<cite id="11161"></cite>

  • <bdo id="11161"></bdo>
    |新一代信息技術 信息基礎設施建設 互聯網+ 大數據 人工智能 高端信息技術核心產業
    |高端制造 機器人 智能制造 新材料
    |生物產業 生物醫藥 生物農業 生物技術
    |綠色低碳 清潔能源汽車 環保產業 高效節能產業 生態修復 資源循環利用
    |數字創意 數創裝備 內容創新 設計創新
    |產業資訊
    |地方亮點及地方發改委動態
    |獨家內容
    |雜志訂閱
    ?? 投稿
    您的位置:首頁 > 深度閱讀
    《關于規范金融業開源技術應用與發展的意見》如何落地實施:開源治理保障金融行業數字科技創新
    2021-10-28 16:10
    字體: [   ]
      栗蔚 郭雪 俊哲 中國信通院CAICT
      近日,人民銀行辦公廳、中央網信辦秘書局、工業和信息化部辦公廳、銀保監會辦公廳、證監會辦公廳聯合發布《關于規范金融業開源技術應用與發展的意見》(以下簡稱為“《意見》”),中國信息通信研究院(以下簡稱為“中國信通院”)前期支撐了《意見》的制訂工作。
      近年來,開源技術在金融業各領域得到廣泛應用,在推動金融機構科技創新和數字化轉型方面發揮著積極作用,但也面臨安全可控等諸多風險?!兑庖姟分攸c提到金融機構在使用開源技術時應遵循“安全可控、合規使用、問題導向、開放創新”這四大基本原則,鼓勵金融機構一是將開源技術應用納入自身信息化發展規劃,建立健全開源技術應用管理制度體系等;二是積極參與開源生態建設,加強與產學研交流合作力度,加入開源社會組織等;三是完善金融機構開源技術應用指導政策,探索建立開源技術公共服務平臺,加強開源技術及應用標準化建設等。
      一、金融機構開源使用廣泛,需提升全量化管理能力
      金融機構開源使用廣泛。根據我國金融行業開源技術應用社區調研結果,我國金融機構中超過90%的企業引入了開源軟件。其中,中間件(90.63%)、大數據(87.5%)、數據庫(87.5%)與工具(78.13%)是主要的開源軟件應用方向。開源軟件引入形式包含源代碼級引入、制品環境組件級引入、商業解決方案間接引入等方式,近四成金融機構使用超過1000個開源軟件/組件。
      來源:中國信通院
      圖1  金融機構開源軟件/組件使用情況
      我國金融機構逐步開展開源風險治理工作。92.11%的金融機構涉及開源內部開源治理工作;超六成金融機構已制定企業級開源治理流程與管理文件,具備明確的開源軟件治理人員責任劃分;三成金融機構設置獨立開源管理團隊實施開源管理工作。在管理對象的覆蓋度上稍顯不足,只有兩成金融機構開展開源軟件、開源組件與開源工具的全量化管理。上述數據表明我國金融機構重視企業開源治理工作,并朝著專業化方向發展,但需要提升全量化管理能力。
      來源:中國信通院
      圖2  金融機構開源軟件分類分級別管理情況
      二、金融企業擁抱開源的兩個方面
      《意見》旨在規范金融機構合理應用開源技術,提高應用水平和自主可控能力,促進開源技術健康可持續發展。那么依照相關指導意見,金融機構擁抱開源可以分為兩個層面,分別為“開源使用”和“自發開源”。
      開源使用目標是保證我國金融行業開源技術的持續穩定使用,包括:一是金融機構要積極擁抱開源,跟蹤并掌握主流開源技術路徑,提升自身科技水平;二是企業根據自身特性開展開源治理工作,識別開源技術安全、法律合規、供應鏈等方面的風險,細化開源風險指引文件,完善內部治理體系。
