金融行業(yè)開源治理白皮書

金融行業(yè)開源治理白皮書目錄一、 開源技術(shù)迅猛發(fā)展推動企業(yè)引入開源 11、開源已在多個重要領(lǐng)域成為主流 12、企業(yè)用戶引入開源技術(shù)不可避免 2二、 金融行業(yè)采用開源技術(shù)已成趨勢 61、開源技術(shù)是構(gòu)建信息系統(tǒng)的重要選擇 62、選擇開源技術(shù)對金融機構(gòu)意義重大 8三、 引入開源的風(fēng)險日益凸顯不容忽視 111、缺乏技術(shù)能力是企業(yè)用戶的重要痛點 112、是否引入開源軟件難以完全準確統(tǒng)計 123、開源軟件隱含的安全風(fēng)險較為顯著 134、使用過程中是否遵守開源約定未知 145、開源軟件上游供應(yīng)鏈存在不確定性 146、開源軟件的知識產(chǎn)權(quán)風(fēng)險易被忽略 15四、 金融行業(yè)開源治理建議 161、推廣產(chǎn)業(yè)開源科普，樹立開源風(fēng)險意識 162、建立金融開源社區(qū)，增進同業(yè)交流溝通 173、梳理開源治理規(guī)范，推動相關(guān)標準制定 184、建設(shè)開源治理體系，規(guī)范開源軟件引入 19附錄金融機構(gòu)開源治理實踐案例 23中國農(nóng)業(yè)銀行 23上海浦東發(fā)展銀行 26中信銀行開源 30中國太平洋保險（集團） 32前 言PAGEPAGE13金融行業(yè)開源治理白皮書一、 開源技術(shù)迅猛發(fā)展推動企業(yè)引入開源的迅猛發(fā)展也推動企業(yè)從購買閉源商業(yè)軟件轉(zhuǎn)向關(guān)注和使用開1、開源已在多個重要領(lǐng)域成為主流者通過電子郵件或私有的版本控制系統(tǒng)（如Subversion或BitKeeper）2008GitHub改變了這一情提供使用Git進行版本控制的軟件源代碼托管服務(wù)，的出現(xiàn)改變了開源軟件的協(xié)21B、甲骨文、EMC為核心的軟硬件產(chǎn)品是金融行業(yè)用戶的主要選擇。90年代末，開源軟件從對商業(yè)軟件的模仿開始興起，如：Linux（對應(yīng)微軟的Windows操作系統(tǒng)、OpenOffice（對應(yīng)微軟的Ofie、FsEB（BMESBrceSB）年代到現(xiàn)在，開源軟件在市場上已經(jīng)逐步與閉源軟件平分秋色。ITICT等諸多重要領(lǐng)域成為主流技術(shù)形態(tài)，如：移動互聯(lián)網(wǎng)領(lǐng)域的AndroidOpenStackKubernetes(k8s)，大數(shù)據(jù)Tensorflow2、企業(yè)用戶引入開源技術(shù)不可避免20189GitHub上已經(jīng)有9600多萬個庫，相比去年也增長了40%以上。所購買或使用的商業(yè)軟件，隱含開源組件或代碼購買基于開源軟件的商業(yè)版本Linux發(fā)行版就有300多種，其中就有比較成功的商業(yè)發(fā)行版如：redhat、SUSe、UbuntuOpenStack超過150OpenStack基金會發(fā)起的第11次全球OpenStack易捷行云）2018OpenStackHadoop除了Apache的版本之外，華為發(fā)行版、Intel發(fā)行版、ClouderaDKhadoop件，MySQL產(chǎn)品采取了開源許可與私有許可的雙重許可模式。MySQL公司對產(chǎn)品代碼擁有完整的著作權(quán)(copyright)。在開源MySQLMySQLMySQL、BSDMacOSXBSDOpenStackApache直接使用社區(qū)版開源軟件LinuxMySQL、MongoDBOpenStackKubernetes(k8sGitHub時候企業(yè)經(jīng)常會直接使用開源軟件的社區(qū)版，或者直接使用GitHub上的組件/代碼片段，這些都屬于使用了開源。