聚焦開源軟件治理和服務(wù) 共論走向核心系統(tǒng)的開源合規(guī)與實(shí)踐之道

2023年6月10日下午，2023第五屆雙態(tài)IT北京用戶大會兩大主題峰會之一的“新一代信息技術(shù)：開源軟件治理和服務(wù)峰會”成功舉辦。本次峰會由北京國家金融科技認(rèn)證中心指導(dǎo)，ITSS分會、雙態(tài)IT論壇主辦，ITSS數(shù)據(jù)中心運(yùn)營管理組、ITSS媒體組協(xié)辦，共有來自央國企、金融等行業(yè)的150人到場出席。

如今，“開源”已經(jīng)寫入國家“十四五”規(guī)劃，成為助力科技發(fā)展的熱詞，開源軟件獲得越來越廣泛和深入的應(yīng)用。

包括金融在內(nèi)的行業(yè)開始逐步采用開源技術(shù)來構(gòu)建自己的信息系統(tǒng)，“開源軟件治理”這一話題逐步成為行業(yè)考慮的重點(diǎn)。

本次大會召開“新一代信息技術(shù)：開源軟件治理和服務(wù)峰會”，圍繞開源軟件治理現(xiàn)狀、發(fā)展趨勢及實(shí)踐、開源軟件治理解決方案等主題進(jìn)行分享和交流探討。

會議開場，ITSS數(shù)據(jù)中心運(yùn)營管理組組長肖建一為大會致辭，對本次峰會的舉辦表示祝賀。

近年來，開源技術(shù)快速發(fā)展，在云計(jì)算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域逐漸形成技術(shù)主流。

越來越多的廠商開始擁抱開源，將開源視為連接企業(yè)內(nèi)外部開發(fā)者協(xié)同開發(fā)、構(gòu)建軟件生態(tài)的強(qiáng)助力，包括金融在內(nèi)的大型企業(yè)云集且對安全要求更高的行業(yè)也開始逐步采用開源技術(shù)構(gòu)建新的信息系統(tǒng)，“開源軟件治理”逐步成為行業(yè)考慮的重心。

肖建一表示，希望北京國家金融科技認(rèn)證中心、ITSS分會、ITSS數(shù)據(jù)中心運(yùn)營管理工作組(DCMG)、雙態(tài)IT論壇組織策劃的此次峰會，能夠?yàn)閰钨e帶來一場思想的盛宴，實(shí)踐的盛宴!

標(biāo)準(zhǔn)和政策：安全和發(fā)展并重競爭和合作并存

國家工業(yè)信息安全發(fā)展研究中心軟件所副所長、證券基金行業(yè)信創(chuàng)聯(lián)盟WG10工作組組長李衛(wèi)發(fā)表“開源產(chǎn)業(yè)現(xiàn)狀和趨勢預(yù)判”主題演講，圍繞開源生態(tài)發(fā)展現(xiàn)狀、開源治理策略以及開源能力建設(shè)等關(guān)鍵問題展開介紹。

2021年，開源被首次寫入國家《”十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》，為開源發(fā)展提供指引和遵循。一是要加強(qiáng)開源代碼安全檢測，保障開源代碼組件供給安全;二是要培育和壯大市場主體，加快繁榮開源生態(tài)，提高產(chǎn)業(yè)集聚水平，形成多元、開放、共贏、可持續(xù)的產(chǎn)業(yè)?態(tài)。

李衛(wèi)指出，國家工業(yè)信息安全發(fā)展研究中心圍繞開源文化、開源基礎(chǔ)設(shè)施、開源項(xiàng)目和開源社區(qū)等方向開展工作，推動國內(nèi)開源生態(tài)加速繁榮。未來，中心將進(jìn)一步提升開源產(chǎn)業(yè)研究能力和技術(shù)儲備，在開源風(fēng)險(xiǎn)防范、開源安全合規(guī)等方面提出治理方案，為國內(nèi)開源體系建設(shè)貢獻(xiàn)智慧和力量。

最后，他總結(jié)道：隨著各行業(yè)積極擁抱開源，開源的重要性愈發(fā)凸顯。未來開源發(fā)展，需要安全與發(fā)展并重：第一，要用好開源，讓開源為各行業(yè)科技工作、IT工作帶來更多創(chuàng)新，帶來更多效益的提升;第二，要把開源用安全，盡量減少開源后續(xù)帶來的安全合規(guī)風(fēng)險(xiǎn)。

