金融機(jī)構(gòu)開源治理白皮書-2019

版權(quán)聲明本白皮書版權(quán)屬于中國信息通信研究院，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本白皮書文字或者觀點的，應(yīng)注明來源。違反上述聲明者，本院將追究其相關(guān)法律責(zé)任。編寫說明份有限公司、編寫人：栗蔚、郭雪、武倩聿、萬化、楊欣捷、彭穎、葉馥郁、賴強(qiáng)、李玉省、陳建鋒、鄧瓊、張文若、鄭位威、裴玉平、蘇福江、倪焰目錄一、 開源技術(shù)迅猛發(fā)展推動企業(yè)引入開源 11、開源已在多個重要領(lǐng)域成為主流 12、企業(yè)用戶引入開源技術(shù)不可避免 2二、 金融行業(yè)采用開源技術(shù)已成趨勢 61、開源技術(shù)是構(gòu)建信息系統(tǒng)的重要選擇 62、選擇開源技術(shù)對金融機(jī)構(gòu)意義重大 8三、 引入開源的風(fēng)險日益凸顯不容忽視 111、缺乏技術(shù)能力是企業(yè)用戶的重要痛點 112、是否引入開源軟件難以完全準(zhǔn)確統(tǒng)計 123、開源軟件隱含的安全風(fēng)險較為顯著 134、使用過程中是否遵守開源約定未知 145、開源軟件上游供應(yīng)鏈存在不確定性 146、開源軟件的知識產(chǎn)權(quán)風(fēng)險易被忽略 15四、 金融行業(yè)開源治理建議 161、推廣產(chǎn)業(yè)開源科普，樹立開源風(fēng)險意識 162、建立金融開源社區(qū)，增進(jìn)同業(yè)交流溝通 173、梳理開源治理規(guī)范，推動相關(guān)標(biāo)準(zhǔn)制定 184、建設(shè)開源治理體系，規(guī)范開源軟件引入 19附錄金融機(jī)構(gòu)開源治理實踐案例 23中國農(nóng)業(yè)銀行 23上海浦東發(fā)展銀行 26中信銀行開源 30中國太平洋保險（集團(tuán)） 32前 言PAGEPAGE13金融行業(yè)開源治理白皮書一、開源技術(shù)迅猛發(fā)展推動企業(yè)引入開源的迅猛發(fā)展也推動企業(yè)從購買閉源商業(yè)軟件轉(zhuǎn)向關(guān)注和使用開了一種不可阻擋的趨勢。1、開源已在多個重要領(lǐng)域成為主流者通過電子郵件或私有的版本控制系統(tǒng)（如Subversion或BitKeeper）2008GitHub改變了這一情提供使用Git的出現(xiàn)改變了開源軟件的協(xié)21B、甲骨文、EMC為核心的軟硬件產(chǎn)品是金融行業(yè)用戶的主要選擇。90Linux（對應(yīng)微軟的Windows操作系統(tǒng)、OpenOffice（對應(yīng)微軟的Ofie、FsEB（BMESBrceSB）ITICT等諸多重要領(lǐng)域成為主流技術(shù)形態(tài)，如：移動互聯(lián)網(wǎng)領(lǐng)域的Android，云計算領(lǐng)域的OpenStackKubernetes(k8s)，大數(shù)據(jù)Tensorflow2、企業(yè)用戶引入開源技術(shù)不可避免20189GitHub上已經(jīng)有9600多萬個庫，相比去年也增長了40以上。引入了開源相關(guān)的技術(shù)，具體有以下三種引入形式：所購買或使用的商業(yè)軟件，隱含開源組件或代碼及的開源風(fēng)險一無所知。購買基于開源軟件的商業(yè)版本很多時候企業(yè)覺得自己購買了商業(yè)軟件，然而實際上卻往往是開源的商業(yè)版或者是發(fā)行版。目前已知的Linux發(fā)行版就有300redhat、SUSe、UbuntuOpenStack超過150OpenStack基金會發(fā)起的第11次全球OpenStack易捷行云）2018OpenStackApacheIntelDKhadoop是依商業(yè)許可重新發(fā)行。