從這個角二、 金融行業(yè)采用開源技術(shù)已成趨勢1、開源技術(shù)是構(gòu)建信息系統(tǒng)的重要選擇金融行業(yè)相比于新興的互聯(lián)網(wǎng)等行業(yè)面臨更嚴格的監(jiān)管要IT和使用習(xí)慣的變化，傳統(tǒng)金融機構(gòu)已經(jīng)無法完全滿足用戶需求，第二，加速海量數(shù)據(jù)處理，推動金融機構(gòu)轉(zhuǎn)型。在大規(guī)模、IT步推動金融機構(gòu)的轉(zhuǎn)型和創(chuàng)新。AIX、HPUnixEMC、HPTuxedoInformixDB2SQLServer……而目前Linux操作系統(tǒng)，Hadoop(HDFSMongoDBKafka、RabbitMQ（如運維中心統(tǒng)一負責(zé)管理，包括：編制相關(guān)應(yīng)用部署規(guī)范、上線后的運行和維護等。2、選擇開源技術(shù)對金融機構(gòu)意義重大開源技術(shù)助力金融機構(gòu)提高科技實力金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，金融業(yè)務(wù)高度依賴金融網(wǎng)絡(luò)和信息系統(tǒng)《軟件和信息技術(shù)服務(wù)業(yè)“十二五”開源技術(shù)是金融機構(gòu)保障信息安全的重要選擇信5100》等。開源技術(shù)推動金融機構(gòu)科技創(chuàng)新和業(yè)務(wù)創(chuàng)新三、 引入開源的風(fēng)險日益凸顯不容忽視開源軟件相比于閉源的商業(yè)軟件，代碼公開的好處顯而易見，而背后開源許可證的復(fù)雜性卻關(guān)注甚少，而引入開源的用戶往往成為開源軟件使用的風(fēng)險落腳點，因此金融機構(gòu)在引入開源的過程中應(yīng)充分重視潛在風(fēng)險問題?？傮w來看，金融機構(gòu)作為開源用戶可能涉及四類風(fēng)險：運維和技術(shù)風(fēng)險、管理風(fēng)險、安全和數(shù)據(jù)風(fēng)險、合規(guī)和知識產(chǎn)權(quán)風(fēng)險。圖1使用開源軟件可能涉及的四類風(fēng)險1、 缺乏技術(shù)能力是企業(yè)用戶的重要痛點2、 是否引入開源軟件難以完全準確統(tǒng)計如果金融用戶沒有特殊要求，商業(yè)軟件供應(yīng)商一般不會說明其產(chǎn)品中是否涉及開源代碼，甚至對用戶號稱完全自主研發(fā)，用戶很可能被動引入開源軟件。例如，2018ChromeChrome。從開源合規(guī)的角度來看，該公司在自主研發(fā)中存在失信問題，同時也違背了開源許可證的署名要求。從另一個角度來看，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發(fā)過程中，如果企業(yè)并未對源代碼進行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過程中使用了開源代碼片段。同時，對金融機構(gòu)而言，存量軟件及代碼的規(guī)模相對更加龐大，對其進行代碼合規(guī)性檢查的工作量更加巨大。因此，金融機構(gòu)想要完全準確統(tǒng)計企業(yè)內(nèi)引入開源軟件的數(shù)目及真實情況在操作層面存在一定困難。3、 開源軟件隱含的安全風(fēng)險較為顯著由于開源軟件具有多人協(xié)作完成、開源許可證存在免責(zé)條款等特性，企業(yè)在使用開源軟件時必須注意數(shù)據(jù)安全及隱私風(fēng)險，SNYK20192018NPM47％。以數(shù)據(jù)庫領(lǐng)域為例，據(jù)安華金和最新發(fā)布《201920194CVE被確認的國際主流數(shù)據(jù)庫漏洞共計81個，其中Oracle 9個、MySQL65Oracle91高危漏洞；MySQL652621https://www./company-information/158591.html4、 使用過程中是否遵守開源約定未知每一個開源軟件都需要包含開源許可證去規(guī)定開源軟件的使用范圍和權(quán)利義務(wù)，金融用戶在明確商業(yè)軟件包含開源軟件的前提下，很多情況并不能明確得知該軟件是否遵守開源許可證的要求。