金融機(jī)構(gòu)開(kāi)源治理白皮書(shū)-2019VIP

版權(quán)聲明本白皮書(shū)版權(quán)屬于中國(guó)信息通信研究院，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本白皮書(shū)文字或者觀(guān)點(diǎn)的，應(yīng)注明來(lái)源。違反上述聲明者，本院將追究其相關(guān)法律責(zé)任。編寫(xiě)說(shuō)明份有限公司、編寫(xiě)人：栗蔚、郭雪、武倩聿、萬(wàn)化、楊欣捷、彭穎、葉馥郁、賴(lài)強(qiáng)、李玉省、陳建鋒、鄧瓊、張文若、鄭位威、裴玉平、蘇福江、倪焰目錄一、 開(kāi)源技術(shù)迅猛發(fā)展推動(dòng)企業(yè)引入開(kāi)源 11、開(kāi)源已在多個(gè)重要領(lǐng)域成為主流 12、企業(yè)用戶(hù)引入開(kāi)源技術(shù)不可避免 2二、 金融行業(yè)采用開(kāi)源技術(shù)已成趨勢(shì) 61、開(kāi)源技術(shù)是構(gòu)建信息系統(tǒng)的重要選擇 62、選擇開(kāi)源技術(shù)對(duì)金融機(jī)構(gòu)意義重大 8三、 引入開(kāi)源的風(fēng)險(xiǎn)日益凸顯不容忽視 111、缺乏技術(shù)能力是企業(yè)用戶(hù)的重要痛點(diǎn) 112、是否引入開(kāi)源軟件難以完全準(zhǔn)確統(tǒng)計(jì) 123、開(kāi)源軟件隱含的安全風(fēng)險(xiǎn)較為顯著 134、使用過(guò)程中是否遵守開(kāi)源約定未知 145、開(kāi)源軟件上游供應(yīng)鏈存在不確定性 146、開(kāi)源軟件的知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)易被忽略 15四、 金融行業(yè)開(kāi)源治理建議 161、推廣產(chǎn)業(yè)開(kāi)源科普，樹(shù)立開(kāi)源風(fēng)險(xiǎn)意識(shí) 162、建立金融開(kāi)源社區(qū)，增進(jìn)同業(yè)交流溝通 173、梳理開(kāi)源治理規(guī)范，推動(dòng)相關(guān)標(biāo)準(zhǔn)制定 184、建設(shè)開(kāi)源治理體系，規(guī)范開(kāi)源軟件引入 19附錄金融機(jī)構(gòu)開(kāi)源治理實(shí)踐案例 23中國(guó)農(nóng)業(yè)銀行 23上海浦東發(fā)展銀行 26中信銀行開(kāi)源 30中國(guó)太平洋保險(xiǎn)（集團(tuán)） 32前 言PAGEPAGE13金融行業(yè)開(kāi)源治理白皮書(shū)一、開(kāi)源技術(shù)迅猛發(fā)展推動(dòng)企業(yè)引入開(kāi)源的迅猛發(fā)展也推動(dòng)企業(yè)從購(gòu)買(mǎi)閉源商業(yè)軟件轉(zhuǎn)向關(guān)注和使用開(kāi)了一種不可阻擋的趨勢(shì)。1、開(kāi)源已在多個(gè)重要領(lǐng)域成為主流者通過(guò)電子郵件或私有的版本控制系統(tǒng)（如Subversion或BitKeeper）2008GitHub改變了這一情提供使用Git的出現(xiàn)改變了開(kāi)源軟件的協(xié)21B、甲骨文、EMC為核心的軟硬件產(chǎn)品是金融行業(yè)用戶(hù)的主要選擇。90Linux（對(duì)應(yīng)微軟的Windows操作系統(tǒng)、OpenOffice（對(duì)應(yīng)微軟的Ofie、FsEB（BMESBrceSB）ITICT等諸多重要領(lǐng)域成為主流技術(shù)形態(tài)，如：移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的Android，云計(jì)算領(lǐng)域的OpenStackKubernetes(k8s)，大數(shù)據(jù)Tensorflow2、企業(yè)用戶(hù)引入開(kāi)源技術(shù)不可避免20189GitHub上已經(jīng)有9600多萬(wàn)個(gè)庫(kù)，相比去年也增長(zhǎng)了40以上。