金融行业开源治理白皮书v1.docx
《金融行业开源治理白皮书v1.docx》由会员分享,可在线阅读,更多相关《金融行业开源治理白皮书v1.docx(26页珍藏版)》请在冰点文库上搜索。
金融行业开源治理白皮书v1
金融行业开源治理白皮书
金融行业开源技术应用社区云计算开涌产业联盟
前言
近几年开源技术快速发展,金融行业在构建信息系统过程中不可避免涉及开源技术的引入和使用。
开源一方面可以突破技术壁垒推动金融机构技术创新和业务发展,另一方面也不可避免的带来知识产权、信息安全等一系列问题。
金融作为涉及关乎国民经济的关键行业,面临与其他行业相比更为严苛的监管要求。
如何在遵循开源义务要求的前提下规范地使用开源技术,从而最大化减少使用开源带来的风险,是金融机构构建信息系统过程中必然面临的问题。
《金融行业开源治理白皮书》首先介绍企业用户引入开源技术的背景,阐述开源技术对金融行业的重要意义,重点梳理引入开源可能导致的风险,并对金融行业在开源治理方面可以采取的措施给出了建议,最后附录了参与白皮书撰写企业的开源治理实践案例。
金融行业开源治理白皮书
一、开源技术迅猛发展推动企业引入开源
近几年开源技术快速发展,在云计算、移动互联网、大数据等领域逐渐形成技术主流。
开源技术正在渗透软件领域的方方面面,企业用户已经越来越难以规避开源的引入。
与此同时,开源的迅猛发展也推动企业从购买闭源商业软件转向关注和使用开源软件。
整体而言,不论企业是否接受,开源已经从事实上成为了一种不可阻挡的趋势。
1、开源已在多个重要领域成为主流
开源推动软件生产模式向多人协作方向发展。
相比于闭源软件封闭式的开发模式,开源软件开放式的生产模式推动更多人参与到软件的创造之中。
最初,大多数自由和开源软件项目的贡献者通过电子邮件或私有的版本控制系统(如Subversion或
BitKeeper)进行协作。
诞生于2008年的GitHub改变了这一情
况,GitHub提供使用Git进行版本控制的软件源代码托管服务,使更多开发者能够更方便地参与开源项目,进一步推动开源软件生产效率和生产质量的提升。
GitHub的出现改变了开源软件的协作模式,开发者不再需要先获得开发者社区的权限才能参与开
源项目,这种多人协作的软件生产模式大大推动了开源软件市场的发展壮大。
开源软件已经逐步形成强大的生态链条。
21世纪之前,软件世界以闭源为主,“闭源”与“收费”成为软件市场的主流,IBM、甲骨文、EMC为核心的软硬件产品是金融行业用户的主要选择。
90年代末,开源软件从对商业软件的模仿开始兴起,如:
Linux
(对应微软的Windows操作系统)、OpenOffice(对应微软的Office)、FuseESB(对应IBMESB和OracleESB)等等。
从00年代到现在,开源软件在市场上已经逐步与闭源软件平分秋色。
近年来,随着IT产业逐渐向服务化转型,开源已经成为ICT产业发展的重要趋势,在移动互联网、云计算、大数据、人工智能等诸多重要领域成为主流技术形态,如:
移动互联网领域的Android,云计算领域的OpenStack、Kubernetes(k8s),大数据领域的Hadoop,人工智能领域的Tensorflow等。
以上领域的技术更新迭代速度较快,企业用户在选择相关领域技术时,可能存在没有商业产品可供选择,只能被迫采用开源技术的现象。
2、企业用户引入开源技术不可避免
随着开源技术快速形成生态,企业用户引入开源技术已成大势所趋。
一方面,开源技术已经在大数据、云计算等重要领域形成技术主流,开源软件覆盖软件生态的诸多方面;另一方面开源代码规模正在飞速增长,截至2018年9月,开源代码托管平台
GitHub上已经有9600多万个库,相比去年也增长了40%以上。
由此可见,开源软件已经成为软件生态的重要且不可替代的组成部分,不论管理者是否知悉,企业内部在很大概率上都已经引入了开源相关的技术,具体有以下三种引入形式:
