2022年金融行業(yè)開源治理白皮書v1

1、金融行業(yè)開源治理白皮書金融行業(yè)開源技術(shù)應用社區(qū)云運算開涌產(chǎn)業(yè)聯(lián)盟.目 錄一、開源技術(shù)迅猛進展推動企業(yè)引入開源. .11、 開源已在多個重要領(lǐng)域成為主流.12、 企業(yè)用戶引入開源技術(shù)不行防止.2二、 金融行業(yè)采納開源技術(shù)已成趨勢 . .61、 開源技術(shù)是構(gòu)建信息系統(tǒng)的重要挑選.62、 挑選開源技術(shù)對金融機構(gòu)意義重大.8三、引入開源的風險日益凸顯不容忽視 . .111、 缺乏技術(shù)才能是企業(yè)用戶的重要痛點.112、 是否引入開源軟件難以完全精確統(tǒng)計.123、 開源軟件隱含的安全風險較為顯著.134、 使用過程中是否遵守開源商定未知.145、 開源軟件上游供應鏈存在不確定性.146、 開源軟件的學問產(chǎn)

2、權(quán)風險易被忽視.15四、金融行業(yè)開源治理建議 .161、 推廣產(chǎn)業(yè)開源科普，樹立開源風險意識.162、 建立金融開源社區(qū)，增進同業(yè)溝通溝通.173、 梳理開源治理規(guī)范，推動相關(guān)標準制定.184、 建設開源治理體系，規(guī)范開源軟件引入.19附錄金融機構(gòu)開源治理實踐案例 .23中國農(nóng)業(yè)銀行 .23上海浦東進展銀行 .26中信銀行開源 .30中國太平洋保險（集團） .32前言近幾年開源技術(shù)快速進展，金融行業(yè)在構(gòu)建信息系統(tǒng)過程中不行 防止涉及開源技術(shù)的引入和使用；開源一方面可以突破技術(shù)壁壘推動 金融機構(gòu)技術(shù)創(chuàng)新和業(yè)務進展，另一方面也不行防止的帶來學問產(chǎn)權(quán)、信息安全等一系列問題；金融作為涉及關(guān)乎國民經(jīng)濟的

3、關(guān)鍵行業(yè)，面 臨與其他行業(yè)相比更為嚴苛的監(jiān)管要求；如何在遵循開源義務要求的 前提下規(guī)范地使用開源技術(shù)，從而最大化削減使用開源帶來的風險， 是金融機構(gòu)構(gòu)建信息系統(tǒng)過程中必定面臨的問題；金融行業(yè)開源治理白皮書第一介紹企業(yè)用戶引入開源技術(shù)的背景，闡述開源技術(shù)對金融行業(yè)的重要意義，重點梳理引入開源可能導致的風險，并對金融行業(yè)在開源治理方面可以實行的措施給出了建議， 最終附錄了參加白皮書撰寫企業(yè)的開源治理實踐案例；金融行業(yè)開源治理白皮書一、 開源技術(shù)迅猛進展推動企業(yè)引入開源近幾年開源技術(shù)快速進展，在云運算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域逐步形成技術(shù)主流；開源技術(shù)正在滲透軟件領(lǐng)域的方方面面，企業(yè)用戶已經(jīng)越來越難

4、以規(guī)躲開源的引入；與此同時，開源的迅猛進展也推動企業(yè)從購買閉源商業(yè)軟件轉(zhuǎn)向關(guān)注和使用開 源軟件；整體而言，不論企業(yè)是否接受，開源已經(jīng)從事實上成為了一種不行阻擋的趨勢；1、 開源已在多個重要領(lǐng)域成為主流開源推動軟件生產(chǎn)模式向多人協(xié)作方向進展；相比于閉源軟件封閉式的開發(fā)模式，開源軟件開放式的生產(chǎn)模式推動更多人參 與到軟件的制造之中；最初，大多數(shù)自由和開源軟件項目的奉獻者通過電子郵件或私有的版本掌握系統(tǒng)（如subversion或bitkeeper ）進行協(xié)作；產(chǎn)生于 2021 年的 github轉(zhuǎn)變了這一情形， github供應使用 git進行版本掌握的軟件源代碼托管服務，使更多開發(fā)者能夠更便利地參

