CFCA宋鑫磊：开放银行安全测评与开源技术治理护航金融机构数字化转型

（原标题：CFCA宋鑫磊：开放银行安全测评与开源技术治理护航金融机构数字化转型）

中国电子银行网讯 7月28-29日，由中国金融认证中心（CFCA）、数字金融联合宣传年主办的“转型加速2022”——CFCA数字生态大会在遵义举行。大会邀请百余家银行、行业协会、研究机构、高等院校、非银金融机构出席活动，就数字安全与生态建设、科技创新与数字化转型等议题展开深入讨论。

中金金融认证中心有限公司（CFCA）信息安全服务部创新团队负责人宋鑫磊出席大会，并作了“为金融测评发展注入新动能”的主题分享。

中金金融认证中心有限公司（CFCA）信息安全服务部创新团队负责人 宋鑫磊

2021年底，央行印发《金融科技发展规划(2022-2025年)》，“点名”多类前沿技术，如隐私计算、人工智能、开源技术、应用程序接口等,敦促行业加强研发创新与应用落地。同时也布置了信息安全方面的重点任务：全面加强数据能力建设，在保障安全和隐私前提下推动数据有序共享与综合应用，充分激活数据要素潜能，有力提升金融服务质效。

金融业开展数据安全治理工作需要合规、专业、高效的金融测评服务。宋鑫磊结合CFCA实际业务，针对金融测评新热点领域——开放银行应用程序接口安全检测与开源技术治理作了经验分享。

OpenAPI检测：保障开放银行业务安全

目前，各个机构对开放银行的定义不尽相同，但其中都有提及“API”——应用程序接口。API是连接银行业务系统和外部用户的关键纽带，也是开放银行建设的主要载体，安全保障尤为重要。在此背景下，国家有关部门陆续发布了规范API安全管理的标准和要求，为开放银行信息安全建设带来有力保障。

目前，API的检测难点主要体现在“检测难度大”和“检测效率低”两方面。为解决这两个难点，CFCA自主研发构建了能够兼容各项标准要求的检测服务平台。平台包括Web平台、测试平台中间件、测试引擎三大组件，遵循模块化设计原则，采用分布式架构设计方案，并引入容器技术，支持批量测试请求，具有高可用性、易部署、易扩展的特点。

开源技术治理：护航金融创新应用工作开展

当今大多数主流IT技术均采用了大量的开源技术以及开源生态产品。金融行业也在广泛使用开源技术，其携带的数字安全风险也愈发显著。对于金融行业来讲，应用开源技术还额外带来专利许可、网络安全、监管合规、用户隐私、落地应用等方面的业务风险。

最近两年，开源技术治理金融监管政策与行业标准相继落地。为帮助金融机构更好地满足监管要求与客户需求，CFCA推出了一体化开源技术安全治理方案。

方案分为管理和技术两个方向，具体包括：开源软件管理制度/组织架构建设咨询、开源软件引入标准管理、开源软件治理工程化培训、开源软件合规性检测等服务。其核心为CFCA开源软件自动化检测平台，该平台可以为客户提供许可证分析、漏洞分析、代码溯源检测等核心服务。

目前该方案各项业务适用于数字化和信息化应用各个领域，包括金融和非金融领域。同时，开源软件治理还是金融创新应用工作开展的重点，所有涉及金融创新应用改造的机构也适用该方案。