件，MySQL產(chǎn)品采取了開源許可與私有許可的雙重許可模式。MySQL公司對產(chǎn)品代碼擁有完整的著作權(quán)(copyright)。在開源MySQLMySQLMySQL、BSD名的例子就是蘋果公司的MacOSXBSDOpenStackApache直接使用社區(qū)版開源軟件LinuxMySQL、MongoDBOpenStackKubernetes(k8s大數(shù)倍，使用者只能被動選擇開源；GitHub源的問題。時候企業(yè)經(jīng)常會直接使用開源軟件的社區(qū)版，或者直接使用GitHub/開源的使用是無處不在且不可逆轉(zhuǎn)的。二、 金融行業(yè)采用開源技術(shù)已成趨勢1、開源技術(shù)是構(gòu)建信息系統(tǒng)的重要選擇金融行業(yè)相比于新興的互聯(lián)網(wǎng)等行業(yè)面臨更嚴(yán)格的監(jiān)管要本企業(yè)在信息系統(tǒng)構(gòu)建方面的需求。IT點：已經(jīng)穩(wěn)居全球第一,并逐漸向世界各國拓展。面對金融用戶需求和使用習(xí)慣的變化，傳統(tǒng)金融機(jī)構(gòu)已經(jīng)無法完全滿足用戶需求，第二，加速海量數(shù)據(jù)處理，推動金融機(jī)構(gòu)轉(zhuǎn)型。在大規(guī)模、IT進(jìn)一步促進(jìn)金融行業(yè)轉(zhuǎn)型與發(fā)展。AIX、HPUnixEMC、HPTuxedoInformixDB2SQLServer……而目前Linux操作系統(tǒng)，Hadoop(HDFSMongoDBKafka、RabbitMQ中，從管理角度可以將開源軟件分為兩大類：（如運維中心理，包括：編制相關(guān)應(yīng)用部署規(guī)范、上線后的運行和維護(hù)等。理，負(fù)責(zé)軟件的運行維護(hù)工作。2、選擇開源技術(shù)對金融機(jī)構(gòu)意義重大開源技術(shù)助力金融機(jī)構(gòu)提高科技實力金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運行的神經(jīng)中樞，金融業(yè)務(wù)高度依賴金融網(wǎng)絡(luò)和信息系統(tǒng)《軟件和信息技術(shù)服務(wù)業(yè)“十二五”構(gòu)的技術(shù)水平和科技實力。開源技術(shù)是金融機(jī)構(gòu)保障信息安全的重要選擇金融作為涉及關(guān)乎國民經(jīng)濟(jì)的關(guān)鍵行業(yè)，面臨與其他行業(yè)相5年的100項目中排在第六位。管理指引（試行》等。業(yè)軟件，助力金融機(jī)構(gòu)有效保障數(shù)據(jù)安全。開源技術(shù)推動金融機(jī)構(gòu)科技創(chuàng)新和業(yè)務(wù)創(chuàng)新伸到金融客戶需求的方方面面。的先進(jìn)性，助力金融機(jī)構(gòu)科技創(chuàng)新。先進(jìn)技術(shù)實現(xiàn)科技創(chuàng)新，進(jìn)而推動業(yè)務(wù)健康快速發(fā)展。三、 引入開源的風(fēng)險日益凸顯不容忽視作為開源用戶可能涉及四類風(fēng)險：運維和技術(shù)風(fēng)險、管理風(fēng)險、安全和數(shù)據(jù)風(fēng)險、合規(guī)和知識產(chǎn)權(quán)風(fēng)險。圖1使用開源軟件可能涉及的四類風(fēng)險1、 缺乏技術(shù)能力是企業(yè)用戶的重要痛點2、 是否引入開源軟件難以完全準(zhǔn)確統(tǒng)計如果金融用戶沒有特殊要求，商業(yè)軟件供應(yīng)商一般不會說明其產(chǎn)品中是否涉及開源代碼，甚至對用戶號稱完全自主研發(fā)，用戶很可能被動引入開源軟件。例如，2018Chrome事件之前，該瀏覽器在宣傳或說明中未標(biāo)注其使用了開源軟件Chrome。從開源合規(guī)的角度來看，該公司在自主研發(fā)中存在失信問題，同時也違背了開源許可證的署名要求。