金融服务行业在遭受网络攻击之前是否能有效地未雨绸缪非常重要。同时，金融服务企业应该关注软件供应链中的重大风险。
 ——新思科技软件质量与安全部门高级安全架构师杨国梁
    为提高利润率，金融服务行业正不断提升自动化，开发新软件，为客户提供完整及无缝的体验。技术已经深深嵌入到每个金融服务业企业的业务中。一项最新的研究显示，大多数金融服务行业都在施展各种方法以确保所使用的技术是安全的。
    新思科技软件质量与安全部门高级安全架构师杨国梁告诉记者，金融服务行业在遭受网络攻击之前是否能有效地未雨绸缪非常重要。
    新思科技网络安全研究中心最近委托数据安全中心Ponemon Institute对金融服务行业当前的软件安全实践进行独立调查，以了解该行业的态势及其解决安全相关问题的能力。研究人员对金融服务行业的400多名IT安全从业人员进行了访问调研，包括银行、保险、抵押贷款/处理和经纪业务公司。受访者的职务涵盖安装和实施金融应用程序、开发金融应用程序以及为金融服务行业提供服务。
    调查发现，金融服务行业面临的网络威胁不容忽视。对于金融服务机构而言，网络安全是必选项。56％的受访者表示他们的机构遭遇过网络攻击而导致系统故障和停机。很显然，网络安全无法跟上金融服务行业的技术进步，除非现在采取积极措施，否则网络攻击问题只会恶化。
    这表明金融服务机构需要更多地关注网络安全、安全编码培训、在源代码中发现缺陷和安全漏洞的自动化工具，以及识别内部开发团队或第三方供应商引入的开源组件的软件组合分析工具。其中，导致软件漏洞的最常见因素是在软件生产后期才进行漏洞测试。大多数金融服务机构是在软件发布后才进行漏洞评估。
    杨国梁提醒说，金融服务企业应该关注软件供应链中的重大风险。
    虽然大多数金融服务机构仍在开发自己的软件和系统，但许多机构正逐渐依赖第三方独立供应商来提供最新技术。报告中近四分之三的受访者表示非常关注第三方供应商是否会引入安全漏洞问题，但只有不到一半的机构要求第三方遵守特定的网络安全要求或验证其安全实践。接受访问的金融服务机构中很少有一个既定的流程来清点和管理内部开发或由第三方提供的开源代码。缺乏开源管理使这些机构面临着由于其应用程序中的开源组件中的漏洞导致的额外风险。
    该报告有一个有趣的发现，大多数受访者认为相比在产品发布后防止网络攻击，在前期检测和控制安全隐患的做法更加有效。金融服务行业越来越注重安全性，特别是在早期嵌入安全性，这将有助于更有效地防止攻击，避免网络攻击带来的严重后果和巨额修复成本。
    此外，杨国梁告诉记者，在一些企业并购交易过程中，对目标公司的软件进行技术尽职调查是必需的。如果对其流程和工具并不清楚的话，可能会带来潜在的风险。代码所含内容至关重要。应用中未被发现的开源可能导致代价高昂的许可证违规。这些以及专有、开源和其他第三方软件中的安全漏洞可能会对软件资产的价值产生重大负面影响。因此，在并购中，尽职调查尤为重要。
    记者了解到，作为新思科技的解决方案，黑鸭审计十多年来一直是业界最值得信赖的解决方案，能够应对并购和内部合规性开源尽职调查，为极其注重速度和准确性的高科技企业和创业公司、私募股权公司和法律顾问提供开源、安全、质量和合规性审计服务。