2022年金融行业开源治理白皮书v1

1、金融行业开源治理白皮书金融行业开源技术应用社区云运算开涌产业联盟.目 录一、开源技术迅猛进展推动企业引入开源. .11、 开源已在多个重要领域成为主流.12、 企业用户引入开源技术不行防止.2二、 金融行业采纳开源技术已成趋势 . .61、 开源技术是构建信息系统的重要挑选.62、 挑选开源技术对金融机构意义重大.8三、引入开源的风险日益凸显不容忽视 . .111、 缺乏技术才能是企业用户的重要痛点.112、 是否引入开源软件难以完全精确统计.123、 开源软件隐含的安全风险较为显著.134、 使用过程中是否遵守开源商定未知.145、 开源软件上游供应链存在不确定性.146、 开源软件的学问产

2、权风险易被忽视.15四、金融行业开源治理建议 .161、 推广产业开源科普，树立开源风险意识.162、 建立金融开源社区，增进同业沟通沟通.173、 梳理开源治理规范，推动相关标准制定.184、 建设开源治理体系，规范开源软件引入.19附录金融机构开源治理实践案例 .23中国农业银行 .23上海浦东进展银行 .26中信银行开源 .30中国太平洋保险（集团） .32前言近几年开源技术快速进展，金融行业在构建信息系统过程中不行 防止涉及开源技术的引入和使用；开源一方面可以突破技术壁垒推动 金融机构技术创新和业务进展，另一方面也不行防止的带来学问产权、信息安全等一系列问题；金融作为涉及关乎国民经济的

3、关键行业，面 临与其他行业相比更为严苛的监管要求；如何在遵循开源义务要求的 前提下规范地使用开源技术，从而最大化削减使用开源带来的风险， 是金融机构构建信息系统过程中必定面临的问题；金融行业开源治理白皮书第一介绍企业用户引入开源技术的背景，阐述开源技术对金融行业的重要意义，重点梳理引入开源可能导致的风险，并对金融行业在开源治理方面可以实行的措施给出了建议， 最终附录了参加白皮书撰写企业的开源治理实践案例；金融行业开源治理白皮书一、 开源技术迅猛进展推动企业引入开源近几年开源技术快速进展，在云运算、移动互联网、大数据等领域逐步形成技术主流；开源技术正在渗透软件领域的方方面面，企业用户已经越来越难

4、以规躲开源的引入；与此同时，开源的迅猛进展也推动企业从购买闭源商业软件转向关注和使用开 源软件；整体而言，不论企业是否接受，开源已经从事实上成为了一种不行阻挡的趋势；1、 开源已在多个重要领域成为主流开源推动软件生产模式向多人协作方向进展；相比于闭源软件封闭式的开发模式，开源软件开放式的生产模式推动更多人参 与到软件的制造之中；最初，大多数自由和开源软件项目的奉献者通过电子邮件或私有的版本掌握系统（如subversion或bitkeeper ）进行协作；产生于 2021 年的 github转变了这一情形， github供应使用 git进行版本掌握的软件源代码托管服务，使更多开发者能够更便利地参

5、加开源项目，进一步推动开源软件生产效率和生产质量的提升；github的显现转变了开源软件的协作模式，开发者不再需要先获得开发者社区的权限才能参加开源项目，这种多人协作的软件生产模式大大推动了开源软件市场12的进展壮大；开源软件已经逐步形成强大的生态链条； 21 世纪之前，软件世界以闭源为主， “闭源”与“收费”成为软件市场的主流， ibm、甲骨文、 emc为核心的软硬件产品是金融行业用户的主要挑选；90 岁月末，开源软件从对商业软件的仿照开头兴起，如：linux（对应微软的 windows操作系统）、 openoffice （对应微软的office）、fuseesb（对应 ibm esb 和