引入了開(kāi)源相關(guān)的技術(shù)，具體有以下三種引入形式：所購(gòu)買(mǎi)或使用的商業(yè)軟件，隱含開(kāi)源組件或代碼及的開(kāi)源風(fēng)險(xiǎn)一無(wú)所知。購(gòu)買(mǎi)基于開(kāi)源軟件的商業(yè)版本很多時(shí)候企業(yè)覺(jué)得自己購(gòu)買(mǎi)了商業(yè)軟件，然而實(shí)際上卻往往是開(kāi)源的商業(yè)版或者是發(fā)行版。目前已知的Linux發(fā)行版就有300redhat、SUSe、UbuntuOpenStack超過(guò)150OpenStack基金會(huì)發(fā)起的第11次全球OpenStack易捷行云）2018OpenStackApacheIntelDKhadoop是依商業(yè)許可重新發(fā)行。件，MySQL產(chǎn)品采取了開(kāi)源許可與私有許可的雙重許可模式。MySQL公司對(duì)產(chǎn)品代碼擁有完整的著作權(quán)(copyright)。在開(kāi)源MySQLMySQLMySQL、BSD名的例子就是蘋(píng)果公司的MacOSXBSDOpenStackApache直接使用社區(qū)版開(kāi)源軟件LinuxMySQL、MongoDBOpenStackKubernetes(k8s大數(shù)倍，使用者只能被動(dòng)選擇開(kāi)源；GitHub源的問(wèn)題。時(shí)候企業(yè)經(jīng)常會(huì)直接使用開(kāi)源軟件的社區(qū)版，或者直接使用GitHub/開(kāi)源的使用是無(wú)處不在且不可逆轉(zhuǎn)的。二、 金融行業(yè)采用開(kāi)源技術(shù)已成趨勢(shì)1、開(kāi)源技術(shù)是構(gòu)建信息系統(tǒng)的重要選擇金融行業(yè)相比于新興的互聯(lián)網(wǎng)等行業(yè)面臨更嚴(yán)格的監(jiān)管要本企業(yè)在信息系統(tǒng)構(gòu)建方面的需求。IT點(diǎn)：已經(jīng)穩(wěn)居全球第一,并逐漸向世界各國(guó)拓展。面對(duì)金融用戶(hù)需求和使用習(xí)慣的變化，傳統(tǒng)金融機(jī)構(gòu)已經(jīng)無(wú)法完全滿(mǎn)足用戶(hù)需求，第二，加速海量數(shù)據(jù)處理，推動(dòng)金融機(jī)構(gòu)轉(zhuǎn)型。在大規(guī)模、IT進(jìn)一步促進(jìn)金融行業(yè)轉(zhuǎn)型與發(fā)展。AIX、HPUnixEMC、HPTuxedoInformixDB2SQLServer……而目前Linux操作系統(tǒng)，Hadoop(HDFSMongoDBKafka、RabbitMQ中，從管理角度可以將開(kāi)源軟件分為兩大類(lèi)：（如運(yùn)維中心理，包括：編制相關(guān)應(yīng)用部署規(guī)范、上線(xiàn)后的運(yùn)行和維護(hù)等。理，負(fù)責(zé)軟件的運(yùn)行維護(hù)工作。2、選擇開(kāi)源技術(shù)對(duì)金融機(jī)構(gòu)意義重大開(kāi)源技術(shù)助力金融機(jī)構(gòu)提高科技實(shí)力金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，金融業(yè)務(wù)高度依賴(lài)金融網(wǎng)絡(luò)和信息系統(tǒng)《軟件和信息技術(shù)服務(wù)業(yè)“十二五”構(gòu)的技術(shù)水平和科技實(shí)力。開(kāi)源技術(shù)是金融機(jī)構(gòu)保障信息安全的重要選擇金融作為涉及關(guān)乎國(guó)民經(jīng)濟(jì)的關(guān)鍵行業(yè)，面臨與其他行業(yè)相5年的100項(xiàng)目中排在第六位。管理指引（試行》等。業(yè)軟件，助力金融機(jī)構(gòu)有效保障數(shù)據(jù)安全。開(kāi)源技術(shù)推動(dòng)金融機(jī)構(gòu)科技創(chuàng)新和業(yè)務(wù)創(chuàng)新伸到金融客戶(hù)需求的方方面面。的先進(jìn)性，助力金融機(jī)構(gòu)科技創(chuàng)新。