      自發開源目標是汲取先進技術,開源創新技術,培育適合金融場景的開源產業鏈。途徑是積極參與國際國內開源技術社區建設,同時探索金融行業自主開源,鼓勵金融機構、科技公司、科研院校之間開展開源項目合作,通過貢獻代碼解決行業共性問題,提升金融行業開源技術整體應用與技術創新速度。
      三、開源使用治理需覆蓋全周期
      1、管理對象:明確開源技術管理范疇
      《意見》中第一條給出開源技術范疇?!耙?、本意見所指開源技術是金融機構從代碼托管平臺、技術社區、開源機構官方網站等渠道獲取,或通過合作研發、商業采購等方式引入的開源代碼、開源組件、開源軟件和基于開源技術的云服務等?!?/div>
      開源使用治理范疇主要包括三部分,一是企業直接使用部分,針對直接使用的源碼或者制品進行管理;二是合作開發,外包商開發引入的源碼或制品進行管理;三是商業采購,對于商業采購的產品、解決方案、云服務涉及的開源軟件/組件進行管理。
      2、總體要求:使用管理需從上到下建立組織機制
      《意見》中主要是第“三、四、五”條涉及到金融機構開源技術應用的總體管理要求?!叭?、金融機構可以將開源技術應用納入自身信息化發展規劃,明確開源技術應用目標,制定開源技術應用工作方案并組織實施”;“四、鼓勵金融機構加強對開源技術應用的組織管理和統籌協調,成立由科技、法務、采購等部門組成的開源技術應用協調機制,負責開源技術評估、選擇、應用等工作,協調解決應用中遇到的困難和問題”;“五、鼓勵金融機構建立健全開源技術應用管理制度體系,規范開源技術的引入審批、技術評估、合規使用、漏洞檢測、更新維護、應急處置、停用退出等行為”。
      這三條主要從整體規劃、組織架構、管理規范三大方面進行描述。整體規劃,金融機構宜具備企業級開源軟件治理戰略,能夠進行開源治理戰略規劃與實施。組織架構,金融機構宜設立開源治理團隊或開源辦公室,從管理層面統籌規劃、推動和實施企業開源治理工作,并構建開源技術團隊、安全團隊、法務團隊等專業化團隊負責管控開源軟件中涉及的風險問題,由專業團隊定期提供內部輔導培訓和專業咨詢服務。管理規范,金融機構宜完善開源軟件管理制度,制訂總行級、中心級開源軟件管理規范,對開源軟件的引入、使用、更新、退出的全流程管理提出明確規定,在制度中明確要求對開源軟件進行統一管理。
      3、使用過程:以業務場景為核心,需覆蓋開源使用全周期,掌握核心技術
      《意見》中主要是第“六、七、八”條涉及到金融機構開源技術使用的管理要求?!傲?、金融機構可以根據金融業務場景,選擇適宜的技術路線,制定合理的開源技術應用策略,包括獨立完成開源技術應用及運維、引入第三方機構的開源技術支持服務、采購開源技術提供商的商業軟件版本及服務等”;“七、金融機構可以根據開源技術使用情況,建立開源技術應用臺賬,及時掌握開源許可證變更、漏洞、閉源、停服等變化情況,實行常態化管理,規避風險”;“八、鼓勵金融機構將開源技術應用作為提高核心技術自主可控能力的重要手段,加強開源技術研究儲備,掌握開源技術核心,以應用促提升,依托金融業豐富的業務場景促進開源技術迭代升級”。
