1月15日，人民银行发布金融行业标准《金融业开源技术 术语》（JR/T 0289-2024）（以下简称“《术语》”），于当天实施。

据悉，近年来，开源技术在金融业各领域得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥着积极作用。在金融业广泛应用开源技术的过程中，一方面由于开源技术部分基础术语缺少标准定义，相关标准制定过程中出现术语重复定义；另一方面，在不同的应用场景下，因金融机构对开源技术部分概念仍存在不同的表述，造成金融机构间沟通交流时对开源技术的实质认知不同，影响开源技术应用和金融业务需求表述。

因此，有必要制定统一的金融业开源技术术语标准，形成行业广泛认可的术语定义，促进快速形成共识，为金融业制定开源技术相关标准及规范性文件提供参考。

《术语》界定了金融业开源技术的常用术语。适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

《术语》分为基础类、规则类、技术类、评估类、生态类、其他类。

基础类

开源：将源代码公开提供的一种开放协作形式。

软件：与计算机系统操作有关的计算机程序、规程、规则，以及相关文件、文档和数据。

开源软件：一种可以获取源代码的软件。

开源技术：直接引入或间接引入并应用于金融信息系统的开源软件产品及相关技术服务的统称。

开源协作：在开源软件项目建设过程中，多个机构、个人之间通过互联网等渠道协调和配合的开发模式。

源代码：以适合于作为汇编程序、编译程序或其他转换程序输入的形式表示的计算机指令和数据定义。

目标代码：由汇编程序或编译程序输出的格式表示的计算机指令和数据定义。

开源代码：公开可见、可用的软件源代码。

开源基础软件：为信息系统应用提供基础服务，通常可独立运行的开源软件。

社区版本开源软件：对开源社区的开源代码集成、编译，进行公开或正式发布的可运行的软件。

商业版本开源软件：由厂商基于开源软件进行开发发布的软件。

长期支持版开源软件：可在较长周期中得到持续维护及更新的开源软件。

闭源软件：通常不公开提供源代码，需在版权所有者的专有法律权利许可下使用的计算机软件。

商业软件：基于闭源软件或开源软件的商业产品。

停服：开源软件发行方停止对软件进行维护支持的处理。

开源组件：构成某个开源软件的最小可识别、可评估的组成元素。

开源工具：在开发、测试、运维等环境下作为某种专用工具使用的开源软件。

规则类

开源许可证：用于规范受著作权保护的软件在规定条款、条件下被使用或分发等行为的协议。

宽松许可证：对使用开源代码的方式与范围设置了最小限制的协议。

著佐权许可证：在对源代码的修改、衍生品中必须沿用原开源许可证，并且不得附加其他额外限制的协议。

弱著佐权许可证：允许在一定条件下对源代码的修改、衍生品中的源代码或部分源代码使用其他开源许可证的协议。

披露要求：开源许可证条款中，对开源软件或其部分代码被分发时应披露相关信息的要求。

贡献者许可协议：对贡献者向开源软件版权所有人或所属运营管理组织付出劳动时，其产出物的知识产权进行权利主张的协议。

开源软件衍生品：基于开源代码进行再次创作的作品。

分发：对开源软件进行传播的行为。

公平合理非歧视原则：一种对开源软件专属权所有者的权利作出限制的承诺条款。

技术类

代码托管平台：主要面向开源项目存储、管理、维护源代码，促进项目协同开发的网络托管平台。

代码仓库：用于组织软件项目的仓库。

代码托管：将开源软件项目交由代码托管平台管理的过程。

制品仓库：用于存储和管理由源代码编译、打包或由第三方提供的制品的仓库。

星标：对开源软件代码仓库进行标记，表达用户对该项目的关注、支持及赞赏的功能。

关注：接收开源软件项目动态，实时跟进项目代码提交申请、议题、评论等信息的功能。

复刻：用户在代码托管平台上复制一份原软件代码仓库所有内容副本的操作。

代码拉取：用户从代码托管平台上拉取最新代码的过程。

拉取请求：将复刻代码仓库中的变更申请拉取至被复刻的原始代码仓库的操作。

合并请求：将分支中的变更申请合并至另一分支的操作。

主干：源代码的主要控制版本。

分支：基于主干创建的代码副本。

议题：用于追踪开源软件代码的提问、反馈、任务或缺陷的互动功能。

代码提交：用户将新增或变更的代码提交到本地代码仓库，使本地代码仓库与本地最新进度同步的操作。

代码推送：用户将本地代码仓库的变更推送到远程代码仓库，使远程代码仓库与本地代码仓库同步的操作。

