金融機構開源治理白皮書-2019

版權聲明本白皮書版權屬于中國信息通信研究院，并受法律保護。轉載、摘編或利用其它方式使用本白皮書文字或者觀點的，應注明來源。違反上述聲明者，本院將追究其相關法律責任。編寫說明份有限公司、編寫人：栗蔚、郭雪、武倩聿、萬化、楊欣捷、彭穎、葉馥郁、賴強、李玉省、陳建鋒、鄧瓊、張文若、鄭位威、裴玉平、蘇福江、倪焰目錄一、 開源技術迅猛發(fā)展推動企業(yè)引入開源 11、開源已在多個重要領域成為主流 12、企業(yè)用戶引入開源技術不可避免 2二、 金融行業(yè)采用開源技術已成趨勢 61、開源技術是構建信息系統(tǒng)的重要選擇 62、選擇開源技術對金融機構意義重大 8三、 引入開源的風險日益凸顯不容忽視 111、缺乏技術能力是企業(yè)用戶的重要痛點 112、是否引入開源軟件難以完全準確統(tǒng)計 123、開源軟件隱含的安全風險較為顯著 134、使用過程中是否遵守開源約定未知 145、開源軟件上游供應鏈存在不確定性 146、開源軟件的知識產權風險易被忽略 15四、 金融行業(yè)開源治理建議 161、推廣產業(yè)開源科普，樹立開源風險意識 162、建立金融開源社區(qū)，增進同業(yè)交流溝通 173、梳理開源治理規(guī)范，推動相關標準制定 184、建設開源治理體系，規(guī)范開源軟件引入 19附錄金融機構開源治理實踐案例 23中國農業(yè)銀行 23上海浦東發(fā)展銀行 26中信銀行開源 30中國太平洋保險（集團） 32前 言PAGEPAGE13金融行業(yè)開源治理白皮書一、開源技術迅猛發(fā)展推動企業(yè)引入開源的迅猛發(fā)展也推動企業(yè)從購買閉源商業(yè)軟件轉向關注和使用開了一種不可阻擋的趨勢。1、開源已在多個重要領域成為主流者通過電子郵件或私有的版本控制系統(tǒng)（如Subversion或BitKeeper）2008GitHub改變了這一情提供使用Git的出現(xiàn)改變了開源軟件的協(xié)21B、甲骨文、EMC為核心的軟硬件產品是金融行業(yè)用戶的主要選擇。90Linux（對應微軟的Windows操作系統(tǒng)、OpenOffice（對應微軟的Ofie、FsEB（BMESBrceSB）ITICT等諸多重要領域成為主流技術形態(tài)，如：移動互聯(lián)網領域的Android，云計算領域的OpenStackKubernetes(k8s)，大數(shù)據(jù)Tensorflow2、企業(yè)用戶引入開源技術不可避免20189GitHub上已經有9600多萬個庫，相比去年也增長了40以上。引入了開源相關的技術，具體有以下三種引入形式：所購買或使用的商業(yè)軟件，隱含開源組件或代碼及的開源風險一無所知。購買基于開源軟件的商業(yè)版本很多時候企業(yè)覺得自己購買了商業(yè)軟件，然而實際上卻往往是開源的商業(yè)版或者是發(fā)行版。目前已知的Linux發(fā)行版就有300redhat、SUSe、UbuntuOpenStack超過150OpenStack基金會發(fā)起的第11次全球OpenStack易捷行云）2018OpenStackApacheIntelDKhadoop是依商業(yè)許可重新發(fā)行。件，MySQL產品采取了開源許可與私有許可的雙重許可模式。MySQL公司對產品代碼擁有完整的著作權(copyright)。在開源MySQLMySQLMySQL、BSD名的例子就是蘋果公司的MacOSXBSDOpenStackApache直接使用社區(qū)版開源軟件LinuxMySQL、MongoDBOpenStackKubernetes(k8s大數(shù)倍，使用者只能被動選擇開源；GitHub源的問題。時候企業(yè)經常會直接使用開源軟件的社區(qū)版，或者直接使用GitHub/開源的使用是無處不在且不可逆轉的。