JR-T 0290-2024 金融業(yè)開源軟件應(yīng)用 管理指南

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載ICS

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載CCS

11JR

JR/T

0290—2024金融業(yè)開源軟件應(yīng)用管理指南Open

source

software

applications

in

financial

guidelines 中國人民銀行??

發(fā)

布學(xué)兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)兔下載學(xué)兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)兔下載學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載

II

III

10

11

11學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載 本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定II學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載 學(xué)兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)兔下載學(xué)兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)兔下載學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載

GB/T

2020

GB/T

2020

GB/T

2020

JR/T

2024

JR/T

2024

JR/T

0289—2024

風(fēng)險(xiǎn)管理、存量管理和工具化管理等

部分內(nèi)容，覆蓋

個(gè)制度要素

個(gè)技術(shù)管理流程，宜配置

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載圖1

5.1

5.2

5.3

6.1

兔ｗｗｗ學(xué)兔．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024兔ｗｗｗ學(xué)兔．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載6.2

7.1

圖2

7.2

0291—2024

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載圖3

7.3

b）依據(jù)開源軟件使用情況建立臺賬，實(shí)時(shí)記錄開源軟件的使用版本、使用部門、系統(tǒng)名稱、聯(lián)系

7.4

兔ｗｗｗ．ｂ學(xué)兔ｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024兔ｗｗｗ．ｂ學(xué)兔ｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載快速采取措施并及時(shí)處置，避免造成安全合規(guī)等方面問題，開源軟件持續(xù)評估流程如圖5所示。評估內(nèi)

30276—2020、GB/T

30279—2020

b）版本評估：以開源基礎(chǔ)軟件為主，定期評估是否存在版本過低、更新頻次過低等問題，對于需圖5

7.5

JR/T

0291—2024

．ｂ學(xué)兔兔ｗｗｗｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

．ｂ學(xué)兔兔ｗｗｗｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載

b）更換機(jī)制：

圖6

8.1

8.2

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載8.3

8.4

b）若存在法律風(fēng)險(xiǎn)，例如出現(xiàn)開源許可證兼容性問題，若難以采取其他可替代軟件、隔離等有效8.5

b）識別、記錄開源軟件，對開源軟件的版本號、開源許可證、官方網(wǎng)站地址或可信下載源、制品d）監(jiān)控和全面排查存在風(fēng)險(xiǎn)的存量開源軟件，參考GB/T

2020記錄安全漏洞情況，與責(zé)任10

a）有相應(yīng)人員負(fù)責(zé)開源軟件管理工作，有較為清晰的職b）外部法務(wù)人員兼任開源法務(wù)咨詢工作。兔ｗｗｗ．ｂ學(xué)兔ｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

兔ｗｗｗ．ｂ學(xué)兔ｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載員反饋問題?！鞒坦芾恚和ㄟ^平臺實(shí)現(xiàn)開源軟件全流程線上化、自動化管理?！踩┒锤櫍和ㄟ^定期掃描開源軟件代碼，查看是否存在中高危安全漏洞。11

11.1 b）提升級：形成明確的架構(gòu)分工和完善的管理流程制度，對開源軟件進(jìn)行流程化管理。11.2

表1

表1

b）實(shí)現(xiàn)線上處理相關(guān)工作，及時(shí)向相關(guān)人員反饋，a）從多個(gè)維度對開源軟件進(jìn)行評估。b）形成開源軟件清單，對擬引入的開源軟件進(jìn)行統(tǒng)b）構(gòu)建制品倉庫，對開源軟件的來源進(jìn)行控制和管a）對開源軟件的版本、開源許可證和安全漏洞進(jìn)行b）對安全漏洞信息進(jìn)行監(jiān)控、記錄，形成安全漏洞a）制定開源軟件退出機(jī)制，明確開源軟件退出或廢b）退出后有具體后續(xù)操作要求。a）可利用工具實(shí)現(xiàn)自動記錄開源軟件的使用情況，b）通過平臺，對開源軟件進(jìn)行分類分級管理。c）對制品倉庫進(jìn)行管控，定期進(jìn)行統(tǒng)計(jì)和更新。d）定期組織開源軟件的技術(shù)交流和培訓(xùn)。a）通過工具定期自動化掃描開源軟件漏洞、開源許b）自動通過開源社區(qū)、代碼托管平臺等渠道獲取相ｚｆ．ｂｗｗｗ兔學(xué)兔ｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0290—2024ｚｆ．ｂｗｗｗ兔學(xué)兔ｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載表1

表1

a）建立開源軟件風(fēng)險(xiǎn)管理機(jī)制，實(shí)現(xiàn)對各類風(fēng)險(xiǎn)點(diǎn)進(jìn)行b）建立流程化風(fēng)險(xiǎn)控制機(jī)制，可進(jìn)行全面的風(fēng)險(xiǎn)識別，a）通過平臺，對開源軟件風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)測、信息記錄b）建立敏捷溝通途徑，發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)做到及時(shí)和相關(guān)人員c）針對開源許可證等相關(guān)風(fēng)險(xiǎn)，通過系統(tǒng)提示，快速采ｚｆ．ｂ學(xué)兔兔ｗｗｗｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

ｚｆ．ｂ學(xué)兔兔ｗｗｗｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載表1

表1

學(xué)兔兔ｗｗｗ．ｂｚｆｘｗ．ｃｏｍ標(biāo)準(zhǔn)下載JR/T

0