5、加開源項目，進一步推動開源軟件生產(chǎn)效率和生產(chǎn)質(zhì)量的提升；github的顯現(xiàn)轉(zhuǎn)變了開源軟件的協(xié)作模式，開發(fā)者不再需要先獲得開發(fā)者社區(qū)的權(quán)限才能參加開源項目，這種多人協(xié)作的軟件生產(chǎn)模式大大推動了開源軟件市場12的進展壯大；開源軟件已經(jīng)逐步形成強大的生態(tài)鏈條； 21 世紀之前，軟件世界以閉源為主， “閉源”與“收費”成為軟件市場的主流， ibm、甲骨文、 emc為核心的軟硬件產(chǎn)品是金融行業(yè)用戶的主要挑選；90 歲月末，開源軟件從對商業(yè)軟件的仿照開頭興起，如：linux（對應微軟的 windows操作系統(tǒng)）、 openoffice （對應微軟的office）、fuseesb（對應 ibm esb 和

6、oracle esb ）等等；從 00歲月到現(xiàn)在，開源軟件在市場上已經(jīng)逐步與閉源軟件平分秋色；近年來，隨著 it產(chǎn)業(yè)逐步向服務化轉(zhuǎn)型，開源已經(jīng)成為 ict產(chǎn)業(yè)進展的重要趨勢，在移動互聯(lián)網(wǎng)、云運算、大數(shù)據(jù)、人工智能等諸多重要領(lǐng)域成為主流技術(shù)形狀，如：移動互聯(lián)網(wǎng)領(lǐng)域的android，云運算領(lǐng)域的 openstack 、kubernetesk8s，大數(shù)據(jù)領(lǐng)域的 hadoop，人工智能領(lǐng)域的 tensorflow等；以上領(lǐng)域的技術(shù)更新迭代速度較快，企業(yè)用戶在挑選相關(guān)領(lǐng)域技術(shù)時，可能存在沒有商業(yè)產(chǎn)品可供挑選，只能被迫采納開源技術(shù)的現(xiàn)象；2、 企業(yè)用戶引入開源技術(shù)不行防止隨著開源技術(shù)快速形成生態(tài)，企業(yè)用戶

7、引入開源技術(shù)已成大勢所趨；一方面，開源技術(shù)已經(jīng)在大數(shù)據(jù)、云運算等重要領(lǐng)域形成技術(shù)主流，開源軟件掩蓋軟件生態(tài)的諸多方面；另一方面開源代碼規(guī)模正在飛速增長，截至 2021 年 9 月，開源代碼托管平臺github上已經(jīng)有 9600多萬個庫，相比去年也增長了40% 以上；由此可見，開源軟件已經(jīng)成為軟件生態(tài)的重要且不行替代的組成部分，不論治理者是否知悉，企業(yè)內(nèi)部在很大致率上都已經(jīng)引入了開源相關(guān)的技術(shù)，詳細有以下三種引入形式：1) 所購買或使用的商業(yè)軟件，隱含開源組件或代碼在開源軟件興起之前，大多數(shù)企業(yè)一般會挑選購買商業(yè)軟件， 由于這種購買行為對于企業(yè)而言是“公對公”的，大企業(yè)內(nèi)部一 般都有規(guī)范的選購流

8、程，企業(yè)負責人也認為商業(yè)軟件的售后有所 保證；然而，并不是購買了商業(yè)軟件就意味著不用關(guān)懷開源；實際上，許多商業(yè)軟件是基于開源做二次開發(fā)后以閉源形式供應應用戶的，但用戶一般只知道自己購買了商業(yè)軟件，而對其中可能涉及的開源風險一無所知；假如用戶沒有特別要求，商業(yè)軟件供應商一般不會說明是否涉及開源軟件，而用戶一般不能直接接觸到軟件的源代碼；因此，用戶很可能被動的就引入了開源軟件，即使想遵守開源規(guī)章也無從下手；雖然企業(yè)用戶的確購買了商業(yè)軟件，但商業(yè)軟件中卻有可能包含開源的成分，用戶很可能在不知情的情形下使用了開源而不自知；從這個角度來說，許多時候并不是企業(yè)用戶主動挑選了開源，而是被動使用了開源之后才意

