1、金融行业开源治理白皮书金融行业开源治理白皮书一、 开源技术迅猛发展推动企业引入开源 . 11、 开源已在多个重要领域成为主流 12、 企业用户引入开源技术不可避免 2二、 金融行业采用开源技术已成趋势 . 61、 开源技术是构建信息系统的重要选择 62、 选择开源技术对金融机构意义重大 8三、 引入开源的风险日益凸显不容忽视 . 111、 缺乏技术能力是企业用户的重要痛点 112、 是否引入开源软件难以完全准确统计 123、 开源软件隐含的安全风险较为显著 134、 使用过程中是否遵守开源约定未知 145、 开源软件上游供应链存在不确定性 146、 开源软件的知识产权风险易被忽略 15四、 金
2、融行业开源治理建议 161、 推广产业开源科普,树立开源风险意识 162、 建立金融开源社区,增进同业交流沟通 173、 梳理开源治理规范,推动相关标准制定 184、 建设开源治理体系,规范开源软件引入 19附录 金融机构开源治理实践案例 23中国农业银行 23上海浦东发展银行 26中信银行开源 30中国太平洋保险(集团) 32近几年开源技术快速发展,金融行业在构建信息系统过程中不可避 免涉及开源技术的引入和使用。开源一方面可以突破技术壁垒推动 金融 机构技术创新和业务发展,另一方面也不可避免的带来知识产权、信息安 全等一系列问题。金融作为涉及关乎国民经济的关键行业,面 临与其他 行业相比更为
3、严苛的监管要求。如何在遵循开源义务要求的 前提下规范 地使用开源技术,从而最大化减少使用开源带来的风险,是金融机构构 建信息系统过程中必然面临的问题。金融行业开源治理白皮书首先介绍企业用户引入开源技术的 背景,阐述开源技术对金融行业的重要意义,重点梳理引入开源可能 导致的风险,并对金融行业在开源治理方面可以采取的措施给出了建议, 最后附录了参与白皮书撰写企业的开源治理实践案例。金融行业开源治理白皮书一、 开源技术迅猛发展推动企业引入开源近几年开源技术快速发展,在云计算、移动互联网、大数据 等领域逐渐形成技术主流。开源技术正在渗透软件领域的方方面 面,企业用户已经越来越难以规避开源的引入。与此同
4、时,开源 的迅猛发展也推动企业从购买闭源商业软件转向关注和使用开 源软件。整体而言,不论企业是否接受,开源已经从事实上成为 了一种不可阻挡的趋势。1、 开源已在多个重要领域成为主流开源推动软件生产模式向多人协作方向发展。 相比于闭源软 件封闭式的开发模式,开源软件开放式的生产模式推动更多人参 与到软件的创造之中。最初,大多数自由和开源软件项目的贡献 者通过电子邮件或私有的版本控制系统(如 Subversion 或 BitKeeper )进行协作。诞生于 2008 年的 GitHub 改变了这一情 况, GitHub 提供使用 Git 进行版本控制的软件源代码托管服务, 使更多开发者能够更方便地
5、参与开源项目,进一步推动开源软件 生产效率和生产质量的提升。 GitHub 的出现改变了开源软件的协 作模式,开发者不再需要先获得开发者社区的权限才能参与开 源项目,这种多人协作的软件生产模式大大推动了开源软件市场 的发展壮大。开源软件已经逐步形成强大的生态链条。 21 世纪之前,软件 世界以闭源为主,“闭源”与“收费”成为软件市场的主流,IBM、甲 骨文、EMC为核心的软硬件产品是金融行业用户的主要选择。90 年代末,开源软件从对商业软件的模仿开始兴起,如: Linux (对应微软的 Windows 操作系统) 、 OpenOffice (对应微软的 Office )、FuseESB(对应
6、IBM ESB 和 Oracle ESB )等等。从 00 年代到现在,开源软件在市场上已经逐步与闭源软件平分秋色。 近年来,随着 IT 产业逐渐向服务化转型,开源已经成为 ICT 产 业发展的重要趋势,在移动互联网、云计算、大数据、人工智能等诸 多重要领域成为主流技术形态,如:移动互联网领域的Android ,云计算领域的 OpenStack 、 Kubernetes(k8s) ,大数据 领域的Hadoop,人工智能领域的Tensorflow 等。以上领域的技 术更新迭代速度较快,企业用户在选择相关领域技术时,可能存在 没有商业产品可供选择,只能被迫采用开源技术的现象。2、 企业用户引入开源
