定位。实际应用成效显现，与国内外同类技术实施相比，中国建设银行的金融软件供应链安全保障水平已达到领先地位。

    （此文刊发于《金融电子化》2025年1月下半月刊）