近日，在北京国家金融科技认证中心（北京国金认证）举办的“传递信任 服务发展”金融科技标准认证生态大会上，安天首批获得“金融开源治理工具应用效果评估先行机构”授牌。

随着数字金融的发展，开源技术为金融行业注入了新的活力，但同时也带来了诸多安全和供应链风险。2021年，中国人民银行、中央网信办等五部门印发了《关于规范金融业开源技术应用与发展的意见》，针对金融机构管控开源软件使用安全、构建开源软件治理体系提出了指导意见。

北京国金认证由人民银行直属企业中国金融电子化公司全资设立，是国内首家也是目前唯一从事金融行业全类别的质量认证机构，是公安部、人民银行指定的金融行业唯一国家级等级保护测评机构。后续将作为权威的第三方合格评定机构对金融行业的产品、服务、系统、基础设施等开展质量认证、检测测评、评估评价等服务。安天融川代码安全检测系统AntiySCS（Security Code Scan）将首批参与金融开源治理工具应用效果的评估，从技术支撑能力、工具安全性能力、多场景覆盖能力、功能完备性、稳定性、适配性等接受测试，并参与相关标准制定工作。

目前开源生态已成为数字金融的重要支撑，据相关资料表示，目前50%以上的金融机构在操作系统、数据库、中间件、开发工具等领域广泛使用开源软件，建立完善的代码安全流程，引入先进的代码安全工具和技术，将代码安全融入到整个软件开发生命周期中至关重要。通过采用静态代码分析，金融机构可以及时发现并修复潜在的安全漏洞，确保系统的可靠性和稳定性。此外，建立严格的代码审查和安全测试流程，加强开发团队的安全意识和技能培养，也是保障金融系统安全的重要措施。

安天融川代码安全检测系统AntiySCS（Security Code Scan）是针对供应链安全的全面、高效的代码安全工具，集软件组件分析与静态代码检测于一体，实现“双重检测”。为响应金融安全开发的“左移”策略，系统将安全程序监控（如代码审查、分析、测试）前移至软件开发早期，避免缺陷产生，及早发现供应链和开发流程中的隐患，避免高额的修复成本，帮助金融企业节省时间和资金。基于DevSecOps理念，AntiySCS构建安全工具链，整合流程，并实现安全自动化检查，全方位覆盖软件的生命周期，从设计、开发到测试和运营。这不仅支持了业务系统的安全自动化，也针对新的云服务开发模型提高了安全问题的修复效率并降低了成本。特别是在编码阶段，系统结合静态应用安全测试（SAST）和软件成分分析（SCA），确保逐步递进式检测，每个流程都能准确识别有效漏洞。

安天长期关注金融领域的网络安全趋势、有效支撑金融行业网络安全建设需求。2018年11月，安天深入跟进分析了针对马拉维银行的定向攻击事件；2019年6月，安天发布《“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告》，完整分析还原了“方程式组织”对中东最大金融机构EastNets网络的攻击过程。2020年，安天在《金融科技时代》杂志发表题为《金融行业要立足应对高级威胁构建综合防御体系》的文章，指出金融关键信息基础设施的安全状况关系到国家安全和广大人民群众的切实利益，因此成为网空威胁活动尤其是"超高能力网空威胁行为体"的主要攻击目标。面对高度复杂的攻击活动，金融机构要建立起能够有效防御高级网空威胁行为体的动态的、综合的网络安全防御体系。安天跟进处置、分析了大量涉及金融安全事件，包括多种网银木马、针对ATM攻击事件等。

在对金融领域面临安全风险的全面、深度认知的基础上，安天重视客户的需求和对市场的感知，与金融机构客户在资金结算、金融科技等领域深化合作，深度地融入金融数字化场景。

安天积极发挥上游厂商安全优势，为产业出谋划策，提升金融系统安全，并为多种ATM机提供了以白防可信为基础的高等级安全防护。面对金融行业的安全需求结合信创需求，安天跟随IT场景延展，将安天的检测能力、对抗能力和情报防御能力转化为用户侧能力，形成综合的支撑体系，已服务了多家金融局、银行、储蓄所、保险公司等行业客户，积累了客户经验。

未来，安天将持续关注金融等重要领域的网络安全问题，坚持自主创新及技术积累，助力客户有效应对数字化转型带来的安全风险挑战。