6、oracle esb ）等等；从 00岁月到现在，开源软件在市场上已经逐步与闭源软件平分秋色；近年来，随着 it产业逐步向服务化转型，开源已经成为 ict产业进展的重要趋势，在移动互联网、云运算、大数据、人工智能等诸多重要领域成为主流技术形状，如：移动互联网领域的android，云运算领域的 openstack 、kubernetesk8s，大数据领域的 hadoop，人工智能领域的 tensorflow等；以上领域的技术更新迭代速度较快，企业用户在挑选相关领域技术时，可能存在没有商业产品可供挑选，只能被迫采纳开源技术的现象；2、 企业用户引入开源技术不行防止随着开源技术快速形成生态，企业用户

7、引入开源技术已成大势所趋；一方面，开源技术已经在大数据、云运算等重要领域形成技术主流，开源软件掩盖软件生态的诸多方面；另一方面开源代码规模正在飞速增长，截至 2021 年 9 月，开源代码托管平台github上已经有 9600多万个库，相比去年也增长了40% 以上；由此可见，开源软件已经成为软件生态的重要且不行替代的组成部分，不论治理者是否知悉，企业内部在很大致率上都已经引入了开源相关的技术，详细有以下三种引入形式：1) 所购买或使用的商业软件，隐含开源组件或代码在开源软件兴起之前，大多数企业一般会挑选购买商业软件， 由于这种购买行为对于企业而言是“公对公”的，大企业内部一 般都有规范的选购流

8、程，企业负责人也认为商业软件的售后有所 保证；然而，并不是购买了商业软件就意味着不用关怀开源；实际上，许多商业软件是基于开源做二次开发后以闭源形式供应应用户的，但用户一般只知道自己购买了商业软件，而对其中可能涉及的开源风险一无所知；假如用户没有特别要求，商业软件供应商一般不会说明是否涉及开源软件，而用户一般不能直接接触到软件的源代码；因此，用户很可能被动的就引入了开源软件，即使想遵守开源规章也无从下手；虽然企业用户的确购买了商业软件，但商业软件中却有可能包含开源的成分，用户很可能在不知情的情形下使用了开源而不自知；从这个角度来说，许多时候并不是企业用户主动挑选了开源，而是被动使用了开源之后才意

9、识到明白开源的重要性；2) 购买基于开源软件的商业版本许多时候企业觉得自己购买了商业软件，然而实际上却往往 是开源的商业版或者是发行版；目前已知的 linux 发行版就有300 多种，其中就有比较胜利的商业发行版如：redhat 、suse、 ubuntu 等；全球范畴内基于 openstack供应支持和服务的企业 超过 150家， 依据 openstack基金会发起的第11次全球openstack 用户调查显示，华为、红帽、 easystack （易捷行云） 是 2021 年排名前三甲的 openstack软件供应商；大数据领域的hadoop 除了 apache的版本之外，华为发行版、 in

10、tel发行版、cloudera发行版和 dkhadoop 发行版均有广泛应用，其中许多发行版都是收费的商业软件；基于开源的商业版通常有两种情形，一种是双许可证，一种是依商业许可重新发行；所谓的双许可证是指其软件是基于开源许可证的，但是仍有不同的许可条款；用户可以无偿使用无须付费的、开源的版本， 这仍旧属于商业版本的一部分，如用户有进一步的需求，诸如商业的技术支持和服务就需要另行付费；作为全球领先的数据库软件， mysql产品实行了开源许可与私有许可的双重许可模式；mysql公司对产品代码拥有完整的著作权copyright；在开源许可之下，软件的源代码完全公开，任何人都可以下载mysql 软件来