7、技术不可避免随着开源技术快速形成生态,企业用户引入开源技术已成大 势所趋。一方面,开源技术已经在大数据、云计算等重要领域形 成技术主流,开源软件覆盖软件生态的诸多方面;另一方面开源 代码规模正在飞速增长,截至 2018 年 9 月,开源代码托管平台 GitHub 上已经有 9600 多万个库,相比去年也增长了 40% 以由此可见,开源软件已经成为软件生态的重要且不可替代的 组成部分,不论管理者是否知悉,企业内部在很大概率上都已经 引入了开源相关的技术,具体有以下三种引入形式:1)所购买或使用的商业软件,隐含开源组件或代码 在开源软件兴起之前,大多数企业一般会选择购买商业软件, 因为这种购买行为
8、对于企业而言是“公对公”的,大企业内部一 般 都有规范的采购流程,企业负责人也认为商业软件的售后有所 保障。然而,并不是购买了商业软件就意味着不用关心开源。实际 上,很多商业软件是基于开源做二次开发后以闭源形式提供给用 户的,但用户一般只知道自己购买了商业软件,而对其中可能涉 及的开源风险一无所知。如果用户没有特殊要求,商业软件供应商一般不会说明是否涉 及开源软件,而用户一般不能直接接触到软件的源代码。因此, 用 户很可能被动的就引入了开源软件,即使想遵守开源规则也无从下手。 虽然企业用户确实购买了商业软件,但商业软件中却有可能包含开 源的成分,用户很可能在不知情的情况下使用了开源而不自知。从
9、 这个角度来说,很多时候并不是企业用户主动选择了开源,而是被 动使用了开源之后才意识到了解开源的重要性。2)购买基于开源软件的商业版本很多时候企业觉得自己购买了商业软件,然而实际上却往往 是开源的商业版或者是发行版。目前已知的 Linux 发行版就有300 多种,其中就有比较成功的商业发行版如: redhat 、SUSe、 Ubuntu 等;全球范围内基于 OpenStack 提供支持和服务的企业 超过 150 家, 根据 OpenStack 基金会发起的第 11 次全球 OpenStack 用户调查显示,华为、红帽、 EasyStack (易捷行云) 是 2018 年排名前三甲的 OpenS
10、tack 软件供应商;大数据领域的 Hadoop 除了 Apache 的版本之外,华为发行版、 Intel 发行版、 Cloudera 发行版和 DKhadoop 发行版均有广泛应用,其中很多发 行版都是收费的商业软件。基于开源的商业版通常有两种情况,一种是双许可证,一种 是依商业许可重新发行。所谓的双许可证是指其软件是基于开源许可证的,但是还有 不同的许可条款。用户可以无偿使用无须付费的、开源的版本, 这仍然属于商业版本的一部分,若用户有进一步的需求,诸如商业 的技术支持和服务则需要另行付费。作为全球领先的数据库软件, MySQL产品采取了开源许可与私有许可的双重许可模式。MySQL公司对产
11、品代码拥有完整的著作权 (copyright)。在开源许可之下,软件的源代码完全公开,任何人都可以下载 MySQL 软 件来使用、修改和传播。如果某商业客户希望在其商业软件中集成 MySQL并保持原有软件的私有性,那么必须选择私有许可,即向 MySQL公司支付一定的许可费。采用混合许可的优点在于通过许 可协议差异化来最大化产品网络外部性带来的收益。而依商业许可重新发行则是指一些宽松的许可证,如 Apache、BSD 等,是允许以商业且闭源的方式二次发行的。这其中最为著名的例子就是苹果公司的MacOSX操作系统,其内核是使用的BSD Unix,但是其二次发行也是顺理成章。这样的方式,也是我们本
12、土常见的方式,比如 OpenStack 采用是非常宽松的 Apache 协议, 再次商业发行,包括自己修改的、新增的代码是可以不开源的。3)直接使用社区版开源软件 目前,开源软件已经覆盖了软件生态的诸多方面,操作系统 有Linux以开源形式提供,数据库 MySQL MongoDB等,云计算 领域的 OpenStack 和 Kubernetes(k8s) 都是开源技术,新兴领域 如区块链技术基本是完全建立在开源的基础上的。一方面,开源软件更新速度快,相比于商业软件技术迭代速 度更快,很多新技术往往都是从开源软件开始,市场广泛认可之 后才逐步产生一些商业软件或商业服务。很多时候并不是工程师主 动选
13、择了开源,而是因为开源软件的生态相比于商业软件要庞大数 倍,使用者只能被动选择开源;另一方面,开源软件代码公开容易获取,对于企业的工程师 而言,大到采用能够独立部署独立运行的软件,小到将 GitHub 上 的一段开源代码复制粘贴到自己的代码中,其实都涉及到使用开源的问 题。开源软件已经成为软件生态不可或缺的重要组成部分,很多 时候企业经常会直接使用开源软件的社区版,或者直接使用 GitHub 上的组件 / 代码片段,这些都属于使用了开源。从这个角度来看,开源已经渗透到了企业信息系统的各个角落,企业对于 开源的使用是无处不在且不可逆转的。二、 金融行业采用开源技术已成趋势开源软件市场巨大,从基础