二、 金融行業(yè)采用開源技術已成趨勢1、開源技術是構建信息系統(tǒng)的重要選擇金融行業(yè)相比于新興的互聯(lián)網等行業(yè)面臨更嚴格的監(jiān)管要本企業(yè)在信息系統(tǒng)構建方面的需求。IT點：已經穩(wěn)居全球第一,并逐漸向世界各國拓展。面對金融用戶需求和使用習慣的變化，傳統(tǒng)金融機構已經無法完全滿足用戶需求，第二，加速海量數(shù)據(jù)處理，推動金融機構轉型。在大規(guī)模、IT進一步促進金融行業(yè)轉型與發(fā)展。AIX、HPUnixEMC、HPTuxedoInformixDB2SQLServer……而目前Linux操作系統(tǒng)，Hadoop(HDFSMongoDBKafka、RabbitMQ中，從管理角度可以將開源軟件分為兩大類：（如運維中心理，包括：編制相關應用部署規(guī)范、上線后的運行和維護等。理，負責軟件的運行維護工作。2、選擇開源技術對金融機構意義重大開源技術助力金融機構提高科技實力金融領域的關鍵信息基礎設施是經濟社會運行的神經中樞，金融業(yè)務高度依賴金融網絡和信息系統(tǒng)《軟件和信息技術服務業(yè)“十二五”構的技術水平和科技實力。開源技術是金融機構保障信息安全的重要選擇金融作為涉及關乎國民經濟的關鍵行業(yè)，面臨與其他行業(yè)相5年的100項目中排在第六位。管理指引（試行》等。業(yè)軟件，助力金融機構有效保障數(shù)據(jù)安全。開源技術推動金融機構科技創(chuàng)新和業(yè)務創(chuàng)新伸到金融客戶需求的方方面面。的先進性，助力金融機構科技創(chuàng)新。先進技術實現(xiàn)科技創(chuàng)新，進而推動業(yè)務健康快速發(fā)展。三、 引入開源的風險日益凸顯不容忽視作為開源用戶可能涉及四類風險：運維和技術風險、管理風險、安全和數(shù)據(jù)風險、合規(guī)和知識產權風險。圖1使用開源軟件可能涉及的四類風險1、 缺乏技術能力是企業(yè)用戶的重要痛點2、 是否引入開源軟件難以完全準確統(tǒng)計如果金融用戶沒有特殊要求，商業(yè)軟件供應商一般不會說明其產品中是否涉及開源代碼，甚至對用戶號稱完全自主研發(fā)，用戶很可能被動引入開源軟件。例如，2018Chrome事件之前，該瀏覽器在宣傳或說明中未標注其使用了開源軟件Chrome。從開源合規(guī)的角度來看，該公司在自主研發(fā)中存在失信問題，同時也違背了開源許可證的署名要求。從另一個角度來看，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發(fā)過程中，如果企業(yè)并未對源代碼進行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過程中使用了開源代碼片段。同時，對金融機構而言，存量軟件及代碼的規(guī)模相對更加龐大，對其進行代碼合規(guī)性檢查的工作量更加巨大。因此，金融機構想要完全準確統(tǒng)計企業(yè)內引入開源軟件的數(shù)目及真實情況在操作層面存在一定困難。3、開源軟件隱含的安全風險較為顯著由于開源軟件具有多人協(xié)作完成、開源許可證存在免責條款SNYK20192018NPM47％。以數(shù)據(jù)庫領域為例，據(jù)安華金和最新發(fā)布《201920194CVE被確認的國際主流數(shù)據(jù)庫漏洞共計81個，其中Oracle 9個、MySQL65Oracle91高危漏洞；MySQL65262以重視。1https://www./company-information/158591.html4、 使用過程中是否遵守開源約定未知每一個開源軟件都需要包含開源許可證去規(guī)定開源軟件的使用范圍和權利義務，金融用戶在明確商業(yè)軟件包含開源軟件的前提下，很多情況并不能明確得知該軟件是否遵守開源許可證的要求。開源許可證的基本要求包括：使用開源軟件需要署名開源軟件的作者或版權持有人的姓名或名稱，需要明確使用哪一個開源許可證，并保留許可證全文或相關鏈接等等。