潘润红:金融机构应用开源软件现状分析及建议
金融科技产业联盟移动支付网2021/2/2 18:28:13

文/中国金融电子化公司副总经理、北京金融科技产业联盟秘书长潘润红

北京金融科技产业联盟胡达川

2020年8月,习近平总书记在经济社会领域专家座谈会上指出:“以科技创新催生新发展动能。实现高质量发展,必须实现依靠创新驱动的内涵型增长。我们更要大力提升自主创新能力,尽快突破关键核心技术。这是关系我国发展全局的重大问题,也是形成以国内大循环为主体的关键。”

金融科技是信息技术驱动的创新,信息技术也从过去的闭源模式向现今的开源模式转变。开源已不仅是源代码开放,现已融入开放、共享、协作,为金融科技创新带来了新动能,也带来了新的挑战。为促进我国金融科技健康可持续发展,引导开源软件在金融领域的合理运用,有效预防开源运用风险,北京金融科技产业联盟首次对全国143家金融机构应用开源软件情况进行调查。分析金融机构应用开源软件现状与趋势,梳理面临的主要问题与风险。

中国金融电子化公司副总经理、北京金融科技产业联盟秘书长潘润红

金融机构应用开源软件现状

开源软件凭借源代码开放、产品方案丰富、初期引入成本低等特点,在金融机构中应用逐渐形成规模。

1.总体应用情况

开源软件类型繁多数量庞大,单家金融机构应用的开源软件可多达上千种。9成被调研金融机构已广泛应用和试用开源软件,其中,5%的机构已将开源软件作为主要软件来源,26%的机构已有一定规模应用。

金融机构选用开源软件的首要原因是开源软件产品及方案选型丰富、有效避免技术垄断、采购成本低。但仍对开源软件缺乏服务支持、安全及稳定性低等问题有所顾虑。

2.内部治理

金融机构已开始关注应用开源软件的法律合规风险,超半数的机构对采购的第三方软件、服务制定了针对性的协议条款进行约束,并对使用中的开源软件许可证、漏洞等方面进行定期扫描。

但是,7成以上的金融机构仅通过采购外部法律服务和通过成立兼职法律团队应对合规风险;仅少部分机构成立了专职法律法规团队应对开源合规风险。金融机构已建立“开源管理办公室”或类似专职管理团队的不足2成,且团队规模较小,普遍都在10人以内。

3.开源能力

金融机构的开源软件研发维护团队规模,明显不匹配开源软件的应用规模。近5成机构的团队规模在1~50人,100人以上的仅占4%。国有商业银行及民营银行更加重视团队建设与人员投入。

调研中,金融机构普遍能够进行开源软件缺陷处置,仍有7成机构认为自身亟待补足解决技术故障及防控法律法规风险的能力。

金融机构对开源软件源代码的把控方面缺乏信心。对应用中不满足需求的开源软件,7成以上的机构选择替换其他开源软件或闭源商业软件。

4.生态贡献

金融机构普遍认可开源模式,但对开源生态贡献普遍较低,9成机构以使用为主,几乎没有对外开源计划,已对外开源项目的机构寥寥无几。人员缺乏、精力不足及内部战略或管理要求制约了对外开源。

5.技术产品应用情况

金融机构应用的开源技术产品主要集中在Web服务器、数据库、中间件、开发工具及组件、操作系统、大数据等方面。全国性商业银行应用开源软件的类型更丰富,应用场景主要集中在一般业务系统、办公管理系统,在关键业务系统上也有一定的规模。

问题与风险

开源软件在金融领域广泛应用的同时,仍存在问题和风险。

1.法律识别风险

金融机构使用的基础开源软件大都是国外科技公司(如Google、Facebook、Microsoft等)开源项目,遵守的开源许可证也是由国外开源基金会维护,同时主流的开源软件托管平台也注册在国外,其运营、维护、发展都要遵守所在国家的法律法规,一旦发生法律纠纷或者国际环境变化,将对金融机构基础设施造成重大影响。

2.开源许可证合规风险

许可证合规性是金融机构引入、使用、治理开源软件面临的首要问题。同时,也需要保护金融机构自身的知识产权免遭传染性许可证侵害。开源许可证是一种独立存在的法律许可。目前,国际公认的开源许可证91种,主流使用的许可证也有9种(截至2020年12月19日,OSI),其中大多采用英文编写,只有木兰许可证采用中文编写。金融机构技术团队需要与具备熟悉许可证特性与要求的法律法规团队协同,在开源软件全生命周期内动态管理、定期扫描,发挥监控、评估等作用。