先進(jìn)技術(shù)實(shí)現(xiàn)科技創(chuàng)新，進(jìn)而推動(dòng)業(yè)務(wù)健康快速發(fā)展。三、 引入開(kāi)源的風(fēng)險(xiǎn)日益凸顯不容忽視作為開(kāi)源用戶(hù)可能涉及四類(lèi)風(fēng)險(xiǎn)：運(yùn)維和技術(shù)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、安全和數(shù)據(jù)風(fēng)險(xiǎn)、合規(guī)和知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。圖1使用開(kāi)源軟件可能涉及的四類(lèi)風(fēng)險(xiǎn)1、 缺乏技術(shù)能力是企業(yè)用戶(hù)的重要痛點(diǎn)2、 是否引入開(kāi)源軟件難以完全準(zhǔn)確統(tǒng)計(jì)如果金融用戶(hù)沒(méi)有特殊要求，商業(yè)軟件供應(yīng)商一般不會(huì)說(shuō)明其產(chǎn)品中是否涉及開(kāi)源代碼，甚至對(duì)用戶(hù)號(hào)稱(chēng)完全自主研發(fā)，用戶(hù)很可能被動(dòng)引入開(kāi)源軟件。例如，2018Chrome事件之前，該瀏覽器在宣傳或說(shuō)明中未標(biāo)注其使用了開(kāi)源軟件Chrome。從開(kāi)源合規(guī)的角度來(lái)看，該公司在自主研發(fā)中存在失信問(wèn)題，同時(shí)也違背了開(kāi)源許可證的署名要求。從另一個(gè)角度來(lái)看，除了開(kāi)源軟件和組件，代碼層級(jí)的開(kāi)源使用問(wèn)題也十分突出。在軟件開(kāi)發(fā)過(guò)程中，如果企業(yè)并未對(duì)源代碼進(jìn)行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開(kāi)發(fā)者是否在開(kāi)發(fā)軟件的過(guò)程中使用了開(kāi)源代碼片段。同時(shí)，對(duì)金融機(jī)構(gòu)而言，存量軟件及代碼的規(guī)模相對(duì)更加龐大，對(duì)其進(jìn)行代碼合規(guī)性檢查的工作量更加巨大。因此，金融機(jī)構(gòu)想要完全準(zhǔn)確統(tǒng)計(jì)企業(yè)內(nèi)引入開(kāi)源軟件的數(shù)目及真實(shí)情況在操作層面存在一定困難。3、開(kāi)源軟件隱含的安全風(fēng)險(xiǎn)較為顯著由于開(kāi)源軟件具有多人協(xié)作完成、開(kāi)源許可證存在免責(zé)條款SNYK20192018NPM47％。以數(shù)據(jù)庫(kù)領(lǐng)域?yàn)槔?，?jù)安華金和最新發(fā)布《201920194CVE被確認(rèn)的國(guó)際主流數(shù)據(jù)庫(kù)漏洞共計(jì)81個(gè)，其中Oracle 9個(gè)、MySQL65Oracle91高危漏洞；MySQL65262以重視。1https://www./company-information/158591.html4、 使用過(guò)程中是否遵守開(kāi)源約定未知每一個(gè)開(kāi)源軟件都需要包含開(kāi)源許可證去規(guī)定開(kāi)源軟件的使用范圍和權(quán)利義務(wù)，金融用戶(hù)在明確商業(yè)軟件包含開(kāi)源軟件的前提下，很多情況并不能明確得知該軟件是否遵守開(kāi)源許可證的要求。開(kāi)源許可證的基本要求包括：使用開(kāi)源軟件需要署名開(kāi)源軟件的作者或版權(quán)持有人的姓名或名稱(chēng)，需要明確使用哪一個(gè)開(kāi)源許可證，并保留許可證全文或相關(guān)鏈接等等。GPLGPL3D打印領(lǐng)域，MarlinGPLMarlinMarlin,在違反開(kāi)源許可證規(guī)定的同時(shí)也可能面臨法律制裁。5、 開(kāi)源軟件上游供應(yīng)鏈存在不確定性20188LabsAGPLApachev2.0CommonsClause（共用條款MongoDBAGPLv3改為一種新的服務(wù)器端公共許可證（SSL，力求堵住基于云的KSQLConfluentSaaS至可能影響已有開(kāi)源軟件的后續(xù)使用。