1)所购买或使用的商业软件,隐含开源组件或代码
在开源软件兴起之前,大多数企业一般会选择购买商业软件,因为这种购买行为对于企业而言是“公对公”的,大企业内部一般都有规范的采购流程,企业负责人也认为商业软件的售后有所保障。
然而,并不是购买了商业软件就意味着不用关心开源。
实际上,很多商业软件是基于开源做二次开发后以闭源形式提供给用户的,但用户一般只知道自己购买了商业软件,而对其中可能涉及的开源风险一无所知。
如果用户没有特殊要求,商业软件供应商一般不会说明是否涉及开源软件,而用户一般不能直接接触到软件的源代码。
因此,用户很可能被动的就引入了开源软件,即使想遵守开源规则也无从下手。
虽然企业用户确实购买了商业软件,但商业软件中却有可能包含开源的成分,用户很可能在不知情的情况下使用了开源而不自知。
从这个角度来说,很多时候并不是企业用户主动选择了开源,而是被动使用了开源之后才意识到了解开源的重要性。
2)购买基于开源软件的商业版本
很多时候企业觉得自己购买了商业软件,然而实际上却往往是开源的商业版或者是发行版。
目前已知的Linux发行版就有
300多种,其中就有比较成功的商业发行版如:
redhat、SUSe、Ubuntu等;全球范围内基于OpenStack提供支持和服务的企业超过150家,根据OpenStack基金会发起的第11次全球
OpenStack用户调查显示,华为、红帽、EasyStack(易捷行云)是2018年排名前三甲的OpenStack软件供应商;大数据领域的
Hadoop除了Apache的版本之外,华为发行版、Intel发行版、
Cloudera发行版和DKhadoop发行版均有广泛应用,其中很多发行版都是收费的商业软件。
基于开源的商业版通常有两种情况,一种是双许可证,一种是依商业许可重新发行。
所谓的双许可证是指其软件是基于开源许可证的,但是还有不同的许可条款。
用户可以无偿使用无须付费的、开源的版本,这仍然属于商业版本的一部分,若用户有进一步的需求,诸如商业的技术支持和服务则需要另行付费。
作为全球领先的数据库软件,MySQL产品采取了开源许可与私有许可的双重许可模式。
MySQL公司对产品代码拥有完整的著作权(copyright)。
在开源许可之下,软件的源代码完全公开,任何人都可以下载MySQL软件来使用、修改和传播。
如果某商业客户希望在其商业软件中集成MySQL并保持原有软件的私有性,那么必须选择私有许可,即向MySQL公司支付一定的许可费。
采用混合许可的优点在于通过许可协议差异化来最大化产品网络外部性带来的收益。
而依商业许可重新发行则是指一些宽松的许可证,如Apache、
BSD等,是允许以商业且闭源的方式二次发行的。
这其中最为著名的例子就是苹果公司的MacOSX操作系统,其内核是使用的BSD
Unix,但是其二次发行也是顺理成章。
这样的方式,也是我们本土常见的方式,比如OpenStack采用是非常宽松的Apache协议,再次商业发行,包括自己修改的、新增的代码是可以不开源的。
3)直接使用社区版开源软件
目前,开源软件已经覆盖了软件生态的诸多方面,操作系统有Linux以开源形式提供,数据库MySQL、MongoDB等,云计算领域的OpenStack和Kubernetes(k8s)都是开源技术,新兴领域如区块链技术基本是完全建立在开源的基础上的。
一方面,开源软件更新速度快,相比于商业软件技术迭代速度更快,很多新技术往往都是从开源软件开始,市场广泛认可之后才逐步产生一些商业软件或商业服务。
很多时候并不是工程师主动选择了开源,而是因为开源软件的生态相比于商业软件要庞大数倍,使用者只能被动选择开源;
