近年来,开源技术快速发展,在云计算、大数据、人工智能等领域逐渐形成技术主流[1]。在开源生态中,金融机构往往以最终用户的角色出现,自身或从供应商处引入了大量开源软件,而开源软件特有的所有权和使用权分离的特点,有可能将开源风险转嫁给金融用户。目前,我国金融机构对开源软件的管理尚不完善,不具备较成熟的开源治理体系,导致开源风险隐患突出。因此,有必要积极推进金融行业建立开源治理体系,促进开源软件合规、安全使用。2019年,中国开发者对开源代码的贡献增长迅速,软件开源趋势已经席卷全球。全球最大的代码托管平台GitHub的数据[2]显示:从GitHub上的贡献来看,2019年亚洲的开发者社区增长迅速,其中的贡献者有31%来自中国,且贡献增速明显;从GitHub上开源代码的使用情况来看,2019年中国、印度和德国在开源代码的使用速度上明显加快,其中中国开发者Fork及Clone的项目开源代码使用速度比2018年增加48%。中国开发者对开源代码的使用量增长已位列全球第一。企业对开源技术的接受程度逐年增高,超过8成的企业认可开源技术。根据中国信息通信研究院的调查[3],已经应用了开源技术的企业占比达到86.7%,有计划应用开源技术的企业占比为10.6%,开源技术已经被企业普遍接受。金融行业开源技术应用覆盖领域广泛,头部企业逐步开展开源治理方面的相关工作。金融行业开源技术应用社区调研了我国头部金融机构中的16家,结果显示:超6成企业使用的开源软件数目大于100个,其中2家大型机构的开源软件使用数量在1000个以上;企业对开源技术的应用覆盖操作系统、数据库、中间件、工具等众多领域,所有企业均使用了开源的中间件技术;在开源治理方面,超7成企业已经开展许可证评估,超6成企业已经在本地部署开源扫描工具。从调研数据上看,我国的金融机构已经接受开源技术,并将逐步增加对开源技术的应用。接受调查的头部金融机构在开源治理方面已经获得了一些初步成果,但中小金融机构尚无法做到对开源软件的有效管理,开源风险问题仍需引起重点关注。开源通过多人协同和软件使用权共享的协作方式打破了传统软件开发的封闭模式,但与此同时也给传统的金融行业带来了新的问题和挑战。相比于直接购买商业公司的闭源软件,金融机构使用开源软件对企业的开发、运维、安全、法律等多个方面提出了更高的要求。目前,大部分金融机构对自身正在使用的开源软件缺乏统一管理,企业级开源治理模式尚处于零星探索阶段。(1)开源软件隐含的安全风险较为显著,安全缺陷密度处于较高水平。据奇安信开源项目检测计划数据显示:在目前已检测的3000余款开源项目中,开源软件缺陷密度为14.22/千行,高危缺陷密度达到0.72/千行,10类重要缺陷检出率高达61.7%。综合来看,开源软件安全问题已经成为用户最为关注的开源风险之一。(2)开源项目的相关专利诉讼逐年增长,开源知识产权风险逐步显现。2019年11月18日,美国专利组织Unified Patents公布针对2012年以来约260个开源项目/平台的美国地区法院专利诉讼案件的调查,结果显示开源相关专利诉讼逐年增长。2019年11月6日,中国第一个关涉GPL协议的诉讼案件由北京市高级人民法院做出二审终审判决,开源许可协议的法律效力及背后涉及的专利等知识产权问题在我国首次得到官方解读。(3)使用开源软件可能受各国法律条款约束,我国企业需要引起足够重视。目前,主流的开源许可证大多由外国编制,术语与解释原则主要适用于外国法律,导致我国使用者对其表述的理解不够充分或存在法律差异。GitHub、SourceForge、Google Code等代码托管平台,以及Apache、Mozilla等知名基金会的注册地均在国外,需遵守所在国家相关法律法规,并按所在地法律解决纠纷。(1)与其他行业相比,金融行业具有“强监管”特性。包括金融机构在内的大部分国内企业对于开源软件的管理仍处于探索阶段,在开源治理方面缺乏经验和有效手段,导致开源软件使用风险问题日益凸显。(2)开源软件种类繁多,金融机构难以准确统计所使用的开源软件数量。商业软件中所涉及的开源代码片段往往不会公开给金融用户,从而导致金融用户很可能被动引入开源软件。同时,金融机构的研发人员很可能在自研代码中使用开源组件或代码片段,如果相关机构未对源代码进行规范地扫描验证,也可能导致开源代码的引入。(3)开源知识产权问题复杂,金融机构面临未知的合规风险。开源许可证规定了开源软件的使用范围和权利义务。然而,开源许可证以英文表述为主,且含有较多专业法律词汇,金融机构缺乏能够解读开源许可证的相关专业人士。在采购软件或自研代码中,金融用户往往无法准确判断其是否遵循了开源许可证的规范,进而导致因使用相关软件而被迫接受开源风险的转嫁。(4)金融机构面临更为严苛的安全风险挑战。开源软件存在较高的安全缺陷密度,后门、安全漏洞等是目前存在的主要问题。