從另一個角度來看，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發(fā)過程中，如果企業(yè)并未對源代碼進(jìn)行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過程中使用了開源代碼片段。同時，對金融機(jī)構(gòu)而言，存量軟件及代碼的規(guī)模相對更加龐大，對其進(jìn)行代碼合規(guī)性檢查的工作量更加巨大。因此，金融機(jī)構(gòu)想要完全準(zhǔn)確統(tǒng)計企業(yè)內(nèi)引入開源軟件的數(shù)目及真實情況在操作層面存在一定困難。3、開源軟件隱含的安全風(fēng)險較為顯著由于開源軟件具有多人協(xié)作完成、開源許可證存在免責(zé)條款SNYK20192018NPM47％。以數(shù)據(jù)庫領(lǐng)域為例，據(jù)安華金和最新發(fā)布《201920194CVE被確認(rèn)的國際主流數(shù)據(jù)庫漏洞共計81個，其中Oracle 9個、MySQL65Oracle91高危漏洞；MySQL65262以重視。1https://www./company-information/158591.html4、 使用過程中是否遵守開源約定未知每一個開源軟件都需要包含開源許可證去規(guī)定開源軟件的使用范圍和權(quán)利義務(wù)，金融用戶在明確商業(yè)軟件包含開源軟件的前提下，很多情況并不能明確得知該軟件是否遵守開源許可證的要求。開源許可證的基本要求包括：使用開源軟件需要署名開源軟件的作者或版權(quán)持有人的姓名或名稱，需要明確使用哪一個開源許可證，并保留許可證全文或相關(guān)鏈接等等。GPLGPL3D打印領(lǐng)域，MarlinGPLMarlinMarlin,在違反開源許可證規(guī)定的同時也可能面臨法律制裁。5、 開源軟件上游供應(yīng)鏈存在不確定性20188LabsAGPLApachev2.0CommonsClause（共用條款MongoDBAGPLv3改為一種新的服務(wù)器端公共許可證（SSL，力求堵住基于云的KSQLConfluentSaaS至可能影響已有開源軟件的后續(xù)使用。/2018Oracle20191布的OracleJavaSE8公開更新將不向沒有商用許可證的業(yè)OracleJavaSE8OpenJDK發(fā)行版。的知識產(chǎn)權(quán)歸屬及開源軟件未來是否受到限制使用等問題仍需引起足夠重視。6、開源軟件的知識產(chǎn)權(quán)風(fēng)險易被忽略開源軟件一般通過開源許可證約定其涉及的知識產(chǎn)權(quán)所屬，Aahe20和GPL3.0BSDMIT2.0Apache2.0GPL3.0AGPL3.0用戶使用相關(guān)軟件就可能存在潛在的風(fēng)險。證的使用方式，進(jìn)而可能會埋下相應(yīng)的風(fēng)險隱患。四、金融行業(yè)開源治理建議構(gòu)滿足合規(guī)要求的同時以開源新技術(shù)的應(yīng)用促進(jìn)金融機(jī)構(gòu)向數(shù)字化、智能化方向轉(zhuǎn)型。1、推廣產(chǎn)業(yè)開源科普，樹立開源風(fēng)險意識從國家層面來看，開源知識的科普和開源風(fēng)險意識的樹立至關(guān)重要。我國應(yīng)培育開源發(fā)展的政策環(huán)境，完善開源相關(guān)法律保護(hù)機(jī)制，加強(qiáng)開源軟件的社會認(rèn)知度和開源相關(guān)專業(yè)人才的培養(yǎng)，鼓勵和推動開源社區(qū)發(fā)展，支持開源社區(qū)進(jìn)行培訓(xùn)和研討活動，整體上從國家或行業(yè)層面提高對開源的重視程度。