另一方面,开源软件代码公开容易获取,对于企业的工程师而言,大到采用能够独立部署独立运行的软件,小到将GitHub上的一段开源代码复制粘贴到自己的代码中,其实都涉及到使用开源的问题。
开源软件已经成为软件生态不可或缺的重要组成部分,很多时候企业经常会直接使用开源软件的社区版,或者直接使用
GitHub上的组件/代码片段,这些都属于使用了开源。
从这个角
度来看,开源已经渗透到了企业信息系统的各个角落,企业对于开源的使用是无处不在且不可逆转的。
二、金融行业采用开源技术已成趋势
开源软件市场巨大,从基础软件到应用软件都充斥着大量的开源软件。
受金融机构转型推动和生态合作伙伴影响,为满足金融用户的实际需求,开源技术已经逐步成为金融机构构建信息系统的重要选择。
金融行业采用开源技术已经成为一种趋势,开源技术可以助力金融机构提高科技实力、协助保障信息系统安全、进一步推动企业科技创新和业务创新。
1、开源技术是构建信息系统的重要选择
金融行业相比于新兴的互联网等行业面临更严格的监管要求,因此在引入开源软件方面一直相对慎重。
开源技术大规模兴起之前,金融行业往往通过正规采购流程购买商业软件,以满足本企业在信息系统构建方面的需求。
随着时代的变迁和技术的进步,金融机构的IT技术方案逐渐从闭源走向开源。
金融行业选择开源技术的原因主要有以下三点:
第一,提高敏捷开发效率,满足金融用户需求。
随着互联网公司涉足金融领域并开启移动支付时代,目前我国移动支付规模已经稳居全球第一,并逐渐向世界各国拓展。
面对金融用户需求
和使用习惯的变化,传统金融机构已经无法完全满足用户需求,互联网金融、数字金融、金融科技等概念纷纷出现,传统金融机构开始创建金融科技公司或成立金融科技部门,金融行业逐步向互联网敏捷开发方向发展。
在此过程中,开源技术的引入可以大大提高开发效率和迭代速度,帮助金融机构快速推动业务创新,进一步满足金融用户的需求。
第二,加速海量数据处理,推动金融机构转型。
在大规模、高并发、渠道类应用日益增多的互联网金融背景下,金融机构面临向数字化、智能化方向转型的要求。
与此同时,机构内海量数据处理、分析需求开始增多,而开源技术可以帮助金融企业构建更敏捷高效、精细化管理、可管可控以及可扩展的IT系统,进一
步推动金融机构的转型和创新。
第三,主动拥抱开源技术,助力生态伙伴合作。
金融机构并不是独立存在的个体,其生态链条上存在各种类型的合作伙伴企业。
从供应角度来看,金融机构与科技公司存在密不可分的关系,也不可避免地会受到科技公司在技术方面的影响。
鉴于目前开源技术在科技公司当中应用的广泛性,金融机构不可避免会涉及到相关技术,这一变化也将推动传统金融机构逐步从封闭走向开放,进一步促进金融行业转型与发展。
从开源技术的应用与发展角度来看,十年前,操作系统主要是AIX、HPUnix等,存储以EMC、HP为主,中间件使用Tuxedo等,主流的数据库有Informix、DB2、SQLServer……而目前Linux
操作系统,Hadoop分布式文件系统(HDFS),数据库MongoDB和MySQL,中间件Kafka、RabbitMQ等已经在相应领域形成技术主流,很多金融机构也正在使用这些开源技术。
开源技术的发展推动金融机构逐步接受开源和使用开源,开源软件已经渗透到了金融机构软件研发的各个流程。
在金融机构中,从管理角度可以将开源软件分为两大类:
第一类是基础类开源软件。
指独立部署、独立运行,为应用系统提供基础服务的开源软件,包括操作系统、数据库、中间件等。
这类软件一般由独立的专职团队(如运维中心)统一负责管理,包括:
编制相关应用部署规范、上线后的运行和维护等。
第二类是应用开发类开源软件。
包括开发过程中涉及的开发框架、开发语言、开发工具,以及配置、测试、运维和办公等过程中使用的工具软件等。
这类软件一般由引入和使用部门直接管理,负责软件的运行维护工作。
2、选择开源技术对金融机构意义重大
