有一种说法是金融服务业分为两种：一种是曾经遭受过网络攻击的；另一种是将会被攻击的。这并不是危言耸听，随着Data Technology（DT）时代的到来，网络安全形势非常严峻复杂，网络攻击威慑上升。国际知名咨询机构IDC发布的2021年勒索软件研究报告显示，2021年全球超三分之一的组织在过去12个月内经历过勒索软件攻击或漏洞，金融领域正是重灾区，被勒索企业平均赎金支付额将近25万美元。

基于此种背景，尽管企业一直在努力转变AppSec实践并简化DevOps开发模型，但管理和维护开源代码的复杂性、云原生架构和相关微服务的应用都给这项工作的开展增加了难度。此外，错综复杂的供应链使得企业很难全面了解其风险状况。

重要的是，除却网络安全机构与法律法规的保护外，金融行业企业自身的网络安全技术能力也必须有所提升。以下是金融行业内软件安全管理人员常见的一些误区，这些不恰当的见解往往是安全风险的根源所在。

一、“我们已经够安全了！”

这种看法并不是因为他们有多了解漏洞和缺陷，而是基于这样一种普信：我们金融服务企业作为用户敏感数据的看门人，必须而且一定是安全的。

但是过去的经验告诉我们，金融行业并不是我们所想象的那么安全。根据泛联新安的调查数据显示：“97%的金融服务、金融科技行业代码库包含开源代码，其中超过60%的软件至少存在一个漏洞。”

二、“我们行业很特殊，你们那一套没用！”

许多金融服务企业仍然固执的认为他们的软件与其他类型的软件存在本质上的区别，他们无法接受改变传统开发方式所带来的阵痛与转型。他们统一的看法是：过去有效的方法未来将继续奏效，一招鲜即可吃遍天。

但其实所有的大型服务企业，无论是金融，还是物流、零售等等其他行业，都依赖于开源软件和软件供应链。即使是那些专注于自己进行研发的公司，也不会特意去避开软件发展的潮流——“软件吞噬世界，开源吞噬软件”。

因此，所有的银行都有责任实施可靠而全面的软件安全策略，并了解其安全风险状况，拒绝适应现代软件环境的企业迟早会落伍。

三、“我们已经找外包公司了！”

就像对待第三方责任的态度一样，金融服务企业通常认为，在软件安全问题上有人可以“代劳”。或许他们的想法没错，在今天市场上确实有很多公司可以为其效劳，但实际上确保软件安全是企业本身自带的责任和义务。

退一万步说，哪怕所有的环节都有第三方公司介入，但最基础的代码质量问题没有哪家企业可以避而不谈。即使是再专业的开发人员编写的代码也不可能完美无缺，更何况今天80%的代码实际上都基于开源代码模组。忽视源代码安全问题无异于掩耳盗铃。

正因如此，源代码扫描工具（SAST/DAST/IAST/SCA）应该是每家金融企业都必不可少的工具之一，例如Codeant、Binsearch、Codesense等等工具就可以很好的契合银行业的安全需求。

四、“我们已经买了软件，还不够

管理人员往往缺乏对软件开发最基础的认知，他们认为只要有足够的时间和自学经验，开发人员便可以满足整个软件开发生命周期中的任何安全需求。

这种学习方式也许适用于少数开发人员，但在学习过程中产生的不良后果会给企业带来额外风险。因此安全培训的必要的，公开数据显示，只有38%的金融服务企业的员工具备保护软件所需的网络安全技能。甚至有25%的员工根本没有接受过安全培训，但仍然肩负着AppSec的责任。

越来越多的金融服务机构都使用应用软件来开展业务，但是便利性和安全隐患共生，安全问题不能小觑，特别是源代码和开源组件相关的安全问题。金融服务企业无论是刚刚开始进行应用安全转型，还是正在逐步实现安全计划的更新与增强，都应该尽量做到安全左移。

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树服务网格(istio)ServiceMesh介绍8675 人正在系统学习中

来源：GitMore