查看原文
其他

《关于规范金融业开源技术应用与发展的意见》如何落地实施:开源治理保障金融行业数字科技创新

栗蔚 郭雪 俊哲 中国信通院CAICT 2021-11-21

近日,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称为“《意见》”),中国信息通信研究院(以下简称为“中国信通院”)前期支撑了《意见》的制订工作。


近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多风险。《意见》重点提到金融机构在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”这四大基本原则,鼓励金融机构一是将开源技术应用纳入自身信息化发展规划,建立健全开源技术应用管理制度体系等;二是积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会组织等;三是完善金融机构开源技术应用指导政策,探索建立开源技术公共服务平台,加强开源技术及应用标准化建设等。


一、金融机构开源使用广泛,需提升全量化管理能力

金融机构开源使用广泛。根据我国金融行业开源技术应用社区调研结果,我国金融机构中超过90%的企业引入了开源软件。其中,中间件(90.63%)、大数据(87.5%)、数据库(87.5%)与工具(78.13%)是主要的开源软件应用方向。开源软件引入形式包含源代码级引入、制品环境组件级引入、商业解决方案间接引入等方式,近四成金融机构使用超过1000个开源软件/组件。


来源:中国信通院

图1  金融机构开源软件/组件使用情况


我国金融机构逐步开展开源风险治理工作。92.11%的金融机构涉及开源内部开源治理工作;超六成金融机构已制定企业级开源治理流程与管理文件,具备明确的开源软件治理人员责任划分;三成金融机构设置独立开源管理团队实施开源管理工作。在管理对象的覆盖度上稍显不足,只有两成金融机构开展开源软件、开源组件与开源工具的全量化管理。上述数据表明我国金融机构重视企业开源治理工作,并朝着专业化方向发展,但需要提升全量化管理能力。


来源:中国信通院

图2  金融机构开源软件分类分级别管理情况


二、金融企业拥抱开源的两个方面

《意见》旨在规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展。那么依照相关指导意见,金融机构拥抱开源可以分为两个层面,分别为“开源使用”和“自发开源”。


开源使用目标是保证我国金融行业开源技术的持续稳定使用,包括:一是金融机构要积极拥抱开源,跟踪并掌握主流开源技术路径,提升自身科技水平;二是企业根据自身特性开展开源治理工作,识别开源技术安全、法律合规、供应链等方面的风险,细化开源风险指引文件,完善内部治理体系。


自发开源目标是汲取先进技术,开源创新技术,培育适合金融场景的开源产业链。途径是积极参与国际国内开源技术社区建设,同时探索金融行业自主开源,鼓励金融机构、科技公司、科研院校之间开展开源项目合作,通过贡献代码解决行业共性问题,提升金融行业开源技术整体应用与技术创新速度。


三、开源使用治理需覆盖全周期

1、管理对象:明确开源技术管理范畴


《意见》中第一条给出开源技术范畴。“一、本意见所指开源技术是金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。”


开源使用治理范畴主要包括三部分,一是企业直接使用部分,针对直接使用的源码或者制品进行管理;二是合作开发,外包商开发引入的源码或制品进行管理;三是商业采购,对于商业采购的产品、解决方案、云服务涉及的开源软件/组件进行管理。


2、总体要求:使用管理需从上到下建立组织机制


《意见》中主要是第“三、四、五”条涉及到金融机构开源技术应用的总体管理要求。“三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施”;“四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题”;“五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为”。


这三条主要从整体规划、组织架构、管理规范三大方面进行描述。整体规划,金融机构宜具备企业级开源软件治理战略,能够进行开源治理战略规划与实施。组织架构,金融机构宜设立开源治理团队或开源办公室,从管理层面统筹规划、推动和实施企业开源治理工作,并构建开源技术团队、安全团队、法务团队等专业化团队负责管控开源软件中涉及的风险问题,由专业团队定期提供内部辅导培训和专业咨询服务。管理规范,金融机构宜完善开源软件管理制度,制订总行级、中心级开源软件管理规范,对开源软件的引入、使用、更新、退出的全流程管理提出明确规定,在制度中明确要求对开源软件进行统一管理。


3、使用过程:以业务场景为核心,需覆盖开源使用全周期,掌握核心技术


《意见》中主要是第“六、七、八”条涉及到金融机构开源技术使用的管理要求。“六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等”;“七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险”;“八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级”。