1)开源技术助力金融机构提高科技实力
金融领域的关键信息基础设施是经济社会运行的神经中枢,金融业务高度依赖金融网络和信息系统。
《软件和信息技术服务业“十二五”发展规划》中提出要把开源软件作为扶持发展的对象。
开源软件具有公开、使用、修改、分发的特点,使用开源软件的机构可以掌握软件的源代码,一方面改善过去采购闭源软件存在
的代码不透明等问题,另一方面也可以弱化商业封闭式系统架构导致的厂商绑定。
金融用户通过掌握软件源代码提高对信息系统的把控能力,基于开源代码进行二次开发可以进一步提高金融机构的技术水平和科技实力。
2)开源技术是金融机构保障信息安全的重要选择
金融作为涉及关乎国民经济的关键行业,面临与其他行业相比更为严苛的监管要求。
信息安全已经上升到国家战略层面,信息安全被划入“十三五”重点建设方向、网络安全被正式划入“十三五”规划重点建设方向,在政府未来5年的100项重大建设项目中排在第六位。
因行业性质原因,金融行业对信息系统安全和软件使用有极高的要求,陆续出台相关行业规范和管理规定,如:
《金融行业信息系统信息安全等级保护实施指引》、《中小金融机构灾备云安全要求》、《保险机构信息化监管规定》、《保险公司信息系统安全管理指引(试行)》等。
相比于闭源商业软件,开源软件的源代码更加公开透明。
同时,得益于开源生态日趋成熟,PaaS、中间件、数据库等领域开源技术层出不穷,主流的技术基本都有热门的开源软件可供金融机构进行选择。
金融机构在进行软件选型时,也可以通过公开的数据对软件进行多方面的评测,通过选择合适的开源技术替代商业软件,助力金融机构有效保障数据安全。
3)开源技术推动金融机构科技创新和业务创新
为应对互联网金融崛起和竞争,传统金融机构也需要主动拥抱开源技术,以便更快地达成一流数字生态金融格局,把触角延伸到金融客户需求的方方面面。
从开发模式上来看,开源技术采用多人协作的开发模式,与传统闭源软件封闭式的开发模式相比,具有快速迭代、技术可扩展、技术路线寿命长等特点,在技术路径上相比于闭源软件更具有多样性和创新性。
由于开源软件的代码是公开的,社区的参与者可以基于原有代码进行自由开放和修改,其技术更新迭代速度要比专有软件快得多,因此便于企业将更加优质的产品和服务快速推向市场。
而售卖专有软件的公司往往更注重产品的成熟度和稳定性,在技术创新方面相对比较保守,因而导致专有软件的更新迭代速度和技术先进性可能落后于开源软件。
金融机构在构建信息系统的过程中,可以借助开源的技术路径提升信息系统构建的先进性,助力金融机构科技创新。
另一方面,用于核心基础设施的专有软件会增加企业用户被供应商或技术锁定的风险,对于金融机构而言,选择专有软件可能会面临成本的提高和技术路线的限制,一旦供应商出现问题还可能影响到金融机构业务的连续性和稳定性。
相比而言,开源软件的代码具有极强的透明性,不论是企业还是普通用户都能够获取开源软件的源代码。
采用开源技术可以助力金融机构通过采用先进技术实现科技创新,进而推动业务健康快速发展。
三、引入开源的风险日益凸显不容忽视
开源软件相比于闭源的商业软件,代码公开的好处显而易见,而背后开源许可证的复杂性却关注甚少,而引入开源的用户往往成为开源软件使用的风险落脚点,因此金融机构在引入开源的过程中应充分重视潜在风险问题。
总体来看,金融机构作为开源用户可能涉及四类风险:
运维和技术风险、管理风险、安全和数据风险、合规和知识产权风险。
图1使用开源软件可能涉及的四类风险
1、缺乏技术能力是企业用户的重要痛点
对于金融机构而言,开源软件与以往的闭源软件相比,最大的问题在于其需要本机构的开发运维人员自己负责管理和运维。
在开发阶段,开源技术的开发难度要远大于直接购买配备厂商服务的闭源软件,因此往往要求企业配备更多相关人才,而人才的培养往往需要相对长的时间,也会消耗企业更多的资源。
在运维