產(chǎn)業(yè)界可以通過開源白皮書和書籍的形式向相關(guān)企業(yè)和人員灌輸正確的開源理念，針對開源的概念、開源許可證的要求進(jìn)行解讀，組織相關(guān)開源及知識產(chǎn)權(quán)專家進(jìn)行演講與培訓(xùn)，提醒企業(yè)引入開源可能面臨的風(fēng)險，樹立金融機(jī)構(gòu)作為開源用戶的風(fēng)險意識。金融管理機(jī)構(gòu)可以通過調(diào)查問卷的形式，對開源軟件在金括：一、心業(yè)務(wù)系統(tǒng)應(yīng)用占比等；二、三、況，分析現(xiàn)狀及問題，后續(xù)形成調(diào)研報告供相關(guān)各方參考。2、 建立金融開源社區(qū)，增進(jìn)同業(yè)交流溝通融機(jī)構(gòu)對開源的參與度。國際方面已有針對金融領(lǐng)域的開源基金會，F(xiàn)INOS20163070余個項300（會員均10余家金融機(jī)構(gòu)及華3、 梳理開源治理規(guī)范，推動相關(guān)標(biāo)準(zhǔn)制定針對國內(nèi)開源產(chǎn)業(yè)相對缺少監(jiān)管和規(guī)范的現(xiàn)狀，第三方機(jī)構(gòu)可以通過標(biāo)準(zhǔn)化的手段梳理用戶側(cè)使用開源應(yīng)遵守的規(guī)范，中國信通院已經(jīng)聯(lián)合30余家金融機(jī)構(gòu)和科技公司共同制定了2融機(jī)構(gòu)建立自上而下的開源治理體系。通過相關(guān)標(biāo)準(zhǔn)的制定和評估的落地，促進(jìn)金融機(jī)構(gòu)規(guī)范開源軟件管理，事先規(guī)避開源相關(guān)風(fēng)險。進(jìn)一步通過評估與行業(yè)內(nèi)部交流，聚集最佳開源治理實踐，推動業(yè)內(nèi)形成共識，促進(jìn)金融行業(yè)開源軟件使用的規(guī)范化和全行業(yè)整體開源治理能力的提升。4、建設(shè)開源治理體系，規(guī)范開源軟件引入軟件管理平臺，從公司層面對開源軟件的引入和輸出進(jìn)行管社區(qū)反饋和退出機(jī)制總共九個方面的內(nèi)容。組織架構(gòu)全生命周期中涉及的各類角色的職責(zé)進(jìn)行明確，具體包括管理、開發(fā)、運維、安全、法務(wù)等。管理制度制定企業(yè)內(nèi)部相關(guān)的規(guī)章制度，對開源軟件的合規(guī)使用進(jìn)行管控，至少包括：開源軟件引入制度、開源軟件使用制度、開源軟件漏洞檢測制度、開源軟件版本更新制度及開源軟件退出制度等。軟件選型企業(yè)在引入開源軟件時，可以從產(chǎn)品活力度、行業(yè)認(rèn)可夠引入進(jìn)行綜合評估。使用規(guī)范開源技術(shù)在使用過程中存在風(fēng)險，因此企業(yè)在使用開源技術(shù)時應(yīng)依照規(guī)范根據(jù)引入需求確認(rèn)測試范圍，對開源軟件的相關(guān)功能進(jìn)行必要的測試。針對基礎(chǔ)類軟件應(yīng)由負(fù)責(zé)部門編制軟件使用說明文檔，針對系統(tǒng)級別的開源軟件應(yīng)制定相應(yīng)的應(yīng)急預(yù)案，對于核心業(yè)務(wù)應(yīng)保證至少有一個成熟的方案做備份。風(fēng)險管理企業(yè)在引入開源軟件時應(yīng)遵循統(tǒng)一的引入流程，并對建立開源軟件統(tǒng)一管理機(jī)制，對企業(yè)所使用的開源軟件信息進(jìn)行記錄（包括軟件名稱、作者、出處、版本號、許可證、正在使用的部門等進(jìn)行評估并應(yīng)設(shè)置專業(yè)人員（如法律人員、安全人員等）進(jìn)行風(fēng)險處置指導(dǎo)，及時識別可能存在的風(fēng)險點并建立與使用、運維、安全、法律等相關(guān)人員的溝通機(jī)制，確保在面臨風(fēng)險時能夠及時妥善解決。二次開發(fā)開發(fā)方案，進(jìn)一步按照企業(yè)和社區(qū)規(guī)范進(jìn)行編碼、測試和發(fā)布。