1月15日，人民银行发布金融行业标准《金融业开源软件应用 管理指南》（JR/T 0290-2024）（以下简称“《指南》”），于当天实施。

《指南》提供了金融机构在应用开源软件时的全流程管理指南，对开源软件的使用和管理提供多方面的指导。适用于金融机构规范自身对开源软件引入、使用及退出的过程管理以及风险管控。

《指南》提到，开源软件管理架构包括配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理和工具化管理等6部分内容，覆盖2个制度要素和3个技术管理流程，宜配置1个管理工具。金融机构可通过对3个层面的管理效果开展成熟度自评估，不断完善整体技术管理能力。

其中，制度层面：在配套组织架构和配套管理规章制度上设置针对开源软件应用的管理要求。

流程层面：在开源软件从引入到退出的生命周期流程管理、风险管理和存量管理等3个方面提出管理要求。

工具层面：宜通过构建基础设施支撑开源软件管理，引入或搭建自动化工具提高管理效率。

制度层面

制度层面，包含配套组织架构和配套管理规章制度2部分。

在配套组织架构上，主要包括决策团队和管理团队。

其中，决策团队第一负责人宜为金融机构技术条线总责任人，负责决策和发布开源软件应用管理规章制度、管理流程和管理策略。

管理团队可为实体组织或虚拟型组织，负责制定和执行开源软件管理规章制度和管理流程，至少包含专项人员、技术人员、安全人员、法务合规人员等。

在配套管理规章制度上，分为生命周期管理和应急处置管理。

生命周期管理：管理规定需覆盖引入、使用、持续评估、退出等方面。

应急处置管理：针对开源软件出现重大安全漏洞、停服等突发情况，宜制定特定或整体的开源软件应急处置预案，规范应急处置流程，合理安排预案演练，做到及时有效地实施应急处置工作，降低风险影响。

流程层面

流程层面，包含生命周期流程管理、风险管理和存量管理3部分。

在生命周期流程管理上，环节有引入管理、使用管理、持续评估、退出管理。引入管理主要包括引入评估、信息管理等事项；使用管理主要包括从制品仓库获取介质、依据开源软件使用情况建立台账等事项；持续评估主要包括安全漏洞评估、版本评估、开源许可证评估等事项；退出管理主要包括升级机制、更换机制、退出机制等事项。

在风险管理上，有风险识别、风险记录、风险处置、风险评价。风险识别：金融机构可通过法律风险、安全漏洞风险、供应链风险等风险点进行识别；风险记录：专项人员对开源软件风险点进行记录与及时反馈；风险处置：针对安全漏洞风险、法律风险或供应链风险，均提出对应的具体处置方式；风险评价：宜定期通过开源软件使用情况、开源社区支持情况、开源软件供应商服务品质3方面进行评价。

在存量管理上，金融机构宜针对开源软件的存量情况进行梳理、记录与分析，管理措施至少包括制定和更新存量开源软件的管理策略与计划；识别、记录开源软件，形成开源软件清单；对使用开源软件的系统名、联系人、使用部门等进行记录，形成开源软件应用台账；监控和全面排查存在风险的存量开源软件，记录安全漏洞情况，与责任人建立沟通等。

工具层面

工具层面，主要为工具化管理。

金融机构在进行内部软件资产盘点时，若评估认为自身引入的开源软件类型丰富、数量较多，可通过构建工具的方式对开源软件进行管理。工具类型主要包括2种：

一是构建金融机构内部管理平台，通过开源软件的线上流程化管理，实现组织架构、流程管理、开源软件信息展示、社区信息展示、制品仓库等需求。

二是第三方开源软件自动化扫描工具能够帮助金融机构更快速、准确地跟踪和记录开源软件相关信息，实现开源软件台账、安全漏洞跟踪、开源许可证跟踪等需求。

开源软件应用管理评估方法

最后，金融机构可通过将开源软件应用管理程度划分等级、明确管理项目的方式，对开源软件的管理效果开展成熟度自评估，提升开源软件治理能力。管理成熟度从低到高有3个层级：

探索级：执行了开源软件应用管理的部分工作，尚未形成规范性流程和制度。提升级：形成明确的架构分工和完善的管理流程制度，对开源软件进行流程化管理。成熟级：通过利用开源软件管理工具等对开源软件进行专业化和自动化管理。

《指南》展示了开源软件应用管理成熟度表，此表可作为评估开源软件管理效果的依据，通过对照开源软件在管理维度、层级、具体管控项达成情况，提升相应的开源软件应用管理能力。