      這三條主要從開源軟件的使用管理流程“技術選型、技術跟蹤、技術提升”來進行描述。技術選型,金融機構選擇開源技術,應以業務場景目標為核心,宜從實際業務需求出發開展充分的市場與場景成熟度調研,由開源軟件使用團隊對軟件功能性進行詳細評測;同時金融機構宜針對直接引入(企業直接使用開源軟件/組件)、商業解決方案(采購商業產品涉及開源軟件/組件)與外包開發(外包開發商涉及開源軟件/組件使用)等引入方式、形成開源軟件引入測評模型(或方法),制定可操作的測評標準(或定量的測評指標),從項目活躍、行業認可、軟件質量和服務支持等多個角度考察開源軟件情況,綜合評估該軟件或服務商是否應該引入。技術跟蹤,金融機構宜構建源碼倉庫和制品倉庫對開源代碼進行統一管理,持續跟蹤企業內正在使用的開源軟件的社區情況、版本更新情況及開源許可證情況,通過治理平臺(臺賬管理)輔助實現開源軟件信息的登記和更新,定期對相關信息進行分析、評估和處置;同時金融機構宜建立開源軟件運維管理機制,通過建立運維知識庫和內/外專家支持機制保證技術運維支持能力。技術提升,金融機構宜規范技術人員完成開源軟件相關配套文檔的編制工作,加強開源技術研究儲備;并根據開源代碼實際應用情況建立與開源社區必要的反饋和溝通機制,掌握開源技術核心,實現開源技術持續迭代優化。
      4、風險管理:及時識別可能存在的風險點并做相應處置和記錄
      《意見》中九、十、十一、十二涉及到開源的風險管理部分?!熬?、推動金融機構建立健全對開源技術基本功能、性能指標、安全性、社區成熟度、商業支持度、行業認可度等方面的評估體系,對開源技術引入、使用、更新、退出等環節開展定期評估,在提升自身評估能力的同時,可結合實際引入第三方評估服務?!?;“十、支持金融機構對開源技術版權、專利、商標、聲明等進行事前合規審查,通過審查開源許可證遵從性和兼容性、梳理開源技術間依賴性等,避免法律糾紛??筛鶕枰氲谌胶弦帉彶榉??!?;“十一、支持金融機構制定應急處置預案,應對開源技術潛在漏洞、后門及閉源、停服等突發情況。通過規劃備選方案、限制使用場景、儲備核心技術人才等措施降低風險。及時更新應急處置預案,定期開展演練,保證應急處置預案的有效性?!?;“十二、支持金融機構加強開源技術供應鏈管理,保障開源技術產品和服務質量,通過合同或協議條款,明確開源技術提供商義務和責任,并要求開源技術提供商對其提供的開源技術進行技術評估、合規審查等?!?/div>
      金融機構宜建立開源風險管理機制,統一開源信息記錄和風險管控,及時識別可能存在的風險點并做相應處置和記錄。技術路徑風險,金融機構需要在引入前充分評估開源項目及社區成熟度,在引入后定期跟蹤開源社區發展情況,及時發現開源項目無人維護、策略變更等風險。知識產權及合規風險,金融機構需充分了解引入開源項目的許可證情況,結合本企業使用場景和分發情況判斷開源許可證傳染性、合規性及兼容性風險。信息安全風險,安全漏洞問題最為顯著,金融機構宜在引入軟件前應進行安全漏洞掃描并出具安全漏洞檢測報告,在軟件使用過程中應通過掃描工具、外部漏洞通報等方式收集安全漏洞信息并進行評估。供應鏈風險,金融機構需對合作方、外包等第三方所提供軟件中涉及的風險進行評估,要求其提供物料清單等內容,以保障供應鏈安全,同時企業應從合同義務等方面確保第三方軟件供應商遵循企業的開源代碼安全合規要求,確認責任分配機制,防止意外風險發生。
      金融機構落地《意見》中的總體要求、使用過程要求及風險管理要求可參照中國信通院牽頭編制的《開源軟件治理能力評價方法》《開源供應鏈風險評價體系》《開源項目選型參考框架》等標準。(詳情可見附錄)
      來源:中國信通院
      圖3  中國信通院開源治理能力成熟度框架圖
      四、自發開源是產業創新的有效方式