特別是對于涉及對外分發(fā)的應(yīng)用場景（APP）開源軟件/組件，需要按照開源許可證的相關(guān)規(guī)定保留原版權(quán)信息并添加開發(fā)者的版權(quán)信息，如相關(guān)代碼需要貢獻(xiàn)給社區(qū)，在進(jìn)行編碼時應(yīng)遵循開源社區(qū)的編碼規(guī)范和要求。持續(xù)跟蹤項情況，維護(hù)開源軟件企業(yè)中的健康合規(guī)運行，包括社區(qū)情在的風(fēng)險。社區(qū)反饋（如涉及公司核心技術(shù)等權(quán)問題等。退出機(jī)制作為軟件生命周期管理的一部分，開源軟件除了需要重視引入之外，還應(yīng)重視起退出機(jī)制。企業(yè)應(yīng)制定開源軟件退出制度及退出規(guī)劃，對停止使用的軟件進(jìn)行統(tǒng)一記錄和管理。在面臨產(chǎn)品替代、法律安全問題等情況時，應(yīng)由開源管理小組統(tǒng)一對軟件的退出流程進(jìn)行規(guī)劃，并按照規(guī)劃進(jìn)行遷移、替換、退出等操作。除此之外，企業(yè)還可以通過建設(shè)內(nèi)部開源治理支撐平臺，保障開源治理工作的高效運行。通過平臺化的手段實現(xiàn)金融機(jī)構(gòu)內(nèi)部開源軟件的引入評估、使用評估、安全漏洞評估等工作的流程化和自動化，做到開源軟件全生命周期的跟蹤和記錄。附錄金融機(jī)構(gòu)開源治理實踐案例中國農(nóng)業(yè)銀行(一)開源軟件管理背景(二)開源軟件管理體系農(nóng)業(yè)銀行開源軟件管理和應(yīng)用是在監(jiān)管部門相關(guān)政策的指引下，通過分析銀行IT架TOSIM標(biāo)準(zhǔn)和管理平臺及工具。TOSIM開源軟件一體化管理框架化管理框架TOSIM，將開源軟件管理融入到現(xiàn)有軟件管理體系之IT“五位一體TOSIM開源軟件一體化管理框架有著如下的顯著特點：一是強(qiáng)調(diào)建立全面的管理體系。TOSIM可操作性、可落地性。三是強(qiáng)調(diào)建立分級分類的管理體系。TOSIM管理框架踐行“”管理要求，避免“一刀切”等現(xiàn)象出現(xiàn)。管理平臺與工具TOSIM效率。(三)開源軟件管理實效SpringMPP數(shù)據(jù)庫和Hadoop6.8PB以上的結(jié)構(gòu)化數(shù)4.8PB“采購定制PaaS開源軟件一體化管理體系在農(nóng)行的實踐表明了其科學(xué)性和源軟件的管理提供了一個可參考的案例。上海浦東發(fā)展銀行(一)概述件提供技術(shù)和制度上的保證。(二)開源治理體系建設(shè)軟件的使用風(fēng)險。主要包含以下五部分內(nèi)容：開源治理的配套組織架構(gòu)。開源治理的配套流程制度源代碼修改流程。開源軟件評估評價方法供了科學(xué)的開源軟件多維度評價視角，浦發(fā)銀行依據(jù)E-OSMM(EnterpriseOpenSourceMaturityModel)模型以及華開源軟件治理支撐平臺451151且介質(zhì)維護(hù)入庫。通過自主研發(fā)的開源治理平臺，把開源軟件治理體系系統(tǒng)理平臺中的軟件倉庫在技術(shù)上實現(xiàn)了開源軟件實體介質(zhì)來源可控可溯，直接服務(wù)于開發(fā)項目工程構(gòu)件，提高開發(fā)效率。金融行業(yè)開源技術(shù)應(yīng)用社區(qū)。一個非盈利性的組織，服務(wù)商發(fā)起成立金融行業(yè)開源技術(shù)應(yīng)用社區(qū)，主動分享治理(三)開源治理效能1、有效防范了開源軟件的使用風(fēng)險介質(zhì)來源風(fēng)險浦發(fā)銀行開源治理平臺中包含的開源軟件倉庫是浦發(fā)內(nèi)部植入后門或木馬。技術(shù)應(yīng)用風(fēng)險開源治理體系科學(xué)評估了引入開源軟件的版本和生命周期，安全漏洞風(fēng)險開源治理體系提供了全周期