阶段,相对于闭源软件拥有完善的厂商服务,开源技术在很多情况下并没有相应的付费服务和运维支持,而金融机构本身的运维人员数量及能力都有一定限制,导致运维工作量大幅增加,开源技术相关运维问题解决困难。
从整个生命周期管理角度来看,开源技术的社区版本更新速度远比闭源软件要快得多,其版本更新往往不存在第三方支持,金融机构被迫投入人力物力跟进开源技术发展,以避免因旧版本废弃或安全漏洞等问题导致的开源风险。
2、是否引入开源软件难以完全准确统计
如果金融用户没有特殊要求,商业软件供应商一般不会说明其产品中是否涉及开源代码,甚至对用户号称完全自主研发,用户很可能被动引入开源软件。
例如,2018年国内某浏览器事件引起业内广泛关注,该浏览器一直对外宣称自主研发,然而经过行业测试却发现其使用了开源软件Chrome的内核。
在此次事件之前,该浏览器在宣传或说明中未标注其使用了开源软件
Chrome。
从开源合规的角度来看,该公司在自主研发中存在失信问题,同时也违背了开源许可证的署名要求。
从另一个角度来看,除了开源软件和组件,代码层级的开源使用问题也十分突出。
在软件开发过程中,如果企业并未对源代码进行扫描,则很难从管理角度统一把控企业开发者是否在开发软件的过程中使用了开源代码片段。
同时,对金融机构而言,存量软件及代码的规模相对更加庞大,对其进行代码合规
性检查的工作量更加巨大。
因此,金融机构想要完全准确统计企业内引入开源软件的数目及真实情况在操作层面存在一定困难。
3、开源软件隐含的安全风险较为显著
由于开源软件具有多人协作完成、开源许可证存在免责条款等特性,企业在使用开源软件时必须注意数据安全及隐私风险,若开源软件存有恶意代码、病毒或造成隐私泄露,将对金融机构带来较为严重的危害。
总体来看,开源软件存在的安全问题较为严重,安全漏洞是主要的问题,后门等问题同样存在。
开源软件的安全缺陷密度较高,据SNYK发布的《2019年开源安全现状调查报告》显示,过去两年内应用程序的漏洞数量增长了88%,仅
2018年NPM的漏洞数量就增长了47%。
以数据库领域为例,据安华金和最新发布《2019年上半年数据库漏洞安全威胁报告》显示1,截止2019年4月,CVE发布的
被确认的国际主流数据库漏洞共计81个,其中Oracle9个、
MySQL65个。
Oracle被发现的9个漏洞中含1个超危漏洞,5个
高危漏洞;MySQL数据库的65个漏洞中含有2个高危漏洞,62个中危漏洞。
由此可见,使用开源软件仍存在较大安全风险,金融机构在使用相应开源软件之前应进行充分评估,对安全漏洞予以重视。
1
4、使用过程中是否遵守开源约定未知
每一个开源软件都需要包含开源许可证去规定开源软件的使用范围和权利义务,金融用户在明确商业软件包含开源软件的前提下,很多情况并不能明确得知该软件是否遵守开源许可证的要求。
开源许可证的基本要求包括:
使用开源软件需要署名开源软件的作者或版权持有人的姓名或名称,需要明确使用哪一个开源许可证,并保留许可证全文或相关链接等等。
根据GPL许可证的规定,使用依GPL开源的软件并涉及到修改和分发时,用户需要将后续修改代码全部开源。
例如,在3D打印领域,Marlin是使用GPL许可证的开源软件,中国某企业引入Marlin后拒绝将修改部分依许可证规定对外开源,其结果是该公司被禁用开源软件Marlin,在违反开源许可证规定的同时也可能面临法律制裁。
5、开源软件上游供应链存在不确定性
对于金融用户而言,开源软件的上游供应链涉及开源基金会、开源产品及服务企业等。
由于基金会开源软件的使用规则并不是一成不变的,开源软件存在修改开源许可证的可能性,从而导致开源软件许可使用方式的改变。
例如,2018年多个开源软件开发商已经对其过去使用的开源许可证进行了修改。