11、使用、修改和传播；假如某商业客户期望在其商业软件中集成mysql并保持原有软件的私有性，那么必需挑选私有许可，即向mysql公司支付肯定的许可费；采纳混合许可的优点在于通过许可协议差异化来最大化产品网络外部性带来的收益；而依商业许可重新发行就是指一些宽松的许可证，如apache、bsd 等，是答应以商业且闭源的方式二次发行的；这其中最为闻名的例子就是苹果公司的 macosx操作系统，其内核是使用的 bsd unix ，但是其二次发行也是顺理成章；这样的方式，也是我们本土常见的方式，比如 openstack采纳是特别宽松的 apache 协议，再次商业发行，包括自己修改的、新增的代码是可以不开源

12、的；3) 直接使用社区版开源软件目前，开源软件已经掩盖了软件生态的诸多方面，操作系统 有 linux以开源形式供应，数据库 mysql、mongodb等，云运算领域的 openstack 和 kubernetesk8s都是开源技术，新兴领域如区块链技术基本是完全建立在开源的基础上的；一方面，开源软件更新速度快，相比于商业软件技术迭代速度更快，许多新技术往往都是从开源软件开头，市场广泛认可之 后才逐步产生一些商业软件或商业服务；许多时候并不是工程师主动挑选了开源，而是由于开源软件的生态相比于商业软件要巨大数倍，使用者只能被动挑选开源；另一方面，开源软件代码公开简单猎取，对于企业的工程师而言，大到

13、采纳能够独立部署独立运行的软件，小到将github上的一段开源代码复制粘贴到自己的代码中，其实都涉及到使用开源的问题；开源软件已经成为软件生态不行或缺的重要组成部分，许多时候企业常常会直接使用开源软件的社区版，或者直接使用github上的组件 / 代码片段，这些都属于使用了开源；从这个角度来看，开源已经渗透到了企业信息系统的各个角落，企业对于开源的使用是无处不在且不行逆转的；二、 金融行业采纳开源技术已成趋势开源软件市场巨大，从基础软件到应用软件都充斥着大量的开源软件；受金融机构转型推动和生态合作伙伴影响，为满意金融用户的实际需求，开源技术已经逐步成为金融机构构建信息系统的重要挑选；金融行业采

14、纳开源技术已经成为一种趋势，开源技术可以助力金融机构提高科技实力、帮助保证信息系统安全、进一步推动企业科技创新和业务创新；1、 开源技术是构建信息系统的重要挑选金融行业相比于新兴的互联网等行业面临更严格的监管要求，因此在引入开源软件方面始终相对谨慎；开源技术大规模兴起之前，金融行业往往通过正规选购流程购买商业软件，以满意本企业在信息系统构建方面的需求；随着时代的变迁和技术的进步，金融机构的it技术方案逐步从闭源走向开源；金融行业挑选开源技术的缘由主要有以下三点： 第一，提高灵敏开发效率，满意金融用户需求；随着互联网公司涉足金融领域并开启移动支付时代，目前我国移动支付规模已经稳居全球第一 , 并

15、逐步向世界各国拓展；面对金融用户需求和使用习惯的变化，传统金融机构已经无法完全满意用户需求， 互联网金融、数字金融、金融科技等概念纷纷显现，传统金融机构开头创建金融科技公司或成立金融科技部门，金融行业逐步向互联网灵敏开发方向进展；在此过程中，开源技术的引入可以大大提高开发效率和迭代速度，帮忙金融机构快速推动业务创新，进一步满意金融用户的需求；其次，加速海量数据处理，推动金融机构转型；在大规模、高并发、渠道类应用日益增多的互联网金融背景下，金融机构面临 向数字化、智能化方向转型的要求；与此同时，机构内海量数据处 理、分析需求开头增多，而开源技术可以帮忙金融企业构建更灵敏高效、精细化治理、可管可控