相比于购买有维保的商业软件,金融机构在使用开源软件时往往需要投入大量精力关注数据安全、隐私风险等问题,与商业软件有完善的运维保障支持相比,开源软件如果出现安全问题,将给金融机构带来较为严重的危害。(5)国际开源社区难以响应金融机构的代码反馈,社区部分功能不能满足金融场景需求。开源软件与以往的闭源软件相比,最大的问题在于开源软件缺乏技术和运维支持。而金融机构在国际开源社区的话语权较弱,能参与顶层设计的极少,提出的代码反馈被采纳的更是寥寥无几,金融机构在国际开源社区基本处于远端“陪跑”状态,造成社区版开源项目在功能设计等方面往往不能完全满足金融用户需要。(6)金融机构参与和贡献开源的意愿逐步增强,但本地没有合适的途径落地。在使用开源技术的过程中,金融机构结合自身实践经验形成了部分优秀的项目,希望寻求合适的途径对外输出,但是考虑到国际开源基金会的门槛较高,以及金融机构强监管的特性,难以找到可以贡献落地开源项目的社区,导致成果难以形成合力。金融行业开源软件的使用数量和应用范围日益增大,与此同时相关的开源风险也愈加凸显。目前,我国金融机构已经从理解开源的价值逐步走向认识开源的风险,后续也将从使用开源向治理开源方向转变。在充分利用开源技术促进金融机构向开放化、数字化方向转型的前提下,相关主体要积极采取措施应对开源技术使用带来的风险和问题,保障金融机构满足行业监管要求。与开源技术的广泛应用相比,相关人员对开源理念的认知已经成为关键短板。开源知识的科普和开源风险意识的树立是产业界应该持续投入的重要方向。除了以白皮书、公开演讲等形式进行开源基本概念、开源许可证等方面的解读之外,金融行业管理机构可以定期进行开源软件使用情况摸底,分析金融行业开源技术应用现状、主要风险、发展方向等问题,帮助金融机构了解自身的开源软件使用情况,树立开源风险意识,进一步提升企业开源软件管理水平。金融机构可以通过制定开源管理制度,建立自上而下的开源治理体系,规范开源软件全流程管理,进而规避企业使用开源软件带来的风险。金融机构应从组织机制、管理制度、风险管理、软件测评、开发测试管理、运维管理、持续跟踪、退出管理等方面对开源软件进行统一管理。着重从管理角度搭建开源治理相关的组织架构,设置明确的开源治理分工,将开源治理的工作和责任具体落实到个人。同时,制定企业内部相关的规章制度,将开源软件的引入做流程化规范化管理。金融机构在开源生态中往往以用户的角色存在,与科技公司或个人开发者相比在生态中参与度较低。因此,其行业特性需求往往无法通过开源社区等渠道得到及时反馈和解决。在此条件下,有必要建立针对金融行业的开源技术应用社区,链接金融用户和科技公司,搭建行业交流分享平台,促进开源技术更好地在我国金融机构中落地。国际方面,FINOS(金融科技开源基金会)目前拥有花旗集团、摩根大通等30余家会员单位;国内方面,由中国信息通信研究院等单位牵头发起的“金融行业开源技术应用社区”于2018年成立,目前已拥有30家成员单位,包含农业银行、中国银行、浦发银行等17家金融机构。该社区自成立以来通过研讨交流、问卷调研等形式,积极整合优势资源和技术成果共享开源经验,共同推动国内金融行业开源生态健康发展。开源势头迅猛发展,金融机构不可避免地引入开源技术。目前,我国金融机构针对开源的治理模式已经开展初步探索,但在开源软件的使用和管理过程中仍然存在诸多风险。相关主体应积极采取措施,在利用开源软件推动我国金融行业技术创新的同时提升治理水平,促进金融行业更好地向数字化、智能化方向转型。
参考文献
[1] 金融行业开源技术应用社区, 云计算开源产业联盟. 金融行业开源治理白皮书[R], 2019.
[2] GitHub. The state of the octoverse[EB/OL]. (2019-09-30)[2020-04-09]. https://octoverse.github.com/.
[3] 云计算开源产业联盟. 开源产业白皮书(2019年)[R], 2019.
武倩聿
中国信息通信研究院云计算与大数据研究所云计算部工程师,主要从事开源风险及治理方面的标准研究工作,重点研究金融领域开源软件的使用及管理。
唐 浩
中国信息通信研究院云计算与大数据研究所综合部主任。
《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“信息通信技术前沿的风向标,信息社会政策探究的思想库”,聚焦信息通信领域技术趋势、公共政策、 国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、区块链、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用的高端学术交流平台。