这三条主要从开源软件的使用管理流程“技术选型、技术跟踪、技术提升”来进行描述。技术选型,金融机构选择开源技术,应以业务场景目标为核心,宜从实际业务需求出发开展充分的市场与场景成熟度调研,由开源软件使用团队对软件功能性进行详细评测;同时金融机构宜针对直接引入(企业直接使用开源软件/组件)、商业解决方案(采购商业产品涉及开源软件/组件)与外包开发(外包开发商涉及开源软件/组件使用)等引入方式、形成开源软件引入测评模型(或方法),制定可操作的测评标准(或定量的测评指标),从项目活跃、行业认可、软件质量和服务支持等多个角度考察开源软件情况,综合评估该软件或服务商是否应该引入。技术跟踪,金融机构宜构建源码仓库和制品仓库对开源代码进行统一管理,持续跟踪企业内正在使用的开源软件的社区情况、版本更新情况及开源许可证情况,通过治理平台(台账管理)辅助实现开源软件信息的登记和更新,定期对相关信息进行分析、评估和处置;同时金融机构宜建立开源软件运维管理机制,通过建立运维知识库和内/外专家支持机制保证技术运维支持能力。技术提升,金融机构宜规范技术人员完成开源软件相关配套文档的编制工作,加强开源技术研究储备;并根据开源代码实际应用情况建立与开源社区必要的反馈和沟通机制,掌握开源技术核心,实现开源技术持续迭代优化。


4、风险管理:及时识别可能存在的风险点并做相应处置和记录


《意见》中九、十、十一、十二涉及到开源的风险管理部分。“九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。”;“十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。”;“十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。”;“十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。”


金融机构宜建立开源风险管理机制,统一开源信息记录和风险管控,及时识别可能存在的风险点并做相应处置和记录。技术路径风险,金融机构需要在引入前充分评估开源项目及社区成熟度,在引入后定期跟踪开源社区发展情况,及时发现开源项目无人维护、策略变更等风险。知识产权及合规风险,金融机构需充分了解引入开源项目的许可证情况,结合本企业使用场景和分发情况判断开源许可证传染性、合规性及兼容性风险。信息安全风险,安全漏洞问题最为显著,金融机构宜在引入软件前应进行安全漏洞扫描并出具安全漏洞检测报告,在软件使用过程中应通过扫描工具、外部漏洞通报等方式收集安全漏洞信息并进行评估。供应链风险,金融机构需对合作方、外包等第三方所提供软件中涉及的风险进行评估,要求其提供物料清单等内容,以保障供应链安全,同时企业应从合同义务等方面确保第三方软件供应商遵循企业的开源代码安全合规要求,确认责任分配机制,防止意外风险发生。


金融机构落地《意见》中的总体要求、使用过程要求及风险管理要求可参照中国信通院牵头编制的《开源软件治理能力评价方法》《开源供应链风险评价体系》《开源项目选型参考框架》等标准。(详情可见附录)


来源:中国信通院

图3  中国信通院开源治理能力成熟度框架图


四、自发开源是产业创新的有效方式

《意见》中十三、十四、十五涉及到通过自发开源合作实现产业创新。“十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展”;“十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化”;“十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动”。


随着金融行业自发开源需求的不断增加,根据自发开源的生命周期可以分为“开源前”、“开源中”与“开源后”三个阶段。


开源前,审核检查。一是明确开源目标,金融企业内部众多业务场景具有重要价值,在进行自发开源时,需找出那些不是企业“核心机密”,却具有实际业务价值和技术发展潜力的软件。二是明确开源动机,开源项目是为了解决金融行业痛点问题,还是通过开源协作实现软件迭代与技术更新;同时金融行业应对开源后的社区参与方、利益相关者与商业模式进行规划。三是事前审核检查。金融机构宜对即将开源的代码、文档等执行业务审核、代码审核、知识产权审核、安全审核等工作,全面排查系统中存在的安全漏洞、商业机密的泄露、第三方专利权的侵犯等情况。四是梳理配套内容,对将开源的程序代码与技术文档进行梳理,形成完整的材料清单,同时确定开源项目的名称、logo、知识产权所属等基础信息。


开源中,筹备评估。一是开源托管平台选择。金融企业可以从平台知名度、用户数量、开源目标等维度进行考量;企业如果想要寻求行业协作可选择具有行业属性的代码托管平台,如果想要寻求广泛协作、共建开源生态,可选择影响力更大、通用性的开源代码托管平台。二是开源许可证选择。根据项目的开源动机、开源声明、充分考虑知识产权保护和开源项目发展定位等问题,选择合适的开源许可证。三是开源基金会/社区组织运营托管。金融企业在项目开源时可以考虑将项目贡献/托管给成熟的开源基金会或开源社区组织,依托基金会/社区组织成熟的治理运行模式与产业生态圈,与其他企业机构基于市场化原则开展开源技术联合研发和运营,促进开源项目快速发展。


开源后,治理运营。一是形成社区治理规范。社区治理流程规范可包括组织架构的分工与职责、事务决策与投票机制、组织之间的办公交流方式、会议举办形式和新成员选拔与退出机制等。二是完善社区运营机制。选择合适的社区治理模式有利于促进贡献者的协作,包括建立参与者沟通渠道,创建辅导与激励机制等。同时通过多种社区运营工作持续吸纳开发者,与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,提高社区活跃度,加快项目迭代速度和技术更新速度。三是持续保障项目安全合规。开源项目维护者需要对开源社区进行持续监测,涉及开源项目版本更新规范,定期对开源项目进行安全合规检查,对开源漏洞进行持续监测和感知并进行及时修复。