14、软件到应用软件都充斥着大量的开 源软件。受金融机构转型推动和生态合作伙伴影响,为满足金融用 户的实际需求,开源技术已经逐步成为金融机构构建信息系统的重 要选择。金融行业采用开源技术已经成为一种趋势,开源技术可以 助力金融机构提高科技实力、协助保障信息系统安全、进一步推动 企业科技创新和业务创新。1、 开源技术是构建信息系统的重要选择金融行业相比于新兴的互联网等行业面临更严格的监管要 求,因此在引入开源软件方面一直相对慎重。开源技术大规模兴 起之前,金融行业往往通过正规采购流程购买商业软件,以满足 本企业在信息系统构建方面的需求。随着时代的变迁和技术的进步,金融机构的 IT 技术方案逐 渐从闭源
15、走向开源。金融行业选择开源技术的原因主要有以下三点:第一,提高敏捷开发效率,满足金融用户需求。 随着互联网 公司涉足金融领域并开启移动支付时代,目前我国移动支付规模 已经稳居全球第一 , 并逐渐向世界各国拓展。面对金融用户需求 和使用习惯的变化,传统金融机构已经无法完全满足用户需求, 互联网金融、数字金融、金融科技等概念纷纷出现,传统金融机构 开始创建金融科技公司或成立金融科技部门,金融行业逐步向互联 网敏捷开发方向发展。在此过程中,开源技术的引入可以大大提高 开发效率和迭代速度,帮助金融机构快速推动业务创新, 进一步满 足金融用户的需求。第二,加速海量数据处理,推动金融机构转型。 在大规模、
16、 高并发、渠道类应用日益增多的互联网金融背景下,金融机构面临 向数字化、智能化方向转型的要求。与此同时,机构内海量数据处 理、分析需求开始增多,而开源技术可以帮助金融企业构建更敏捷 高效、精细化管理、可管可控以及可扩展的 IT 系统,进一 步推动金融机构的转型和创新。第三,主动拥抱开源技术,助力生态伙伴合作。 金融机构并 不 是独立存在的个体,其生态链条上存在各种类型的合作伙伴企 业。 从供应角度来看,金融机构与科技公司存在密不可分的关系, 也不可 避免地会受到科技公司在技术方面的影响。鉴于目前开源 技术在科技 公司当中应用的广泛性,金融机构不可避免会涉及到 相关技术,这一 变化也将推动传统金
17、融机构逐步从封闭走向开放, 进一步促进金融 行业转型与发展。从开源技术的应用与发展角度来看,十年前,操作系统主要 是 AIX 、 HPUnix 等,存储以 EMC、HP 为主,中间件使用 Tuxedo 等,主流的数据库有Informix、DB2SQLServer 而目前Linux操作系统,Hadoop分布式文件系统(HDFS),数据库MongoDB和MySQL中间件Kafka、RabbitMQ等已经在相应领域形成技术主 流,很多金融机构也正在使用这些开源技术。开源技术的发展推动金融机构逐步接受开源和使用开源,开 源软件已经渗透到了金融机构软件研发的各个流程。在金融机构 中,从管理角度可以将开源
18、软件分为两大类:第一类是基础类开源软件。 指独立部署、独立运行,为应用系统提供基础服务的开源软件,包括操作系统、数据库、中间件等。这类软件一般由独立的专职团队(如运维中心)统一负责管 理,包括:编制相关应用部署规范、上线后的运行和维护等。第二类是应用开发类开源软件。 包括开发过程中涉及的开发 框架、开发语言、开发工具,以及配置、测试、运维和办公等过 程中使用的工具软件等。这类软件一般由引入和使用部门直接管理, 负责软件的运行维护工作。2、 选择开源技术对金融机构意义重大1) 开源技术助力金融机构提高科技实力 金融领域的关键信息基础设施是经济社会运行的神经中枢, 金融业务高度依赖金融网络和信息系
19、统 。软件和信息技术服务 业“十二五”发展规划中提出要把开源软件作为扶持发展的对象。 开源软件具有公开、使用、修改、分发的特点,使用开源软件的机 构可以掌握软件的源代码,一方面改善过去采购闭源软件存在 的代码不透明等问题,另一方面也可以弱化商业封闭式系统架构 导致的厂商绑定。金融用户通过掌握软件源代码提高对信息系统的 把控能力,基于开源代码进行二次开发可以进一步提高金融机构的 技术水平和科技实力。2)开源技术是金融机构保障信息安全的重要选择 金融作为涉及关乎国民经济的关键行业,面临与其他行业相 比更为严苛的监管要求。 信息安全已经上升到国家战略层面, 信 息安全被划入“十三五”重点建设方向、网
