作为厌恶风险机构，银行方面清楚执行开源漏洞管理计划是降低风险的一种方式。调查显示：第三方代码的供应链问题成金融服务业软件安全的主要风险地，只有三成机构可以做到安全预防， 56％金融机构机构遭遇过系统故障，接近四成的机构曾遇到勒索软件等敲诈行为。60%的机构在通过安全补丁来修补安全漏洞，金融服务业软件安全整体形势严峻。

虽然大部分金融服务业机构都在开发自己的软件和系统，但越来越多的机构已经开始依赖第三方独立提供商来交付最新技术。但多数第三方机构的软件代码有七八成来自于开源和第三方组件，只有23%的金融机构表示会直接对第三方进行安全评估，大部分金融机构都是要求参与开发的第三方进行自我评估，和本身安装的安全产品进行事后补救。

观察安全事件频发度，我们不难发现，尽管金融企业都部署了安全产品，攻击者依然能够轻易的突破防线，复杂的攻击仍然频繁在上演。单一的安全工具已无法解决金融机构当前复杂的威胁态势。

面对如此严峻的安全形势，必须加强安全防范意识来保护企业及用户的信息和财产安全。目前，具有应用程序安全知识的专业人员的匮乏、对开发成本把控的担忧、对软件开发早期部署安全流程可能会阻碍开发进度的担心，大多数金融机构总是在软件发布后才进行漏洞评估。现实是，现阶段严格遵循安全开发流程的金融机构不超过10%。

但导致软件漏洞最常见的因素，也正是在开发过程中过晚地执行漏洞测试！面对漏洞威胁，最关键、最根本的举措之一就是改变金融机构现有的安全理念和补救措施。

有经验的安全专家都会发现，“左移测试”似乎成为了现在软件安全开发的主推概念。也就是说从软件开发的一开始到整个开发过程都将安全测试纳入软件开发中，将安全测试从前期开发就列为流程中必不可少的环节，统筹全局，以安全赋能业务开发与实现。

银监会要求根据《信息安全管理系统要求》、《支付卡行业数据库安全标准》、《网上银行系统信息安全通用规范》，所有银行信息系统开发以及上线前必须经过代码安全测试。

酷德专注金融行业信息安全研究，持续跟踪信息安全发展趋势，敏锐洞察和分析银行、证券、保险及互联网金融等行业客户在信息安全方面所面临的信息安全风险和信息安全需求，有针对性的提出相应的代码检测解决方案，助力金融企业软件研从代码源头开始解决安全隐患。酷德对金融行业软件开发流程中安全建议如下：

• 金融机构内部敏感数据的事前感知，已是事后补救的一个措施，如何在软件开发前期避免或更早得知漏洞的存在，已经成为事前感知的重要因素；

• 事中控制，在攻击维持权限被植入的时间、数据外发日志记录、人员调查等手段确定数据泄露范围，针对可能已经发生的数据泄露进行整体评估；

• 事后审计，在事故发生后对全方位数据安全状态进行监控，使得数据泄露行为无处遁形，敏感数据无径可出，为金融机构数据源头处筑起一道防护墙。

CodePecker源代码缺陷分析系统——补阙，是酷德自主研发的静态分析测试产品，采用业界领先的源码静态分析技术，及人工智能急速开发的国内第一款静态分析检测产品，已为诸多金融机构带来了利益，对其软件开发重要环节的全生命周期，形成立体化、层次化的综合管控体系及代码安全检测机制，有效检测软件研发初期存在漏洞，提高应用端与安全的切合度，并降低员工使用影响，达到动态的布防。

成功客户：

如今，酷德根据国内金融行业发展态势和业务分析，已为国内众多金融机构提供了软件开发安全防御及检测服务，其中包括：中国工商银行、广东发展银行、民生银行、泰康保险集团、广西北部湾银行、贵州省农信、兰州银行、泉州银行、中信“e”银行、青海银行、快钱、浦发硅谷银行、英大长安保险、安邦保险、南粤银行正在受益与酷德提供的解决方案，降本增效的同时，改善安全管理理念。