開源許可證的基本要求包括：使用開源軟件需要署名開源軟件的作者或版權(quán)持有人的姓名或名稱，需要明確使用哪一個開源許可證，并保留許可證全文或相關(guān)鏈接等等。GPLGPL3D打印領(lǐng)域，MarlinGPLMarlinMarlin,在違反開源許可證規(guī)定的同時也可能面臨法律制裁。5、 開源軟件上游供應(yīng)鏈存在不確定性8LabsAGPLApachev2.0CommonsClause（共用條款MongoDBAGPLv3改為一種新的服務(wù)器端公共許可證（SSL，力求堵住基于云的KSQLConfluentSaaS/項目紛2018Oracle20191布的OracleJavaSE8公開更新將不向沒有商用許可證的業(yè)OracleJavaSE8OpenJDK的知識產(chǎn)權(quán)歸屬及開源軟件未來是否受到限制使用等問題仍需引起足夠重視。6、 開源軟件的知識產(chǎn)權(quán)風(fēng)險易被忽略開源軟件一般通過開源許可證約定其涉及的知識產(chǎn)權(quán)所屬，Aahe20和GPL3.0BSDMIT2.0。同時，為了防止有人惡意提起法律訴訟，部分開源許Apache2.0GPL3.0AGPL3.0四、 金融行業(yè)開源治理建議構(gòu)滿足合規(guī)要求的同時以開源新技術(shù)的應(yīng)用促進金融機構(gòu)向數(shù)字化、智能化方向轉(zhuǎn)型。1、 推廣產(chǎn)業(yè)開源科普，樹立開源風(fēng)險意識從國家層面來看，開源知識的科普和開源風(fēng)險意識的樹立至關(guān)重要。我國應(yīng)培育開源發(fā)展的政策環(huán)境，完善開源相關(guān)法律保護機制，加強開源軟件的社會認知度和開源相關(guān)專業(yè)人才的培養(yǎng)，鼓勵和推動開源社區(qū)發(fā)展，支持開源社區(qū)進行培訓(xùn)和研討活動，整體上從國家或行業(yè)層面提高對開源的重視程度。產(chǎn)業(yè)界可以通過開源白皮書和書籍的形式向相關(guān)企業(yè)和人員灌輸正確的開源理念，針對開源的概念、開源許可證的要求進行解讀，組織相關(guān)開源及知識產(chǎn)權(quán)專家進行演講與培訓(xùn)，提醒企業(yè)引入開源可能面臨的風(fēng)險，樹立金融機構(gòu)作為開源用戶的風(fēng)險意識。金融管理機構(gòu)可以通過調(diào)查問卷的形式，對開源軟件在金融業(yè)的應(yīng)用情況進行調(diào)研，了解行業(yè)實際應(yīng)用和管理狀況，包括：一、2、 建立金融開源社區(qū)，增進同業(yè)交流溝通國際方面已有針對金融領(lǐng)域的開源基金會，F(xiàn)INOS20163070余個300（會員10余家金融機構(gòu)3、 梳理開源治理規(guī)范，推動相關(guān)標準制定針對國內(nèi)開源產(chǎn)業(yè)相對缺少監(jiān)管和規(guī)范的現(xiàn)狀，第三方機構(gòu)可以通過標準化的手段梳理用戶側(cè)使用開源應(yīng)遵守的規(guī)范，中國信通院已經(jīng)聯(lián)合30余家金融機構(gòu)和科技公司共同制定了2融機構(gòu)建立自上而下的開源治理體系。通過相關(guān)標準的制定和評估的落地，促進金融機構(gòu)規(guī)范開源軟件管理，事先規(guī)避開源相關(guān)風(fēng)險。進一步通過評估與行業(yè)內(nèi)部交流，聚集最佳開源治理實踐，推動業(yè)內(nèi)形成共識，促進金融行業(yè)開源軟件使用的規(guī)范化和全行業(yè)整體開源治理能力的提升。