/2018Oracle20191布的OracleJavaSE8公開(kāi)更新將不向沒(méi)有商用許可證的業(yè)OracleJavaSE8OpenJDK發(fā)行版。的知識(shí)產(chǎn)權(quán)歸屬及開(kāi)源軟件未來(lái)是否受到限制使用等問(wèn)題仍需引起足夠重視。6、開(kāi)源軟件的知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)易被忽略開(kāi)源軟件一般通過(guò)開(kāi)源許可證約定其涉及的知識(shí)產(chǎn)權(quán)所屬，Aahe20和GPL3.0BSDMIT2.0Apache2.0GPL3.0AGPL3.0用戶(hù)使用相關(guān)軟件就可能存在潛在的風(fēng)險(xiǎn)。證的使用方式，進(jìn)而可能會(huì)埋下相應(yīng)的風(fēng)險(xiǎn)隱患。四、金融行業(yè)開(kāi)源治理建議構(gòu)滿(mǎn)足合規(guī)要求的同時(shí)以開(kāi)源新技術(shù)的應(yīng)用促進(jìn)金融機(jī)構(gòu)向數(shù)字化、智能化方向轉(zhuǎn)型。1、推廣產(chǎn)業(yè)開(kāi)源科普，樹(shù)立開(kāi)源風(fēng)險(xiǎn)意識(shí)從國(guó)家層面來(lái)看，開(kāi)源知識(shí)的科普和開(kāi)源風(fēng)險(xiǎn)意識(shí)的樹(shù)立至關(guān)重要。我國(guó)應(yīng)培育開(kāi)源發(fā)展的政策環(huán)境，完善開(kāi)源相關(guān)法律保護(hù)機(jī)制，加強(qiáng)開(kāi)源軟件的社會(huì)認(rèn)知度和開(kāi)源相關(guān)專(zhuān)業(yè)人才的培養(yǎng)，鼓勵(lì)和推動(dòng)開(kāi)源社區(qū)發(fā)展，支持開(kāi)源社區(qū)進(jìn)行培訓(xùn)和研討活動(dòng)，整體上從國(guó)家或行業(yè)層面提高對(duì)開(kāi)源的重視程度。產(chǎn)業(yè)界可以通過(guò)開(kāi)源白皮書(shū)和書(shū)籍的形式向相關(guān)企業(yè)和人員灌輸正確的開(kāi)源理念，針對(duì)開(kāi)源的概念、開(kāi)源許可證的要求進(jìn)行解讀，組織相關(guān)開(kāi)源及知識(shí)產(chǎn)權(quán)專(zhuān)家進(jìn)行演講與培訓(xùn)，提醒企業(yè)引入開(kāi)源可能面臨的風(fēng)險(xiǎn)，樹(shù)立金融機(jī)構(gòu)作為開(kāi)源用戶(hù)的風(fēng)險(xiǎn)意識(shí)。金融管理機(jī)構(gòu)可以通過(guò)調(diào)查問(wèn)卷的形式，對(duì)開(kāi)源軟件在金括：一、心業(yè)務(wù)系統(tǒng)應(yīng)用占比等；二、三、況，分析現(xiàn)狀及問(wèn)題，后續(xù)形成調(diào)研報(bào)告供相關(guān)各方參考。2、 建立金融開(kāi)源社區(qū)，增進(jìn)同業(yè)交流溝通融機(jī)構(gòu)對(duì)開(kāi)源的參與度。國(guó)際方面已有針對(duì)金融領(lǐng)域的開(kāi)源基金會(huì)，F(xiàn)INOS20163070余個(gè)項(xiàng)300（會(huì)員均10余家金融機(jī)構(gòu)及華3、 梳理開(kāi)源治理規(guī)范，推動(dòng)相關(guān)標(biāo)準(zhǔn)制定針對(duì)國(guó)內(nèi)開(kāi)源產(chǎn)業(yè)相對(duì)缺少監(jiān)管和規(guī)范的現(xiàn)狀，第三方機(jī)構(gòu)可以通過(guò)標(biāo)準(zhǔn)化的手段梳理用戶(hù)側(cè)使用開(kāi)源應(yīng)遵守的規(guī)范，中國(guó)信通院已經(jīng)聯(lián)合30余家金融機(jī)構(gòu)和科技公司共同制定了2融機(jī)構(gòu)建立自上而下的開(kāi)源治理體系。