20、络安全被正式划入“十 三五”规划重点建设方向,在政府未来 5 年的 100 项重大建设 项目中排在第六位。因行业性质原因,金融行业对信息系统安全和软件使用有极 高的要求,陆续出台相关行业规范和管理规定,如:金融行业信 息系统信息安全等级保护实施指引、中小金融机构灾备云安全要 求、保险机构信息化监管规定、保险公司信息系统安全管理 指引(试行)等。相比于闭源商业软件,开源软件的源代码更加公开透明。同时,得益于开源生态日趋成熟, PaaS中间件、数据库等领域开源技术层出不穷,主流的技术基本都有热门的开源软件可供金融 机构进行选择。金融机构在进行软件选型时,也可以通过公开的数 据对软件进行多方面的评测
21、,通过选择合适的开源技术替代商业软 件,助力金融机构有效保障数据安全。3)开源技术推动金融机构科技创新和业务创新为应对互联网金融崛起和竞争,传统金融机构也需要主动拥 抱开源技术,以便更快地达成一流数字生态金融格局,把触角延 伸到金融客户需求的方方面面。从开发模式上来看,开源技术采用多人协作的开发模式,与 传统闭源软件封闭式的开发模式相比,具有快速迭代、技术可扩 展、技术路线寿命长等特点,在技术路径上相比于闭源软件更具 有多样性和创新性。由于开源软件的代码是公开的,社区的参与者 可以基于原有代码进行自由开放和修改,其技术更新迭代速度要比 专有软件快得多,因此便于企业将更加优质的产品和服务快速推向
22、 市场。而售卖专有软件的公司往往更注重产品的成熟度和稳定性, 在技术创新方面相对比较保守,因而导致专有软件的更新迭代速度 和技术先进性可能落后于开源软件。金融机构在构建信息系统的过 程中,可以借助开源的技术路径提升信息系统构建的先进性,助力 金融机构科技创新。另一方面,用于核心基础设施的专有软件会增加企业用户被 供应商或技术锁定的风险,对于金融机构而言,选择专有软件可能 会面临成本的提高和技术路线的限制,一旦供应商出现问题还可能 影响到金融机构业务的连续性和稳定性。相比而言,开源软件的代 码具有极强的透明性,不论是企业还是普通用户都能够获取开源软 件的源代码。采用开源技术可以助力金融机构通过采
23、用先进技术实 现科技创新,进而推动业务健康快速发展。三、引入开源的风险日益凸显不容忽视开源软件相比于闭源的商业软件,代码公开的好处显而易 见,而背后开源许可证的复杂性却关注甚少,而引入开源的用 户往往成为开源软件使用的风险落脚点,因此金融机构在引入 开源的过程中应充分重视潜在风险问题。总体来看,金融机构 作为开源用户可能涉及四类风险:运维和技术风险、管理风险、安全和数据风险、合规和知识产权风险。图1使用开源软件可能涉及的四类风险1、 缺乏技术能力是企业用户的重要痛点对于金融机构而言,开源软件与以往的闭源软件相比,最大 的问题在于其需要本机构的开发运维人员自己负责管理和运维。 在开发阶段,开源技
24、术的开发难度要远大于直接购买配备厂商服务 的闭源软件,因此往往要求企业配备更多相关人才,而人才的培养 往往需要相对长的时间,也会消耗企业更多的资源。在运维阶段,相对于闭源软件拥有完善的厂商服务,开源技术在很多情 况 下并没有相应的付费服务和运维支持,而金融机构本身的运维 人员 数量及能力都有一定限制,导致运维工作量大幅增加,开源 技术相关 运维问题解决困难。从整个生命周期管理角度来看,开 源技术的社区 版本更新速度远比闭源软件要快得多,其版本更新 往往不存在第三方 支持,金融机构被迫投入人力物力跟进开源技 术发展,以避免因旧版 本废弃或安全漏洞等问题导致的开源风险。2、 是否引入开源软件难以完
25、全准确统计如果金融用户没有特殊要求,商业软件供应商一般不会说明 其产品中是否涉及开源代码,甚至对用户号称完全自主研发, 用户很可能被动引入开源软件。例如, 2018 年国内某浏览器事 件引起业内广泛关注,该浏览器一直对外宣称自主研发,然而经 过行业测试却发现其使用了开源软件 Chrome 的内核。在此次事 件之前,该浏览器在宣传或说明中未标注其使用了开源软件 Chroma从开源合规的角度来看,该公司在自主研发中存在失 信问题,同时也违背了开源许可证的署名要求。从另一个角度来看,除了开源软件和组件,代码层级的开源 使用问题也十分突出。在软件开发过程中,如果企业并未对源 代码进行扫描,则很难从管理角度统一把控企业开发者是否在 开发软件的过程中使用了开源代码片段。同时,对金融机构而 言,存量软件及代码的规模相对更加庞大,对其进行代码合规
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 