GPLGPL3D打印領域，MarlinGPLMarlinMarlin,在違反開源許可證規(guī)定的同時也可能面臨法律制裁。5、 開源軟件上游供應鏈存在不確定性20188LabsAGPLApachev2.0CommonsClause（共用條款MongoDBAGPLv3改為一種新的服務器端公共許可證（SSL，力求堵住基于云的KSQLConfluentSaaS至可能影響已有開源軟件的后續(xù)使用。/2018Oracle20191布的OracleJavaSE8公開更新將不向沒有商用許可證的業(yè)OracleJavaSE8OpenJDK發(fā)行版。的知識產權歸屬及開源軟件未來是否受到限制使用等問題仍需引起足夠重視。6、開源軟件的知識產權風險易被忽略開源軟件一般通過開源許可證約定其涉及的知識產權所屬，Aahe20和GPL3.0BSDMIT2.0Apache2.0GPL3.0AGPL3.0用戶使用相關軟件就可能存在潛在的風險。證的使用方式，進而可能會埋下相應的風險隱患。四、金融行業(yè)開源治理建議構滿足合規(guī)要求的同時以開源新技術的應用促進金融機構向數(shù)字化、智能化方向轉型。1、推廣產業(yè)開源科普，樹立開源風險意識從國家層面來看，開源知識的科普和開源風險意識的樹立至關重要。我國應培育開源發(fā)展的政策環(huán)境，完善開源相關法律保護機制，加強開源軟件的社會認知度和開源相關專業(yè)人才的培養(yǎng)，鼓勵和推動開源社區(qū)發(fā)展，支持開源社區(qū)進行培訓和研討活動，整體上從國家或行業(yè)層面提高對開源的重視程度。產業(yè)界可以通過開源白皮書和書籍的形式向相關企業(yè)和人員灌輸正確的開源理念，針對開源的概念、開源許可證的要求進行解讀，組織相關開源及知識產權專家進行演講與培訓，提醒企業(yè)引入開源可能面臨的風險，樹立金融機構作為開源用戶的風險意識。金融管理機構可以通過調查問卷的形式，對開源軟件在金括：一、心業(yè)務系統(tǒng)應用占比等；二、三、況，分析現(xiàn)狀及問題，后續(xù)形成調研報告供相關各方參考。2、 建立金融開源社區(qū)，增進同業(yè)交流溝通融機構對開源的參與度。國際方面已有針對金融領域的開源基金會，F(xiàn)INOS20163070余個項300（會員均10余家金融機構及華3、 梳理開源治理規(guī)范，推動相關標準制定針對國內開源產業(yè)相對缺少監(jiān)管和規(guī)范的現(xiàn)狀，第三方機構可以通過標準化的手段梳理用戶側使用開源應遵守的規(guī)范，中國信通院已經聯(lián)合30余家金融機構和科技公司共同制定了2融機構建立自上而下的開源治理體系。通過相關標準的制定和評估的落地，促進金融機構規(guī)范開源軟件管理，事先規(guī)避開源相關風險。進一步通過評估與行業(yè)內部交流，聚集最佳開源治理實踐，推動業(yè)內形成共識，促進金融行業(yè)開源軟件使用的規(guī)范化和全行業(yè)整體開源治理能力的提升。4、建設開源治理體系，規(guī)范開源軟件引入軟件管理平臺，從公司層面對開源軟件的引入和輸出進行管社區(qū)反饋和退出機制總共九個方面的內容。組織架構全生命周期中涉及的各類角色的職責進行明確，具體包括管理、開發(fā)、運維、安全、法務等。管理制度制定企業(yè)內部相關的規(guī)章制度，對開源軟件的合規(guī)使用進行管控，至少包括：開源軟件引入制度、開源軟件使用制度、開源軟件漏洞檢測制度、開源軟件版本更新制度及開源軟件退出制度等。軟件選型企業(yè)在引入開源軟件時，可以從產品活力度、行業(yè)認可夠引入進行綜合評估。使用規(guī)范開源技術在使用過程中存在風險，因此企業(yè)在使用開源技術時應依照規(guī)范根據(jù)引入需求確認測試范圍，對開源軟件的相關功能進行必要的測試。