来源:中国信通院

图4  自发开源体系框架图


金融机构探索对外开源可参考中国信通院牵头编制的《开源软件治理能力评价方法》《可信开源社区评估体系》等标准,同时依托金融行业开源技术应用社区(FINOC)与可信开源社区共同体(TWOS)进行协作,帮助金融机构运营有开源需求的项目,推动产业上下游形成广泛合作,支撑我国金融开源技术发展。(详情可见附录)


来源:中国信通院

图5  金融行业开源技术应用社区成员情况


来源:中国信通院

图6  可信开源共同体成员情况


五、多方协作是金融开源生态发展的重要保障

1、开源产业各方积极推动开源生态构建


《意见》中十六、十七、十八涉及开源供应商、监管机构、第三方服务机构的建议举措。“十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。”;“十七、人民银行、中央网信办、工业和信息化部、银保监会、证监会等部门加强统筹协调,建立跨部门协作配合、信息共享机制,定期召开跨部门协调会议,完善金融机构开源技术应用指导政策,推动金融机构合理规范使用开源技术。”;“十八、探索建立开源技术公共服务平台,为金融机构识别开源技术风险、动态管理开源软件、持续跟踪开源前沿技术、共享开源发展动态信息、参与开源社区运营等提供专业化、定制化服务。推动金融机构开展开源技术成熟度评估,进行开源许可安全合规审查,建立开源技术选型评估模型,提升开源技术应用质量与效率。”


产业各方需积极推动开源发展举措。开源供应商,从规范掌握核心代码,到重点领域开源创新。基于开源的供应企业需掌握自身开源软件应用情况,建立开源软件管理体系,合规使用开源软件。同时深度掌握开源技术,具有二次开发优化能力。在重点领域探索自发开源。监管机构,五部委协调配合,完善指导政策。第三方服务机构,建立开源治理公共服务。包括公共平台建设,涉及开源风险检测平台、开源生态监测平台、开源软件管理平台;开源服务支持,涉及开源技术资讯、开源安全信息、开源维护支持等;开源评估,针对开源项目成熟度、企业开源应用治理能力、项目合规性定期开展评估。


中国信通院开源公共服务:

  • 开源风险检测平台:开源风险检测平台根据中国信通院前期已经编制完成的《开源许可证使用指南》,结合已有工具厂商的内置规则,可实现对主流开源许可证进行分类和风险分析,对识别出的开源漏洞给出修复建议,帮助用户梳理并降低开源风险。

  • 开源生态监测平台:开源生态监测平台通过定期抓开源代码托管平台上开源项目中的活跃度、提交问题数、支持度等信息对开源项目进行打分和展示,为用户开源项目选型提供依据。

  • 开源评估:针对开源项目、开源社区、开源供应链、开源工具、企业开源能力、开源风险等方面进行评估。


2、完善标准体系与法律保障


“十九、加强开源技术及应用标准化建设,瞄准急需、重点领域加快标准制定与实施。加快推进开源技术应用和标准研究制定一体化。加强开源技术标准建设与信息化规划的衔接配套,推动金融业开源技术及应用高质量发展。”;“二十、鼓励金融机构加强知识产权保护研究与宣传,提升知识产权保护意识,制定软件版权、专利、商标等开源技术知识产权保护策略和制度。依法合规使用开源技术,同时保障自身在使用开源技术、参与开源生态贡献中的合法权益。”


第三方应针对开源技术、开源治理加速标准化建设,同时推动标准应用。金融机构应提高开源知识产权的认知水平,合规合法参与开源生态建设。


中国信通院牵头开源标准体系:


来源:中国信通院

图7  可信开源标准体系


六、小结

《意见》的发布,为我国金融业开源生态发展,尤其是建立健全开源技术应用管理体系提供了依据。金融机构应以《意见》为指引,在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”这四大基本原则,加强开源治理与协同创新,打造合作共赢的开源生态,最终推动金融机构科技创新和数字化转型。中国信通院推出金融机构开源赋能计划,通过构建开源培训、诊断、咨询、评估、订阅全生命周期赋能服务,推动我国金融行业从开源使用者到引领者转变,详情请查看中国信通院开源赋能计划附录。



点击左下“阅读原文”,查看附录。



作者简介

栗蔚,中国信通院云计算与大数据研究所副所长、中国通信标准化协会TC1WG5云计算组组长、TC608云计算标准和开源推进委员会常务副主席、云计算开源产业联盟秘书长,负责云计算、开源、企业IT数字化转型等研究。


郭雪,中国信通院云计算与大数据研究所云计算部副主任,主要从事云安全、开源相关研究,目前担任中国通信标准化协会TC608包括保险云、云安全、风险管理、开源治理等工作组组长。


俊哲,中国信通院云计算与大数据研究所开源领域研究员,主要负责开源知识产权、企业级开源治理、开源项目与开源社区构建、开源公共基础设施平台等方面的研究工作



咨询联系人

俊哲 18900125677(微信同号)

junzhe@caict.ac.cn



校  审 | 陈  力、 珊  珊

编  辑 | 凌  霄


推荐阅读

中国信通院余晓晖:数字化减排,助力绿色低碳发展
数字化转型专家谈



: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存