9、識到明白開源的重要性；2) 購買基于開源軟件的商業(yè)版本許多時候企業(yè)覺得自己購買了商業(yè)軟件，然而實際上卻往往 是開源的商業(yè)版或者是發(fā)行版；目前已知的 linux 發(fā)行版就有300 多種，其中就有比較勝利的商業(yè)發(fā)行版如：redhat 、suse、 ubuntu 等；全球范疇內(nèi)基于 openstack供應支持和服務的企業(yè) 超過 150家， 依據(jù) openstack基金會發(fā)起的第11次全球openstack 用戶調(diào)查顯示，華為、紅帽、 easystack （易捷行云） 是 2021 年排名前三甲的 openstack軟件供應商；大數(shù)據(jù)領(lǐng)域的hadoop 除了 apache的版本之外，華為發(fā)行版、 in

10、tel發(fā)行版、cloudera發(fā)行版和 dkhadoop 發(fā)行版均有廣泛應用，其中許多發(fā)行版都是收費的商業(yè)軟件；基于開源的商業(yè)版通常有兩種情形，一種是雙許可證，一種是依商業(yè)許可重新發(fā)行；所謂的雙許可證是指其軟件是基于開源許可證的，但是仍有不同的許可條款；用戶可以無償使用無須付費的、開源的版本， 這仍舊屬于商業(yè)版本的一部分，如用戶有進一步的需求，諸如商業(yè)的技術(shù)支持和服務就需要另行付費；作為全球領(lǐng)先的數(shù)據(jù)庫軟件， mysql產(chǎn)品實行了開源許可與私有許可的雙重許可模式；mysql公司對產(chǎn)品代碼擁有完整的著作權(quán)copyright；在開源許可之下，軟件的源代碼完全公開，任何人都可以下載mysql 軟件來

11、使用、修改和傳播；假如某商業(yè)客戶期望在其商業(yè)軟件中集成mysql并保持原有軟件的私有性，那么必需挑選私有許可，即向mysql公司支付肯定的許可費；采納混合許可的優(yōu)點在于通過許可協(xié)議差異化來最大化產(chǎn)品網(wǎng)絡外部性帶來的收益；而依商業(yè)許可重新發(fā)行就是指一些寬松的許可證，如apache、bsd 等，是答應以商業(yè)且閉源的方式二次發(fā)行的；這其中最為聞名的例子就是蘋果公司的 macosx操作系統(tǒng)，其內(nèi)核是使用的 bsd unix ，但是其二次發(fā)行也是順理成章；這樣的方式，也是我們本土常見的方式，比如 openstack采納是特別寬松的 apache 協(xié)議，再次商業(yè)發(fā)行，包括自己修改的、新增的代碼是可以不開源

12、的；3) 直接使用社區(qū)版開源軟件目前，開源軟件已經(jīng)掩蓋了軟件生態(tài)的諸多方面，操作系統(tǒng) 有 linux以開源形式供應，數(shù)據(jù)庫 mysql、mongodb等，云運算領(lǐng)域的 openstack 和 kubernetesk8s都是開源技術(shù)，新興領(lǐng)域如區(qū)塊鏈技術(shù)基本是完全建立在開源的基礎(chǔ)上的；一方面，開源軟件更新速度快，相比于商業(yè)軟件技術(shù)迭代速度更快，許多新技術(shù)往往都是從開源軟件開頭，市場廣泛認可之 后才逐步產(chǎn)生一些商業(yè)軟件或商業(yè)服務；許多時候并不是工程師主動挑選了開源，而是由于開源軟件的生態(tài)相比于商業(yè)軟件要巨大數(shù)倍，使用者只能被動挑選開源；另一方面，開源軟件代碼公開簡單獵取，對于企業(yè)的工程師而言，大到

13、采納能夠獨立部署獨立運行的軟件，小到將github上的一段開源代碼復制粘貼到自己的代碼中，其實都涉及到使用開源的問題；開源軟件已經(jīng)成為軟件生態(tài)不行或缺的重要組成部分，許多時候企業(yè)常常會直接使用開源軟件的社區(qū)版，或者直接使用github上的組件 / 代碼片段，這些都屬于使用了開源；從這個角度來看，開源已經(jīng)滲透到了企業(yè)信息系統(tǒng)的各個角落，企業(yè)對于開源的使用是無處不在且不行逆轉(zhuǎn)的；二、 金融行業(yè)采納開源技術(shù)已成趨勢開源軟件市場巨大，從基礎(chǔ)軟件到應用軟件都充斥著大量的開源軟件；受金融機構(gòu)轉(zhuǎn)型推動和生態(tài)合作伙伴影響，為滿意金融用戶的實際需求，開源技術(shù)已經(jīng)逐步成為金融機構(gòu)構(gòu)建信息系統(tǒng)的重要挑選；金融行業(yè)采