      《意見》中十三、十四、十五涉及到通過自發開源合作實現產業創新?!笆?、鼓勵金融機構積極參與開源生態建設,依法合規分享開源技術應用經驗,共享開源技術研究成果。通過主動開源、貢獻代碼解決行業共性問題,提升開源技術整體應用水平。鼓勵金融機構之間開展開源項目合作,實現優勢互補、互利共贏、共同發展”;“十四、鼓勵金融機構與科技企業、高等院校、科研院所、中介服務等機構加強交流合作,基于市場化原則開展開源技術聯合研發和運營,加強開源技術人才培養,推進開源技術迭代升級,促進開源技術成果轉化”;“十五、支持金融機構加入合法合規的開源社區、開源基金會等開源社會組織,參與開源技術規劃設計、研發決策、社區運營等活動。開源社會組織發揮自律作用,研究出臺自律公約,規范開源技術參與機構行為,保障開源技術貢獻者合法權益。發揮橋梁紐帶作用,建立穩定、高效的交流分享機制,定期開展開源技術交流、產金對接、應用推廣等活動”。
      隨著金融行業自發開源需求的不斷增加,根據自發開源的生命周期可以分為“開源前”、“開源中”與“開源后”三個階段。
      開源前,審核檢查。一是明確開源目標,金融企業內部眾多業務場景具有重要價值,在進行自發開源時,需找出那些不是企業“核心機密”,卻具有實際業務價值和技術發展潛力的軟件。二是明確開源動機,開源項目是為了解決金融行業痛點問題,還是通過開源協作實現軟件迭代與技術更新;同時金融行業應對開源后的社區參與方、利益相關者與商業模式進行規劃。三是事前審核檢查。金融機構宜對即將開源的代碼、文檔等執行業務審核、代碼審核、知識產權審核、安全審核等工作,全面排查系統中存在的安全漏洞、商業機密的泄露、第三方專利權的侵犯等情況。四是梳理配套內容,對將開源的程序代碼與技術文檔進行梳理,形成完整的材料清單,同時確定開源項目的名稱、logo、知識產權所屬等基礎信息。
      開源中,籌備評估。一是開源托管平臺選擇。金融企業可以從平臺知名度、用戶數量、開源目標等維度進行考量;企業如果想要尋求行業協作可選擇具有行業屬性的代碼托管平臺,如果想要尋求廣泛協作、共建開源生態,可選擇影響力更大、通用性的開源代碼托管平臺。二是開源許可證選擇。根據項目的開源動機、開源聲明、充分考慮知識產權保護和開源項目發展定位等問題,選擇合適的開源許可證。三是開源基金會/社區組織運營托管。金融企業在項目開源時可以考慮將項目貢獻/托管給成熟的開源基金會或開源社區組織,依托基金會/社區組織成熟的治理運行模式與產業生態圈,與其他企業機構基于市場化原則開展開源技術聯合研發和運營,促進開源項目快速發展。
      開源后,治理運營。一是形成社區治理規范。社區治理流程規范可包括組織架構的分工與職責、事務決策與投票機制、組織之間的辦公交流方式、會議舉辦形式和新成員選拔與退出機制等。二是完善社區運營機制。選擇合適的社區治理模式有利于促進貢獻者的協作,包括建立參與者溝通渠道,創建輔導與激勵機制等。同時通過多種社區運營工作持續吸納開發者,與科技企業、高等院校、科研院所、中介服務等機構加強交流合作,提高社區活躍度,加快項目迭代速度和技術更新速度。三是持續保障項目安全合規。開源項目維護者需要對開源社區進行持續監測,涉及開源項目版本更新規范,定期對開源項目進行安全合規檢查,對開源漏洞進行持續監測和感知并進行及時修復。
      來源:中國信通院
      圖4  自發開源體系框架圖
      金融機構探索對外開源可參考中國信通院牽頭編制的《開源軟件治理能力評價方法》《可信開源社區評估體系》等標準,同時依托金融行業開源技術應用社區(FINOC)與可信開源社區共同體(TWOS)進行協作,幫助金融機構運營有開源需求的項目,推動產業上下游形成廣泛合作,支撐我國金融開源技術發展。(詳情可見附錄)
     