針對基礎類軟件應由負責部門編制軟件使用說明文檔，針對系統(tǒng)級別的開源軟件應制定相應的應急預案，對于核心業(yè)務應保證至少有一個成熟的方案做備份。風險管理企業(yè)在引入開源軟件時應遵循統(tǒng)一的引入流程，并對建立開源軟件統(tǒng)一管理機制，對企業(yè)所使用的開源軟件信息進行記錄（包括軟件名稱、作者、出處、版本號、許可證、正在使用的部門等進行評估并應設置專業(yè)人員（如法律人員、安全人員等）進行風險處置指導，及時識別可能存在的風險點并建立與使用、運維、安全、法律等相關人員的溝通機制，確保在面臨風險時能夠及時妥善解決。二次開發(fā)開發(fā)方案，進一步按照企業(yè)和社區(qū)規(guī)范進行編碼、測試和發(fā)布。特別是對于涉及對外分發(fā)的應用場景（APP）開源軟件/組件，需要按照開源許可證的相關規(guī)定保留原版權信息并添加開發(fā)者的版權信息，如相關代碼需要貢獻給社區(qū)，在進行編碼時應遵循開源社區(qū)的編碼規(guī)范和要求。持續(xù)跟蹤項情況，維護開源軟件企業(yè)中的健康合規(guī)運行，包括社區(qū)情在的風險。社區(qū)反饋（如涉及公司核心技術等權問題等。退出機制作為軟件生命周期管理的一部分，開源軟件除了需要重視引入之外，還應重視起退出機制。企業(yè)應制定開源軟件退出制度及退出規(guī)劃，對停止使用的軟件進行統(tǒng)一記錄和管理。在面臨產品替代、法律安全問題等情況時，應由開源管理小組統(tǒng)一對軟件的退出流程進行規(guī)劃，并按照規(guī)劃進行遷移、替換、退出等操作。除此之外，企業(yè)還可以通過建設內部開源治理支撐平臺，保障開源治理工作的高效運行。通過平臺化的手段實現(xiàn)金融機構內部開源軟件的引入評估、使用評估、安全漏洞評估等工作的流程化和自動化，做到開源軟件全生命周期的跟蹤和記錄。附錄金融機構開源治理實踐案例中國農業(yè)銀行(一)開源軟件管理背景(二)開源軟件管理體系農業(yè)銀行開源軟件管理和應用是在監(jiān)管部門相關政策的指引下，通過分析銀行IT架TOSIM標準和管理平臺及工具。TOSIM開源軟件一體化管理框架化管理框架TOSIM，將開源軟件管理融入到現(xiàn)有軟件管理體系之IT“五位一體TOSIM開源軟件一體化管理框架有著如下的顯著特點：一是強調建立全面的管理體系。TOSIM可操作性、可落地性。三是強調建立分級分類的管理體系。TOSIM管理框架踐行“”管理要求，避免“一刀切”等現(xiàn)象出現(xiàn)。管理平臺與工具TOSIM效率。(三)開源軟件管理實效SpringMPP數(shù)據(jù)庫和Hadoop6.8PB以上的結構化數(shù)4.8PB“采購定制PaaS開源軟件一體化管理體系在農行的實踐表明了其科學性和源軟件的管理提供了一個可參考的案例。上海浦東發(fā)展銀行(一)概述件提供技術和制度上的保證。(二)開源治理體系建設軟件的使用風險。主要包含以下五部分內容：開源治理的配套組織架構。開源治理的配套流程制度源代碼修改流程。開源軟件評估評價方法供了科學的開源軟件多維度評價視角，浦發(fā)銀行依據(jù)E-OSMM(EnterpriseOpenSourceMaturityModel)模型以及華開源軟件治理支撐平臺451151且介質維護入庫。通過自主研發(fā)的開源治理平臺，把開源軟件治理體系系統(tǒng)理平臺中的軟件倉庫在技術上實現(xiàn)了開源軟件實體介質來源可控可溯，直接服務于開發(fā)項目工程構件，提高開發(fā)效率。金融行業(yè)開源技術應用社區(qū)。一個非盈利性的組織，服務商發(fā)起成立金融行業(yè)開源技術應用社區(qū)，主動分享治理(三)開源治理效能1、有效防范了開源軟件的使用風險介質來源風險浦發(fā)銀行開源治理平臺中包含的開源軟件倉庫是浦發(fā)內部植入后門或木馬。技術應用風險開源治理體系科學評估了引入開源軟件的版本和生命周期，安全漏洞風險開源治理體系提供了全周期