14、納開源技術(shù)已經(jīng)成為一種趨勢，開源技術(shù)可以助力金融機構(gòu)提高科技實力、幫助保證信息系統(tǒng)安全、進一步推動企業(yè)科技創(chuàng)新和業(yè)務創(chuàng)新；1、 開源技術(shù)是構(gòu)建信息系統(tǒng)的重要挑選金融行業(yè)相比于新興的互聯(lián)網(wǎng)等行業(yè)面臨更嚴格的監(jiān)管要求，因此在引入開源軟件方面始終相對謹慎；開源技術(shù)大規(guī)模興起之前，金融行業(yè)往往通過正規(guī)選購流程購買商業(yè)軟件，以滿意本企業(yè)在信息系統(tǒng)構(gòu)建方面的需求；隨著時代的變遷和技術(shù)的進步，金融機構(gòu)的it技術(shù)方案逐步從閉源走向開源；金融行業(yè)挑選開源技術(shù)的緣由主要有以下三點： 第一，提高靈敏開發(fā)效率，滿意金融用戶需求；隨著互聯(lián)網(wǎng)公司涉足金融領(lǐng)域并開啟移動支付時代，目前我國移動支付規(guī)模已經(jīng)穩(wěn)居全球第一 , 并

15、逐步向世界各國拓展；面對金融用戶需求和使用習慣的變化，傳統(tǒng)金融機構(gòu)已經(jīng)無法完全滿意用戶需求， 互聯(lián)網(wǎng)金融、數(shù)字金融、金融科技等概念紛紛顯現(xiàn)，傳統(tǒng)金融機構(gòu)開頭創(chuàng)建金融科技公司或成立金融科技部門，金融行業(yè)逐步向互聯(lián)網(wǎng)靈敏開發(fā)方向進展；在此過程中，開源技術(shù)的引入可以大大提高開發(fā)效率和迭代速度，幫忙金融機構(gòu)快速推動業(yè)務創(chuàng)新，進一步滿意金融用戶的需求；其次，加速海量數(shù)據(jù)處理，推動金融機構(gòu)轉(zhuǎn)型；在大規(guī)模、高并發(fā)、渠道類應用日益增多的互聯(lián)網(wǎng)金融背景下，金融機構(gòu)面臨 向數(shù)字化、智能化方向轉(zhuǎn)型的要求；與此同時，機構(gòu)內(nèi)海量數(shù)據(jù)處 理、分析需求開頭增多，而開源技術(shù)可以幫忙金融企業(yè)構(gòu)建更靈敏高效、精細化治理、可管可控

16、以及可擴展的 it 系統(tǒng)，進一步推動金融機構(gòu)的轉(zhuǎn)型和創(chuàng)新；第三，主動擁抱開源技術(shù)，助力生態(tài)伙伴合作； 金融機構(gòu)并 不是獨立存在的個體，其生態(tài)鏈條上存在各種類型的合作伙伴企業(yè)；從供應角度來看，金融機構(gòu)與科技公司存在密不行分的關(guān)系，也不行防止地會受到科技公司在技術(shù)方面的影響；鑒于目前開源 技術(shù)在科技公司當中應用的廣泛性，金融機構(gòu)不行防止會涉及到 相關(guān)技術(shù)，這一變化也將推動傳統(tǒng)金融機構(gòu)逐步從封閉走向開放，進一步促進金融行業(yè)轉(zhuǎn)型與進展；從開源技術(shù)的應用與進展角度來看，十年前，操作系統(tǒng)主要 是 aix 、hpunix 等，儲備以 emc、hp 為主，中間件使用 tuxedo等，主流的數(shù)據(jù)庫有 infor

17、mix、db2、sqlserver 而目前 linux操作系統(tǒng)， hadoop 分布式文件系統(tǒng) hdfs，數(shù)據(jù)庫 mongodb 和mysq，l 中間件 kafka 、 rabbitmq 等已經(jīng)在相應領(lǐng)域形成技術(shù)主 流，許多金融機構(gòu)也正在使用這些開源技術(shù)；開源技術(shù)的進展推動金融機構(gòu)逐步接受開源和使用開源，開源軟件已經(jīng)滲透到了金融機構(gòu)軟件研發(fā)的各個流程；在金融機構(gòu)中，從治理角度可以將開源軟件分為兩大類：第一類是基礎(chǔ)類開源軟件； 指獨立部署、獨立運行，為應用系統(tǒng)供應基礎(chǔ)服務的開源軟件，包括操作系統(tǒng)、數(shù)據(jù)庫、中間件 等；這類軟件一般由獨立的專職團隊（如運維中心）統(tǒng)一負責管 理，包括：編制相關(guān)應用部署