16、以及可扩展的 it 系统，进一步推动金融机构的转型和创新；第三，主动拥抱开源技术，助力生态伙伴合作； 金融机构并 不是独立存在的个体，其生态链条上存在各种类型的合作伙伴企业；从供应角度来看，金融机构与科技公司存在密不行分的关系，也不行防止地会受到科技公司在技术方面的影响；鉴于目前开源 技术在科技公司当中应用的广泛性，金融机构不行防止会涉及到 相关技术，这一变化也将推动传统金融机构逐步从封闭走向开放，进一步促进金融行业转型与进展；从开源技术的应用与进展角度来看，十年前，操作系统主要 是 aix 、hpunix 等，储备以 emc、hp 为主，中间件使用 tuxedo等，主流的数据库有 infor

17、mix、db2、sqlserver 而目前 linux操作系统， hadoop 分布式文件系统 hdfs，数据库 mongodb 和mysq，l 中间件 kafka 、 rabbitmq 等已经在相应领域形成技术主 流，许多金融机构也正在使用这些开源技术；开源技术的进展推动金融机构逐步接受开源和使用开源，开源软件已经渗透到了金融机构软件研发的各个流程；在金融机构中，从治理角度可以将开源软件分为两大类：第一类是基础类开源软件； 指独立部署、独立运行，为应用系统供应基础服务的开源软件，包括操作系统、数据库、中间件 等；这类软件一般由独立的专职团队（如运维中心）统一负责管 理，包括：编制相关应用部署

18、规范、上线后的运行和爱护等；其次类是应用开发类开源软件； 包括开发过程中涉及的开发框架、开发语言、开发工具，以及配置、测试、运维和办公等过程中使用的工具软件等；这类软件一般由引入和使用部门直接治理， 负责软件的运行爱护工作；2、 挑选开源技术对金融机构意义重大1) 开源技术助力金融机构提高科技实力金融领域的关键信息基础设施是经济社会运行的神经中枢， 金融业务高度依靠金融网络和信息系统；软件和信息技术服务业“十二五 ”进展规划中提出要把开源软件作为扶持进展的对象；开源软件具有公开、使用、修改、分发的特点，使用开源软件的机构可以把握软件的源代码，一方面改善过去选购闭源软件存在的代码不透亮等问题，另

19、一方面也可以弱化商业封闭式系统架构 导致的厂商绑定；金融用户通过把握软件源代码提高对信息系统的把控才能，基于开源代码进行二次开发可以进一步提高金融机构的技术水平和科技实力；2) 开源技术是金融机构保证信息安全的重要挑选金融作为涉及关乎国民经济的关键行业，面临与其他行业相比更为严苛的监管要求； 信息安全已经上升到国家战略层面，信息安全被划入“十三五”重点建设方向、网络安全被正式划入“十 三五”规划重点建设方向，在政府将来5年的 100项重大建设项目中排在第六位；因行业性质缘由，金融行业对信息系统安全和软件使用有极 高的要求，间续出台相关行业规范和治理规定，如：金融行业信 息系统信息安全等级爱护实

20、施指引、中小金融机构灾备云安全要求、保险机构信息化监管规定、保险公司信息系统安全治理指引（试行）等；相比于闭源商业软件，开源软件的源代码更加公开透亮；同 时，得益于开源生态日趋成熟，paas、中间件、数据库等领域开源技术层出不穷，主流的技术基本都有热门的开源软件可供金融 机构进行挑选；金融机构在进行软件选型时，也可以通过公开的数据对软件进行多方面的评测，通过挑选合适的开源技术替代商业软件，助力金融机构有效保证数据安全；3) 开源技术推动金融机构科技创新和业务创新为应对互联网金融崛起和竞争，传统金融机构也需要主动拥抱开源技术，以便更快地达成一流数字生态金融格局，把触角延长到金融客户需求的方方面面；从开发模式上来看，开源技术采纳多人协作的开发模式，与传统闭源软件封闭式的开发模式相比，具有快速迭代、技术可扩 展、技术路线寿命长等特点，在技术路径上相比于闭源软件更具 有多样性和创新性；由于开源软件的代码是公开的，社区的参加者可以基于原有代码进行自由开放和修改，其技术更新迭代速度要比专有软件快得多，因