3.缺少运维支持服务风险

开源软件相较闭源商业软件缺少完善的运维保障支持。调研数据显示,8成的机构顾忌开源软件缺乏服务支持。对开源软件应用中出现的安全漏洞、隐私风险,金融机构需要自行分析解决。此外,金融机构对开源软件二次开发的代码,因其针对金融特定场景不具有通用性,在开源软件进行大版本升级后,金融机构仍需要重复开发、测试、上线。

4.运营公司商业模式变更风险

开源软件独特的商业运营模式,使成功的开源软件几乎都由成熟商业组织推动,在无法为其商业模式带来流量、关注度等回报,或开源软件的存在对其盈利造成影响时,开源软件将面临人员投入、资金支持、代码贡献调整的风险。近期,红帽(RedHat)公司宣布,将把对CentOS的投资从CentOS Linux完全转移到CentOS Stream,预计于2021年12月31日提前终止对CentOS Linux 8的支持。调研结果中CentOS操作系统在金融机构中有广泛应用。

5.缺少统一安全管理风险

当前金融系统分布式架构、云端部署日益成为主流,系统模块化、组件化明显,开源软件之间依赖关系趋于复杂,追踪和理清开源软件间的依赖关系已不是一个简单的事情。因此,开源软件间安全漏洞、后门风险的连锁传播,会引发金融机构关键系统的安全危机,可能有不可控的风险,必须进行有效漏洞管理。调研数据显示,金融机构虽然在开源软件的安全治理方面已具有一定的管控意识,6成多的机构能够进行定期扫描,但是,鉴于开源软件依赖关系的复杂性,建立统一安全管理机制必不可少。

相关建议

1.充分认识开源价值,合理制定开源规划

全面推动开源科普,增强金融机构上下开源风险意识,提升开源工作认知度和参与度。国外科技公司通过提早规划、主动布局开源,引导事实标准,已形成由其主导开源框架的市场格局,国内金融机构和科技企业应尽快制定开源关键技术的中远期发展规划和顶层设计,在操作系统、数据库、中间件、云计算等基础软件方面主动布局,避免造成新的技术垄断被动局面,形成软件行业的“卡脖子”问题。

2.强化机构开源治理,评估开源应用现状

金融领域协会、联盟应配合有关机构尽快制定开源工作衍生的管理、安全等方面相关办法和指导文件,建立统一安全管理机制,破除开源引入障碍,规范开源全生命周期管理,推动适合开源的组织架构调整,指导金融机构建立开源办公室,配备相应的开源法律合规团队。同时,金融机构要对自身应用开源的情况深入摸底排查风险点,真实掌握开源使用规模、复杂度,主动对已存在的安全漏洞、许可证合规风险进行防控处理。

3.提升自身开源能力,加大人才队伍建设

金融机构亟待提高开源技术产品故障解决能力、法律法规风险防范能力等;加大开源理论研究、人才培养,标准制定等工作,切实提高人员、物质、资金等投入力度;定期开展全面安全扫描。开源软件研发维护团队规模较小,专业人才队伍缺乏已成为制约机构开源工作开展的短板,金融机构在注重金融科技人员投入的同时,适量引进法律法规、质量管理、社区互动等方面人才。

4.参与开源生态建设,加强开源社区互动

金融机构要走出以使用为主的单方模式,在贡献开源、主动开源、开源捐赠等方面要主动投入和布局,加强与协会、联盟、基金会等社会组织合作。金融领域协会、联盟可以积极发挥平台优势,推动开源社区互动,引导产业机构参与金融开源工作,编制开源标准,组织交流、研讨活动,建立开源服务平台等工作,出台约束性自律公约,指导金融机构合规应用开源技术、主动反馈社区。打造使用、贡献、服务、运营四方结合的开源链,促进金融行业开源生态可持续健康发展。

结束语

金融科技开源化已逐渐成为主流发展趋势,金融机构开源工作虽然存在诸多潜在的问题及风险,但仍要主动走出舒适区,逐步实现关键核心技术自主化。摆脱传统的技术研发模式,鼓励技术团队多向开源寻找解决方案。实力雄厚且已做好开源准备的金融机构,主动对接国际开源社区、开源基金会等,增强国际间交流与合作,形成良性开源生态,最终实现我国金融开源工作自主可控、健康可持续发展。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消