通過(guò)相關(guān)標(biāo)準(zhǔn)的制定和評(píng)估的落地，促進(jìn)金融機(jī)構(gòu)規(guī)范開(kāi)源軟件管理，事先規(guī)避開(kāi)源相關(guān)風(fēng)險(xiǎn)。進(jìn)一步通過(guò)評(píng)估與行業(yè)內(nèi)部交流，聚集最佳開(kāi)源治理實(shí)踐，推動(dòng)業(yè)內(nèi)形成共識(shí)，促進(jìn)金融行業(yè)開(kāi)源軟件使用的規(guī)范化和全行業(yè)整體開(kāi)源治理能力的提升。4、建設(shè)開(kāi)源治理體系，規(guī)范開(kāi)源軟件引入軟件管理平臺(tái)，從公司層面對(duì)開(kāi)源軟件的引入和輸出進(jìn)行管社區(qū)反饋和退出機(jī)制總共九個(gè)方面的內(nèi)容。組織架構(gòu)全生命周期中涉及的各類(lèi)角色的職責(zé)進(jìn)行明確，具體包括管理、開(kāi)發(fā)、運(yùn)維、安全、法務(wù)等。管理制度制定企業(yè)內(nèi)部相關(guān)的規(guī)章制度，對(duì)開(kāi)源軟件的合規(guī)使用進(jìn)行管控，至少包括：開(kāi)源軟件引入制度、開(kāi)源軟件使用制度、開(kāi)源軟件漏洞檢測(cè)制度、開(kāi)源軟件版本更新制度及開(kāi)源軟件退出制度等。軟件選型企業(yè)在引入開(kāi)源軟件時(shí)，可以從產(chǎn)品活力度、行業(yè)認(rèn)可夠引入進(jìn)行綜合評(píng)估。使用規(guī)范開(kāi)源技術(shù)在使用過(guò)程中存在風(fēng)險(xiǎn)，因此企業(yè)在使用開(kāi)源技術(shù)時(shí)應(yīng)依照規(guī)范根據(jù)引入需求確認(rèn)測(cè)試范圍，對(duì)開(kāi)源軟件的相關(guān)功能進(jìn)行必要的測(cè)試。針對(duì)基礎(chǔ)類(lèi)軟件應(yīng)由負(fù)責(zé)部門(mén)編制軟件使用說(shuō)明文檔，針對(duì)系統(tǒng)級(jí)別的開(kāi)源軟件應(yīng)制定相應(yīng)的應(yīng)急預(yù)案，對(duì)于核心業(yè)務(wù)應(yīng)保證至少有一個(gè)成熟的方案做備份。風(fēng)險(xiǎn)管理企業(yè)在引入開(kāi)源軟件時(shí)應(yīng)遵循統(tǒng)一的引入流程，并對(duì)建立開(kāi)源軟件統(tǒng)一管理機(jī)制，對(duì)企業(yè)所使用的開(kāi)源軟件信息進(jìn)行記錄（包括軟件名稱(chēng)、作者、出處、版本號(hào)、許可證、正在使用的部門(mén)等進(jìn)行評(píng)估并應(yīng)設(shè)置專(zhuān)業(yè)人員（如法律人員、安全人員等）進(jìn)行風(fēng)險(xiǎn)處置指導(dǎo)，及時(shí)識(shí)別可能存在的風(fēng)險(xiǎn)點(diǎn)并建立與使用、運(yùn)維、安全、法律等相關(guān)人員的溝通機(jī)制，確保在面臨風(fēng)險(xiǎn)時(shí)能夠及時(shí)妥善解決。二次開(kāi)發(fā)開(kāi)發(fā)方案，進(jìn)一步按照企業(yè)和社區(qū)規(guī)范進(jìn)行編碼、測(cè)試和發(fā)布。特別是對(duì)于涉及對(duì)外分發(fā)的應(yīng)用場(chǎng)景（APP）開(kāi)源軟件/組件，需要按照開(kāi)源許可證的相關(guān)規(guī)定保留原版權(quán)信息并添加開(kāi)發(fā)者的版權(quán)信息，如相關(guān)代碼需要貢獻(xiàn)給社區(qū)，在進(jìn)行編碼時(shí)應(yīng)遵循開(kāi)源社區(qū)的編碼規(guī)范和要求。持續(xù)跟蹤項(xiàng)情況，維護(hù)開(kāi)源軟件企業(yè)中的健康合規(guī)運(yùn)行，包括社區(qū)情在的風(fēng)險(xiǎn)。社區(qū)反饋（如涉及公司核心技術(shù)等權(quán)問(wèn)題等。退出機(jī)制作為軟件生命周期管理的一部分，開(kāi)源軟件除了需要重視引入之外，還應(yīng)重視起退出機(jī)制。