中信银行通过可信开源治理能力成熟度评估,探寻中信银行的开源治理之路
当前企业引入开源软件已成为普遍现象,如何做到开源使用合规和开源使用安全是开源治理面临的主要问题,建立开源治理组织,规范开源使用流程和制度是规避开源风险的有效手段。
10月16日,2020云计算开源产业大会以线上直播的方式隆重开幕,本次会议由中国信息通信研究院主办,云计算标准和开源推进委员会承办,云计算开源产业联盟、金融行业开源技术应用社区支持。
大会隆重发布了2020可信开源治理能力成熟度评估结果:中信银行顺利通过由中国信息通信研究院开展的可信开源治理能力成熟度评估,本项评估以《开源软件治理能力成熟度模型》标准为依据,考察开源使用企业组织机制、管理制度、软件选型、使用规范、风险管理、持续跟踪、退出机制。
评测单位:中国信息通信研究院
中国信息通信研究院云计算与大数据研究所所长何宝宏博士为中信银行授牌:
何宝宏博士(左一)为中信银行(左二)授牌
此次我们采访到了中信银行信息管理技术部的资深专家,负责全行开源治理相关工作的王丽丽老师谈谈本次开源治理能力成熟度评估和中信银行开源治理的那些事。
Q
Qustions&
A
Answers
Q
老师您好,请介绍一下您和您的企业,以及此次参与评估的项目。
A:我是来自中信银行信息技术管理部架构处的王丽丽,负责中信银行开源软件治理相关工作,我行于2020年8月参与了信通院发起的开源治理能力评级。
Q
恭喜您通过可信开源治理成熟度评估,您的感受是怎样的?
A:首先是感谢,感谢OSCAR为行业用户提供了可以参考的成熟度评估体系,能让我行的开源治理能力建设有明确的目标和方向,也非常感谢信通院专家的指导和帮助,让我行在金融行业中首批收获了此项荣誉。
其次是喜悦,我行过去一年以来,确实在开源治理方面做了很多努力,包括制度、流程、团队、工具等各方面的建设,通过可信开源治理成熟度评估,是对我行工作的极大认可。
Q
贵单位参与本次可信开源治理成熟度评估,请问企业有哪些考量?
A:1、通过成熟度评估,对我行开源治理能力进行检视,寻找差距和不足,以评级促改进,找到未来开源治理能力应重点发力的方向。
2、了解同业、行业开源应用、开源治理现状,学习先进开源治理实践,洞察前沿厂商有哪些可借鉴的技术能力,为开源治理能力建设积累经验和资源。
Q
通过可信开源治理成熟度评估带给企业和团队哪些变化?
A:1、提升了管理层对开源治理能力建设的重视,为我行技术架构向开源、开放转型保驾护航。
2、对于团队而言,评估促进我们梳理管理流程、组件专业团队、引入治理工具、完善控制规则,企业的开源治理从零星探索阶段逐步走上正轨。
Q
在可信开源治理成熟度评估过程中的困难与解决办法,可以分享一下吗?
A:本次开源治理能力评估的测试项非常丰富,要确保对于每一个测试项的理解都足够正确,需要与信通院的专家老师进行充分的沟通,在此也感谢信通院郭雪主任、晓明老师的耐心解答。
Q
对于开源治理工作的开展,下一步计划有几方面?
A:1、将开源治理工具融入DevSecOps工具链,实现管控流程自动化及闭环。
2、梳理存量系统开源应用情况,全面了解自身开源软件使用情况。
3、培养人才队伍,建设重要、核心开源产品的自主掌控能力。
Q
对于开源治理的未来发展方向,您有何看法?
A:金融行业的开源治理普遍处于起步阶段,面临诸多问题,无论是法律风险、对开源技术的自主掌控、还是开源风险的识别和处置,各方面能力都亟待建设,企业自身能力的建设投入高、见效慢,随着监管对开源治理的重视和要求的提升,行业内应该会催生出一批专业服务厂商,针对企业用户在开源治理中的痛点和难点,给予技术或解决方案的支持。
可信开源治理能力
评估介绍及评估报名
面向用户企业:评估对象为使用开源软件的企业用户。开源软件在企业中广泛使用的同时也从安全和合规角度对企业的开源治理能力提出了更高的要求。针对开源用户在使用开源软件时面临的风险,重点考察企业在组织机制、管理制度、风险管理、软件测评选型、技术使用管理、技术运维管理、定期健康评估和软件退出管理等方面的能力。根据企业开源治理水平实际所处的不同阶段,将划分为基础级、增强级和先进级。
面向自发开源企业:评估对象为发起开源项目的企业。重点考察企业在开源治理组织架构、开源项目管理制度、开源工具平台建设、开源项目申请、开源项目审批、开源项目发布、开源项目运行维护、开源社区管理、开源项目关闭九个方面的规范性。
《开源软件治理能力成熟度模型》框架图
即日起,中国信息通信研究院现启动新一轮可信开源治理能力评估报名,如有意向参与评估,请与相关人员联系。
联系人:李晓明 lixiaoming1@caict.ac.cn
精彩内容推荐