2018年8月,RedisLabs由AGPL改成了Apachev2.0和CommonsClause(共用条款)相结合的许可证;10月,开源数据库MongoDB由AGPLv3
改为一种新的服务器端公共许可证(SSPL),力求堵住基于云的服务带来的缺口;12月,Kafka修改KSQL许可证为Confluent社区许可证,禁止其作为SaaS产品来提供。
目前的开源许可证变更与云服务相关的居多,但是金融机构作为开源软件的最终用户未来也可能会面临因开源许可证变化而导致的一系列风险,甚至可能影响已有开源软件的后续使用。
传统开源模式盈利模式开始遭遇瓶颈,各大开源公司/项目纷纷探索商业新模式。
2018年,Oracle宣布2019年1月以后发布的OracleJavaSE8公开更新将不向没有商用许可证的业务、商用或生产用途提供。
对于以往使用OracleJavaSE8的金融机构,如果希望能够继续获得支持就只能选择向甲骨文公司付费订阅,否则就只能选择开源的OpenJDK版本或者其他厂商的发行版。
同时,受开源基金会注册地法律规定影响,开源软件背后涉及的知识产权归属及开源软件未来是否受到限制使用等问题仍需引起足够重视。
6、开源软件的知识产权风险易被忽略
开源软件一般通过开源许可证约定其涉及的知识产权所属,然而一些开源许可证并未明确软件中涉及的知识产权问题。
一部分开源许可证包含明确的专利许可条款,许可用户使用软件所包含的相关专利(需视许可证而有不同约定),如Apache2.0和
GPL3.0。
另一部分开源许可证则没有明确说明,如BSD、MIT和GPL2.0。
同时,为了防止有人恶意提起法律诉讼,部分开源许可证包含“专利报复”条款,如Apache2.0、GPL3.0、AGPL3.0等。
对于并未明确授予专利权的许可证而言,金融机构作为开源用户使用相关软件就可能存在潜在的风险。
开源的知识产权问题相对专业,一般的知识产权专家很难准确掌握开源许可证的责任义务要求,金融机构精通开源知识产权的专家相对匮乏,作为开源用户往往不能准确掌握常见开源许可证的使用方式,进而可能会埋下相应的风险隐患。
四、金融行业开源治理建议
开源软件在金融机构中的使用日益广泛,同时其风险也日益凸显不容忽视。
金融机构已经从理解开源的价值逐步走向认识开源的风险,后续也将从使用开源向治理开源方向转变。
面对开源软件使用过程中的一系列问题,国家、金融企业和第三方机构应采取措施共同推动开源产业的健康有序发展,在充分保障金融机构满足合规要求的同时以开源新技术的应用促进金融机构向数字化、智能化方向转型。
1、推广产业开源科普,树立开源风险意识
从国家层面来看,开源知识的科普和开源风险意识的树立至关重要。
我国应培育开源发展的政策环境,完善开源相关法
律保护机制,加强开源软件的社会认知度和开源相关专业人才的培养,鼓励和推动开源社区发展,支持开源社区进行培训和研讨活动,整体上从国家或行业层面提高对开源的重视程度。
产业界可以通过开源白皮书和书籍的形式向相关企业和人
员灌输正确的开源理念,针对开源的概念、开源许可证的要求进行解读,组织相关开源及知识产权专家进行演讲与培训,提醒企业引入开源可能面临的风险,树立金融机构作为开源用户的风险意识。
金融管理机构可以通过调查问卷的形式,对开源软件在金融业的应用情况进行调研,了解行业实际应用和管理状况,包括:
一、开源软件使用基本情况,包括:
使用原因、规模、核心业务系统应用占比等;二、开源软件引入和使用情况,包括:
选型依据、测评方式、管理机制、更新频率等;三、开源软件应用评价,包括:
影响和效果、风险和问题、对外部环境的诉求等。
通过深入摸底金融行业对开源技术的使用和管理情况,分析现状及问题,后续形成调研报告供相关各方参考。
2、建立金融开源社区,增进同业交流沟通
金融机构作为开源软件的用户,相比于科技公司在开源领域的参与度较弱,且需求往往只能间接通过开源产品和服务提供商来反
升级会员 