18、規(guī)范、上線后的運行和愛護等；其次類是應用開發(fā)類開源軟件； 包括開發(fā)過程中涉及的開發(fā)框架、開發(fā)語言、開發(fā)工具，以及配置、測試、運維和辦公等過程中使用的工具軟件等；這類軟件一般由引入和使用部門直接治理， 負責軟件的運行愛護工作；2、 挑選開源技術(shù)對金融機構(gòu)意義重大1) 開源技術(shù)助力金融機構(gòu)提高科技實力金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設施是經(jīng)濟社會運行的神經(jīng)中樞， 金融業(yè)務高度依靠金融網(wǎng)絡和信息系統(tǒng)；軟件和信息技術(shù)服務業(yè)“十二五 ”進展規(guī)劃中提出要把開源軟件作為扶持進展的對象；開源軟件具有公開、使用、修改、分發(fā)的特點，使用開源軟件的機構(gòu)可以把握軟件的源代碼，一方面改善過去選購閉源軟件存在的代碼不透亮等問題，另

19、一方面也可以弱化商業(yè)封閉式系統(tǒng)架構(gòu) 導致的廠商綁定；金融用戶通過把握軟件源代碼提高對信息系統(tǒng)的把控才能，基于開源代碼進行二次開發(fā)可以進一步提高金融機構(gòu)的技術(shù)水平和科技實力；2) 開源技術(shù)是金融機構(gòu)保證信息安全的重要挑選金融作為涉及關(guān)乎國民經(jīng)濟的關(guān)鍵行業(yè)，面臨與其他行業(yè)相比更為嚴苛的監(jiān)管要求； 信息安全已經(jīng)上升到國家戰(zhàn)略層面，信息安全被劃入“十三五”重點建設方向、網(wǎng)絡安全被正式劃入“十 三五”規(guī)劃重點建設方向，在政府將來5年的 100項重大建設項目中排在第六位；因行業(yè)性質(zhì)緣由，金融行業(yè)對信息系統(tǒng)安全和軟件使用有極 高的要求，間續(xù)出臺相關(guān)行業(yè)規(guī)范和治理規(guī)定，如：金融行業(yè)信 息系統(tǒng)信息安全等級愛護實

20、施指引、中小金融機構(gòu)災備云安全要求、保險機構(gòu)信息化監(jiān)管規(guī)定、保險公司信息系統(tǒng)安全治理指引（試行）等；相比于閉源商業(yè)軟件，開源軟件的源代碼更加公開透亮；同 時，得益于開源生態(tài)日趨成熟，paas、中間件、數(shù)據(jù)庫等領(lǐng)域開源技術(shù)層出不窮，主流的技術(shù)基本都有熱門的開源軟件可供金融 機構(gòu)進行挑選；金融機構(gòu)在進行軟件選型時，也可以通過公開的數(shù)據(jù)對軟件進行多方面的評測，通過挑選合適的開源技術(shù)替代商業(yè)軟件，助力金融機構(gòu)有效保證數(shù)據(jù)安全；3) 開源技術(shù)推動金融機構(gòu)科技創(chuàng)新和業(yè)務創(chuàng)新為應對互聯(lián)網(wǎng)金融崛起和競爭，傳統(tǒng)金融機構(gòu)也需要主動擁抱開源技術(shù)，以便更快地達成一流數(shù)字生態(tài)金融格局，把觸角延長到金融客戶需求的方方面面；從開發(fā)模式上來看，開源技術(shù)采納多人協(xié)作的開發(fā)模式，與傳統(tǒng)閉源軟件封閉式的開發(fā)模式相比，具有快速迭代、技術(shù)可擴 展、技術(shù)路線壽命長等特點，在技術(shù)路徑上相比于閉源軟件更具 有多樣性和創(chuàng)新性；由于開源軟件的代碼是公開的，社區(qū)的參加者可以基于原有代碼進行自由開放和修改，其技術(shù)更新迭代速度要比專有軟件快得多，因