      來源:中國信通院
      圖5  金融行業開源技術應用社區成員情況
     
      來源:中國信通院
      圖6  可信開源共同體成員情況
      五、多方協作是金融開源生態發展的重要保障
      1、開源產業各方積極推動開源生態構建
      《意見》中十六、十七、十八涉及開源供應商、監管機構、第三方服務機構的建議舉措?!笆?、鼓勵開源技術提供商加快提升技術創新能力,切實掌握開源技術核心代碼,形成自主知識產權,夯實產業支撐能力。在提供基于開源技術的商業軟件或服務時,遵循開源許可協議和相關法律法規要求,明確開源技術的使用范圍和使用的權利與義務,保障用戶合法權益。探索自主開源生態,重點在操作系統、數據庫、中間件等基礎軟件領域和云計算、大數據、人工智能、區塊鏈等新興技術領域加快生態建設,利用開源模式加速推動信息技術創新發展?!?;“十七、人民銀行、中央網信辦、工業和信息化部、銀保監會、證監會等部門加強統籌協調,建立跨部門協作配合、信息共享機制,定期召開跨部門協調會議,完善金融機構開源技術應用指導政策,推動金融機構合理規范使用開源技術?!?;“十八、探索建立開源技術公共服務平臺,為金融機構識別開源技術風險、動態管理開源軟件、持續跟蹤開源前沿技術、共享開源發展動態信息、參與開源社區運營等提供專業化、定制化服務。推動金融機構開展開源技術成熟度評估,進行開源許可安全合規審查,建立開源技術選型評估模型,提升開源技術應用質量與效率?!?/div>
      產業各方需積極推動開源發展舉措。開源供應商,從規范掌握核心代碼,到重點領域開源創新?;陂_源的供應企業需掌握自身開源軟件應用情況,建立開源軟件管理體系,合規使用開源軟件。同時深度掌握開源技術,具有二次開發優化能力。在重點領域探索自發開源。監管機構,五部委協調配合,完善指導政策。第三方服務機構,建立開源治理公共服務。包括公共平臺建設,涉及開源風險檢測平臺、開源生態監測平臺、開源軟件管理平臺;開源服務支持,涉及開源技術資訊、開源安全信息、開源維護支持等;開源評估,針對開源項目成熟度、企業開源應用治理能力、項目合規性定期開展評估。
      中國信通院開源公共服務:
      開源風險檢測平臺:開源風險檢測平臺根據中國信通院前期已經編制完成的《開源許可證使用指南》,結合已有工具廠商的內置規則,可實現對主流開源許可證進行分類和風險分析,對識別出的開源漏洞給出修復建議,幫助用戶梳理并降低開源風險。
      開源生態監測平臺:開源生態監測平臺通過定期抓開源代碼托管平臺上開源項目中的活躍度、提交問題數、支持度等信息對開源項目進行打分和展示,為用戶開源項目選型提供依據。
      開源評估:針對開源項目、開源社區、開源供應鏈、開源工具、企業開源能力、開源風險等方面進行評估。
      2、完善標準體系與法律保障
      “十九、加強開源技術及應用標準化建設,瞄準急需、重點領域加快標準制定與實施。加快推進開源技術應用和標準研究制定一體化。加強開源技術標準建設與信息化規劃的銜接配套,推動金融業開源技術及應用高質量發展?!?;“二十、鼓勵金融機構加強知識產權保護研究與宣傳,提升知識產權保護意識,制定軟件版權、專利、商標等開源技術知識產權保護策略和制度。依法合規使用開源技術,同時保障自身在使用開源技術、參與開源生態貢獻中的合法權益?!?/div>
      第三方應針對開源技術、開源治理加速標準化建設,同時推動標準應用。金融機構應提高開源知識產權的認知水平,合規合法參與開源生態建設。
      中國信通院牽頭開源標準體系:
      來源:中國信通院
      圖7  可信開源標準體系
      六、小結
      《意見》的發布,為我國金融業開源生態發展,尤其是建立健全開源技術應用管理體系提供了依據。金融機構應以《意見》為指引,在使用開源技術時應遵循“安全可控、合規使用、問題導向、開放創新”這四大基本原則,加強開源治理與協同創新,打造合作共贏的開源生態,最終推動金融機構科技創新和數字化轉型。中國信通院推出金融機構開源賦能計劃,通過構建開源培訓、診斷、咨詢、評估、訂閱全生命周期賦能服務,推動我國金融行業從開源使用者到引領者轉變,詳情請查看中國信通院開源賦能計劃附錄。
     
     
      作者簡介
      栗蔚,中國信通院云計算與大數據研究所副所長、中國通信標準化協會TC1WG5云計算組組長、TC608云計算標準和開源推進委員會常務副主席、云計算開源產業聯盟秘書長,負責云計算、開源、企業IT數字化轉型等研究。
      郭雪,中國信通院云計算與大數據研究所云計算部副主任,主要從事云安全、開源相關研究,目前擔任中國通信標準化協會TC608包括保險云、云安全、風險管理、開源治理等工作組組長。
      俊哲,中國信通院云計算與大數據研究所開源領域研究員,主要負責開源知識產權、企業級開源治理、開源項目與開源社區構建、開源公共基礎設施平臺等方面的研究工作
     
    本網站轉載的所有的文章、圖片、音頻視頻文件等資料的版權歸版權所有人所有。如因無法聯系到作者侵犯到您的權益,請與本網站聯系,我們將采取適當措施。
     
    關注微信公眾號:

    官方賬號直達 | 關于我們 | 聯系我們 | 廣告刊例 | 訂閱服務 | 版權聲明

    地址(Address):北京市西城區廣內大街315號信息大廈B座8-13層(8-13 Floor, IT Center B Block, No.315 GuangNei Street, Xicheng District, Beijing, China)

    郵編:100053 傳真:010-63691514 Post Code:100053 Fax:010-63691514

    Copyright 中國戰略新興產業網 京ICP備09051002號-3 技術支持:wicep

    久久久一本精品99久久精品66
    <cite id="11161"></cite>

  • <bdo id="11161"></bdo>