4、 建設(shè)開源治理體系，規(guī)范開源軟件引入金融機構(gòu)可以通過制定開源管理制度，建立企業(yè)內(nèi)部開源軟件管理平臺，從公司層面對開源軟件的引入和輸出進行管理，構(gòu)建全流程的開源治理體系，具體涉及組織架構(gòu)、管理制度、軟件選型、使用規(guī)范、風(fēng)險管理、二次開發(fā)、持續(xù)跟蹤、社區(qū)反饋和退出機制總共九個方面的內(nèi)容。組織架構(gòu)從管理角度搭建開源治理相關(guān)的組織架構(gòu)，設(shè)置明確的開源治理分工，將開源治理的工作和責(zé)任具體落實到個人。企業(yè)應(yīng)在內(nèi)部設(shè)立開源管理小組負責(zé)制定開源合規(guī)戰(zhàn)略和開源治理流程，統(tǒng)籌規(guī)劃和推動企業(yè)開源治理工作，并對開源軟件使用全生命周期中涉及的各類角色的職責(zé)進行明確，具體包括管理、開發(fā)、運維、安全、法務(wù)等。管理制度制定企業(yè)內(nèi)部相關(guān)的規(guī)章制度，對開源軟件的合規(guī)使用進行管控，至少包括：開源軟件引入制度、開源軟件使用制度、開源軟件漏洞檢測制度、開源軟件版本更新制度及開源軟件退出制度等。軟件選型企業(yè)在引入開源軟件時，可以從產(chǎn)品活力度、行業(yè)認可度、軟件質(zhì)量和服務(wù)支持能力四個方面進行選型評估，對軟件進行綜合評價并結(jié)合企業(yè)自身情況，進一步?jīng)Q定是否引入開源軟件。具體可以參考代碼托管平臺上的項目數(shù)據(jù)、第三方評估報告，結(jié)合本企業(yè)的需求和內(nèi)部評測流程，對開源軟件是否能夠引入進行綜合評估。使用規(guī)范開源技術(shù)在使用過程中存在風(fēng)險，因此企業(yè)在使用開源技術(shù)時應(yīng)依照規(guī)范根據(jù)引入需求確認測試范圍，對開源軟件的相關(guān)功能進行必要的測試。針對基礎(chǔ)類軟件應(yīng)由負責(zé)部門編制軟件使用說明文檔，針對系統(tǒng)級別的開源軟件應(yīng)制定相應(yīng)的應(yīng)急預(yù)案，對于核心業(yè)務(wù)應(yīng)保證至少有一個成熟的方案做備份。風(fēng)險管理企業(yè)在引入開源軟件時應(yīng)遵循統(tǒng)一的引入流程，并對建立開源軟件統(tǒng)一管理機制，對企業(yè)所使用的開源軟件信息進行記錄（包括軟件名稱、作者、出處、版本號、許可證、正在使用的部門等。針對開源許可證和安全兩大方面的風(fēng)險，應(yīng)該定期進行評估并應(yīng)設(shè)置專業(yè)人員（如法律人員、安全人員等）進行風(fēng)險處置指導(dǎo)，及時識別可能存在的風(fēng)險點并建立與使用、運維、安全、法律等相關(guān)人員的溝通機制，確保在面臨風(fēng)險時能夠及時妥善解決。二次開發(fā)企業(yè)為滿足業(yè)務(wù)場景需求可能會基于開源技術(shù)進行二次開發(fā)，此時首先對社區(qū)軟件現(xiàn)有情況進行確認，包括社區(qū)現(xiàn)有功能、接口兼容性、接口版本、開源許可證要求等，設(shè)計出二次開發(fā)方案，進一步按照企業(yè)和社區(qū)規(guī)范進行編碼、測試和發(fā)布。特別是對于涉及對外分發(fā)的應(yīng)用場景（APP）的開源軟件/組件，需要按照開源許可證的相關(guān)規(guī)定保留原版權(quán)信息并添加開發(fā)者的版權(quán)信息，如相關(guān)代碼需要貢獻給社區(qū)，在進行編碼時應(yīng)遵循開源社區(qū)的編碼規(guī)范和要求。持續(xù)跟蹤在開源軟件的使用過程中，企業(yè)應(yīng)持續(xù)跟蹤開源軟件的各項情況，維護開源軟件企業(yè)中的健康合規(guī)運行，包括社區(qū)情況、漏洞情況、版本情況、開源許可證情況等。