代码冲突：用户执行代码提交时，所修改的内容与代码仓库中其他用户已提交内容存在冲突的情况。

代码审核：由某主体借助某种工具对源代码进行的独立审查。

代码评审：将软件代码呈现给项目人员、管理人员、用户、客户或其他感兴趣的人员，用于评价、审议等用途的过程。

代码发布：从托管平台上拉取发行版本代码的功能。

标签：标记某次代码提交或发布的功能。

特征：用于向用户展示开源软件某一版本发布时，相比前版本在内容、特色等方面变化的描述。

安全漏洞：开源软件在设计、编写、配置过程中存在的缺陷。

后门：绕过安全性控制而获取对程序或系统访问权的程序方法。

内源：借鉴开源软件开发模式在机构内部建立的跨部门、跨岗位的软件协作开发机制。

评估类

社区成熟度：衡量开源社区常见发展模式下达到的阶段，用于表示该社区所涉及的技术随着时间的发展，社区价值总量的膨胀和收缩情况。

项目成熟度：衡量开源项目整体发展水平、资源完备程度的综合评价指标。

开发活跃度：衡量开源社区或项目开发活动的活跃程度的综合评价指标。

社区贡献度：衡量个人或组织对开源项目贡献量的评价指标。

评估指标：用以衡量、评估或判断事物质量、过程能力是否满足其规定准则、特性的测度。

评估工具：在评估中所用的一个或一组工具。

开源软件成分分析：识别开源软件构建详情及供应链关系的方法。

开源软件物料清单：展示构成开源软件最小可识别信息的文件。

兼容性：1、当2个或2个以上系统或部件共享相同的硬件或软件环境，执行其所要求的功能时可得到同样结果的能力。2、2个或2个以上系统或部件交换信息的能力。3、同一软件不同版本可共存的能力。

许可证兼容性：代表某一种开源许可证下，代码组合、合并的能力。

开源许可证遵从性：代表用户、开发者对开源软件的应用、分发、贡献及维护等行为遵守开源许可证规定条款、条件的程度。

可靠性：与预期行为和结果相一致的特性。

可扩展性：系统或部件能修改以增加其存储或功能的能力情况。

可维护性：1、通过修改软件系统或部件达到排除故障、改进性能或其他属性来适应变更环境的容易程度。2、硬件系统或部件可保持或恢复到能履行其功能的状态的容易程度。

易用性：软件产品在指定条件下运行时，其被用户理解、学习、使用的能力。

代码更新频率：开源项目在一定时间段内，其代码进行增加、删除、修改的行数、次数的数据值。

依赖性：软件系统或部件正常运行需要调用其他软硬件系统的功能或服务而与之产生的关联关系。

脆弱性：可能被一个或多个威胁利用的资产或控制的弱点。

开源软件供应链：为满足开源软件产品和服务的供应关系，通过投入资源、参与开发或应用等过程，将供方、需方、参与方等相互链接的网链结构。

开源软件供应链风险：利用开源软件存在的开源许可证变更、停服、访问限制、安全漏洞等脆弱性，导致开源许可证违约、稳定性低、无法访问代码托管平台等供应链安全合规事件的可能性，及其由此对组织造成的影响。

生态类

开源社区：项目开发的组织形式。

上游社区：维护开源软件主干版本的开源社区。

开源社会组织：为推动开源软件高质量发展而组建的社会团体、基金会等组织。

项目管理组织：负责保证开源社区运转良好、决定与社区相关的重大事项并制定相关规章的开源项目核心管理团队。

技术管理组织：负责项目的技术路线规划、指导、监督、决策和技术资源协调的开源项目核心管理团队。

贡献者：对开源软件以某种方式做出贡献行为的个人或法人。

维护者、提交者：拥有对代码审核决策的权限、负有审查和合并来自贡献者的贡献内容的职责并负责项目运维的人员。

第三方机构：不直接参与源代码开发、维护或修改，但可围绕该产品提供衍生服务、产品的机构。

其他类

软件获取：从其他组织通过文档化的协议获得软件的过程，或从其他组织获取软件产品的一组活动。

商业采购：以合同方式有偿取得软件或其相关工程与服务的行为。

合作研发：研发主体通过协议的形式与其他主体共同参与产生智力成果创作的研发模式。

选型：根据实际需求对实施方案、软硬件及所涉及的技术进行评估与选择的活动。

交付：软件研制周期中，将产品提交客户、预定用户或计划中的用户，并由其使用或接受的阶段。

风险管理：指导和控制相关风险的协调活动，识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。

软件生命周期：软件产品从概念构思到退役的演变。

开源软件生命周期管理：金融机构应用开源软件时从引入、使用、更新、退出以及过程中进行评估、维护及风险管理的时间周期。

可信来源：经评估认为值得信赖，具有可靠性、安全性的实体或资源渠道。