企業(yè)應(yīng)制定開(kāi)源軟件退出制度及退出規(guī)劃，對(duì)停止使用的軟件進(jìn)行統(tǒng)一記錄和管理。在面臨產(chǎn)品替代、法律安全問(wèn)題等情況時(shí)，應(yīng)由開(kāi)源管理小組統(tǒng)一對(duì)軟件的退出流程進(jìn)行規(guī)劃，并按照規(guī)劃進(jìn)行遷移、替換、退出等操作。除此之外，企業(yè)還可以通過(guò)建設(shè)內(nèi)部開(kāi)源治理支撐平臺(tái)，保障開(kāi)源治理工作的高效運(yùn)行。通過(guò)平臺(tái)化的手段實(shí)現(xiàn)金融機(jī)構(gòu)內(nèi)部開(kāi)源軟件的引入評(píng)估、使用評(píng)估、安全漏洞評(píng)估等工作的流程化和自動(dòng)化，做到開(kāi)源軟件全生命周期的跟蹤和記錄。附錄金融機(jī)構(gòu)開(kāi)源治理實(shí)踐案例中國(guó)農(nóng)業(yè)銀行(一)開(kāi)源軟件管理背景(二)開(kāi)源軟件管理體系農(nóng)業(yè)銀行開(kāi)源軟件管理和應(yīng)用是在監(jiān)管部門(mén)相關(guān)政策的指引下，通過(guò)分析銀行IT架TOSIM標(biāo)準(zhǔn)和管理平臺(tái)及工具。TOSIM開(kāi)源軟件一體化管理框架化管理框架TOSIM，將開(kāi)源軟件管理融入到現(xiàn)有軟件管理體系之IT“五位一體TOSIM開(kāi)源軟件一體化管理框架有著如下的顯著特點(diǎn)：一是強(qiáng)調(diào)建立全面的管理體系。TOSIM可操作性、可落地性。三是強(qiáng)調(diào)建立分級(jí)分類(lèi)的管理體系。TOSIM管理框架踐行“”管理要求，避免“一刀切”等現(xiàn)象出現(xiàn)。管理平臺(tái)與工具TOSIM效率。(三)開(kāi)源軟件管理實(shí)效SpringMPP數(shù)據(jù)庫(kù)和Hadoop6.8PB以上的結(jié)構(gòu)化數(shù)4.8PB“采購(gòu)定制PaaS開(kāi)源軟件一體化管理體系在農(nóng)行的實(shí)踐表明了其科學(xué)性和源軟件的管理提供了一個(gè)可參考的案例。上海浦東發(fā)展銀行(一)概述件提供技術(shù)和制度上的保證。(二)開(kāi)源治理體系建設(shè)軟件的使用風(fēng)險(xiǎn)。主要包含以下五部分內(nèi)容：開(kāi)源治理的配套組織架構(gòu)。開(kāi)源治理的配套流程制度源代碼修改流程。開(kāi)源軟件評(píng)估評(píng)價(jià)方法供了科學(xué)的開(kāi)源軟件多維度評(píng)價(jià)視角，浦發(fā)銀行依據(jù)E-OSMM(EnterpriseOpenSourceMaturityModel)模型以及華開(kāi)源軟件治理支撐平臺(tái)451151且介質(zhì)維護(hù)入庫(kù)。通過(guò)自主研發(fā)的開(kāi)源治理平臺(tái)，把開(kāi)源軟件治理體系系統(tǒng)理平臺(tái)中的軟件倉(cāng)庫(kù)在技術(shù)上實(shí)現(xiàn)了開(kāi)源軟件實(shí)體介質(zhì)來(lái)源可控可溯，直接服務(wù)于開(kāi)發(fā)項(xiàng)目工程構(gòu)件，提高開(kāi)發(fā)效率。金融行業(yè)開(kāi)源技術(shù)應(yīng)用社區(qū)。一個(gè)非盈利性的組織，服務(wù)商發(fā)起成立金融行業(yè)開(kāi)源技術(shù)應(yīng)用社區(qū)，主動(dòng)分享治理(三)開(kāi)源治理效能1、有效防范了開(kāi)源軟件的使用風(fēng)險(xiǎn)介質(zhì)來(lái)源風(fēng)險(xiǎn)浦發(fā)銀行開(kāi)源治理平臺(tái)中包含的開(kāi)源軟件倉(cāng)庫(kù)是浦發(fā)內(nèi)部植入后門(mén)或木馬。技術(shù)應(yīng)用風(fēng)險(xiǎn)開(kāi)源治理體系科學(xué)評(píng)估了引入開(kāi)源軟件的版本和生命周期，安全漏洞風(fēng)險(xiǎn)開(kāi)源治理體系提供了全周期