對于長期不更新或社區(qū)活躍度極低的開源軟件應(yīng)予以重視；對于軟件漏洞應(yīng)由專門人員持續(xù)跟蹤漏洞信息并及時反饋給軟件使用方，并及時進行修復(fù)和處置；如出現(xiàn)開源許可證變動情況，應(yīng)及時組織相關(guān)負責(zé)人結(jié)合本企業(yè)的風(fēng)險接受能力評估相應(yīng)開源許可證存在的風(fēng)險。社區(qū)反饋（如涉及公司核心技術(shù)等退出機制作為軟件生命周期管理的一部分，開源軟件除了需要重視引入之外，還應(yīng)重視起退出機制。企業(yè)應(yīng)制定開源軟件退出制度及退出規(guī)劃，對停止使用的軟件進行統(tǒng)一記錄和管理。在面臨產(chǎn)品替代、法律安全問題等情況時，應(yīng)由開源管理小組統(tǒng)一對軟件的退出流程進行規(guī)劃，并按照規(guī)劃進行遷移、替換、退出等操作。除此之外，企業(yè)還可以通過建設(shè)內(nèi)部開源治理支撐平臺，保障開源治理工作的高效運行。通過平臺化的手段實現(xiàn)金融機構(gòu)內(nèi)部開源軟件的引入評估、使用評估、安全漏洞評估等工作的流程化和自動化，做到開源軟件全生命周期的跟蹤和記錄。附錄金融機構(gòu)開源治理實踐案例中國農(nóng)業(yè)銀行(一)開源軟件管理背景(二)開源軟件管理體系農(nóng)業(yè)銀行開源軟件管理和應(yīng)用是在監(jiān)管部門相關(guān)政策的指IT架構(gòu)演進的特點，立足農(nóng)業(yè)銀行開源軟架TOSIM，以及使用于商業(yè)銀行落地實施的開源軟件管理規(guī)范標準和管理平臺及工具。TOSIM開源軟件一體化管理框架TOSIM，將開源軟件管理融入到現(xiàn)有軟件管理體系之IT“五位一體方法、制度流程、系統(tǒng)與工具、培訓(xùn)與實踐的內(nèi)容體系維度，實現(xiàn)開源軟件融合式管理。TOSIM開源軟件一體化管理框架有著如下的顯著特點：一是強調(diào)建立全面的管理體系。TOSIM管理框架覆蓋開源管理框架將開源軟件管理融入現(xiàn)有的架構(gòu)管理、三是強調(diào)建立分級分類的管理體系。TOSIM管理框架踐行“管理一體化，內(nèi)容差異化”理念，充分考慮各類開源軟件在不同管理平臺與工具TOSIM一體化管理框架的落地(三)開源軟件管理實效Spring體系為核心的企業(yè)級產(chǎn)品研發(fā)平臺，MPP數(shù)據(jù)庫和Hadoop深度融合的大數(shù)據(jù)平臺，實現(xiàn)了6.8PB以上的結(jié)構(gòu)化數(shù)據(jù)處理、4.8PB的非結(jié)構(gòu)化數(shù)據(jù)處理和毫秒級流計算處理。通過“采購+定制”方式建設(shè)了農(nóng)行PaaS云平臺，有力的推進了農(nóng)行應(yīng)用上云進程。開源軟件一體化管理體系在農(nóng)行的實踐表明了其科學(xué)性和上海浦東發(fā)展銀行(一)概述(二)開源治理體系建設(shè)（1）開源治理的配套組織架構(gòu)。開源治理的配套流程制度開源軟件評估評價方法了科學(xué)的開源軟件多維度評價視角，浦發(fā)銀行依據(jù)E-OSMM(EnterpriseOpenSourceMaturityModel)模型以及華為開源開源軟件治理支撐平臺451151通過自主研發(fā)的開源治理平臺，把開源軟件治理體系系統(tǒng)理平臺中的軟件倉庫在技術(shù)上實現(xiàn)了開源軟件實體介質(zhì)來源可控可溯，直接服務(wù)于開發(fā)項目工程構(gòu)件，提高開發(fā)效率。（5）金融行業(yè)開源技術(shù)應(yīng)用社區(qū)。一個非盈利性的組織，IT服務(wù)商發(fā)起成立金融行業(yè)開源技術(shù)應(yīng)用社區(qū)，主動分享治理成功經(jīng)驗，推動開源技術(shù)在行業(yè)內(nèi)的進一步應(yīng)用。。(三)開源治理效能1、有效防范了開源軟件的使用風(fēng)險介質(zhì)來源風(fēng)險浦發(fā)銀行開源治理平臺中包含的開源軟件倉庫是浦發(fā)內(nèi)部