海保人寿：开源治理保障科技与保险融合，助力保险业务数字化改革创新

海保人寿保险股份有限公司（简称“海保人寿”）是第一家在海南筹建开业的全国性保险机构。从成立之初，便深耕于数字化创新，在自身多业务环节中实现数字化转型，依托优秀的研发体系与数智融合的业务系统，不断推进保险业务的改革与创新。

开源组件风险防不胜防

开源治理成为“良药”

海保人寿高度重视科技与保险的融合发展，积极探索数字化创新。在此过程中，开源组件因其使用便捷、灵活定制等特点，在海保人寿业务系统研发过程中被广泛应用，使系统得以快速升级迭代，节省大量研发成本。随着开源组件应用趋势不断扩大，其安全合规问题逐渐暴露，给海保人寿带来安全隐患。

高透明度的代码漏洞，随时面临攻击威胁。开源技术具有开放性与透明性，使得黑客有机会利用开源组件的代码漏洞，随时对组件使用者发起攻击，这成为了系统研发的薄弱环节。

复杂的依赖关系，潜藏开源软件供应链安全风险。开源组件并非是独立产品，更多是以其他开源项目为基础进行构建，导致开源组件背后隐藏多层复杂的依赖关系。一旦其中的所依赖项目出现安全问题，容易扩散到其他组件，导致系统存在更难发觉的安全隐患。

开源组件违规使用，引发知识产权法律纠纷。因许可证（GPL类）的传染性、开源许可证之间可能不兼容、开源组件的使用规则存在不确定性等因素影响，很容易因违规使用开源组件而引起法律纠纷。

海保人寿提升开源治理能力

助力保险业务数字化改革创新

海保人寿应用开源网安软件成分分析平台SourceCheck作为开源组件治理工具，为海保人寿解决了软件成分分析（SCA）、许可证检测以及对组件依赖分析等开源组件治理需求。

高效分析组件，快速识别代码漏洞。海保人寿应用开源网安软件成分分析平台，实现自动化分析组件源代码或二进制文件，通过与平台自研的海量组件库、漏洞库进行比对分析，帮助其识别系统源代码中漏洞信息，并及时反馈修复建议，确保海保人寿业务系统的安全可靠。

生成SBOM，解决开源软件供应链安全风险。软件成分分析平台对海保人寿业务系统进行深层检测，精确识别所使用的开源组件信息，生成一个详细的软件物料清单（SBOM），其中包括组件所依赖的其他组件版本和源码地址，并通过对SBOM的持续维护，实时监控组件依赖关系变化，帮助研发团队高效管理开源组件，解决依赖冲突所带来的开源软件供应链安全风险。

开源许可证识别，避免合规性风险。软件成分分析平台可以识别包管理器中声明的组件，及时了解使用的所有开源组件许可证及其约束条件，以提供全面的许可证分析报告，提示潜在的许可证合规性问题，帮助海保人寿在早期阶段就能有效避免合规性风险。

海保人寿通过开源网安软件成分分析平台，提升开源组件治理能力，帮助研发更安全地使用开源组件，极大地提高了业务系统研发的效率与质量，助力其利用数字化技术支持从业务开发、报价、批改、理赔、续保、再保等全流程保险业务需求。真正做到以客户为中心，让客户获得更优质的服务。

在未来，开源网安将继续探索先进的开源治理解决方案，致力于帮助金融客户安全合规地利用开源技术，推动数字科技与金融业务的创新融合。