國家金融科技認(rèn)證中心實(shí)驗(yàn)中心負(fù)責(zé)人李博文從金融開源現(xiàn)狀、行業(yè)指導(dǎo)意見、開源推進(jìn)工作、未來工作展望四方面進(jìn)行《金融行業(yè)開源應(yīng)用探索與實(shí)踐》主題分享。

李博文指出，金融行業(yè)開源應(yīng)用是一個從外圍向核心組件演化的過程。互聯(lián)網(wǎng)技術(shù)棧更多影響在場景，影響到渠道，近年來也影響核心金融系統(tǒng)分布式架構(gòu)轉(zhuǎn)型。從整個行業(yè)現(xiàn)狀來看，金融逐步在從外圍向核心做開源技術(shù)的應(yīng)用演進(jìn)。

開源治理方面，國金認(rèn)證積極開展開源治理體系研究及開源安全合規(guī)風(fēng)險(xiǎn)防范工作，推動金融行業(yè)開源工作的健康發(fā)展，助力金融機(jī)構(gòu)、金融科技公司安全合規(guī)地應(yīng)用開源技術(shù)、防范開源風(fēng)險(xiǎn)。同時，各金融機(jī)構(gòu)積極參與實(shí)驗(yàn)室相關(guān)工作，共同推進(jìn)開源技術(shù)在金融行業(yè)合規(guī)發(fā)展。

他表示，金融機(jī)構(gòu)之間存在業(yè)務(wù)上的競爭，但在技術(shù)上也可以有更好的協(xié)同。發(fā)展到現(xiàn)在，開源工作已經(jīng)逐步走向體系化、規(guī)范化。對于金融行業(yè)的開源，國金認(rèn)證會積極發(fā)揮行業(yè)平臺作用，打造基礎(chǔ)設(shè)施，同時也希望金融機(jī)構(gòu)未來能夠在開源治理上越做越好，在開源的輸出上能夠逐步走出來，讓開源成為金融核心技術(shù)發(fā)展的新動力。

用戶實(shí)踐：擁抱開源 共談安全合規(guī)發(fā)展

近年來，開源軟件獲得越來越廣泛和深入的應(yīng)用，“開源軟件治理”成為行業(yè)考慮的重點(diǎn)。本次峰會我們邀請到工銀科技、海通證券、銀聯(lián)云等行業(yè)專家進(jìn)行開源軟件治理實(shí)踐分享。

工銀科技數(shù)字金融實(shí)驗(yàn)室高級研究員韓旭以“中國工商銀行開源軟件管理體系建設(shè)實(shí)踐”為主題，從發(fā)展歷程、治理體系、系統(tǒng)工具支撐和成效展望四方面進(jìn)行介紹。

韓旭指出，工行開源軟件治理體系逐步從碎片化的分散使用管理，探索開源軟件統(tǒng)一管理和應(yīng)用方式，通過優(yōu)化完善評估流程、規(guī)范使用流程，提升研發(fā)運(yùn)維效率，建立了具有專業(yè)化指引、可對標(biāo)業(yè)界標(biāo)準(zhǔn)的管理體系。截至目前，已經(jīng)在內(nèi)部治理、產(chǎn)業(yè)建設(shè)、標(biāo)準(zhǔn)體系方面取得了成效。

展望未來，韓旭表示，工行將遵循“安全可控、合規(guī)使用、問題導(dǎo)向、開放創(chuàng)新”的基本原則，加強(qiáng)開源治理與協(xié)同創(chuàng)新，提升科技創(chuàng)新，加快數(shù)字化轉(zhuǎn)型。主要分為對內(nèi)對外兩個方向，對內(nèi)是完善開源治理體系，即提升自動化、全面化能力和加強(qiáng)人才儲備;對外則是參與開源生態(tài)建設(shè)，分別針對助力金融生態(tài)發(fā)展、促進(jìn)開源標(biāo)準(zhǔn)建設(shè)以及賦能金融同業(yè)。

海通證券數(shù)據(jù)中心副總經(jīng)理王東以“開源軟件治理探索和實(shí)踐”為主題進(jìn)行分享，介紹了海通證券開展開源軟件治理的背景、在開源治理方面的探索和具體實(shí)踐，以及對開源治理的未來展望。

他指出，海通證券在開源治理方面的目標(biāo)是：確保開源軟件的使用在組織內(nèi)部得到有效的管理和控制，包括開源軟件的引入、審批、部署、維護(hù)和更新等，主要是解決合規(guī)和安全兩大風(fēng)險(xiǎn)?；谏鲜鰞纱箫L(fēng)險(xiǎn)，海通證券在開源軟件治理實(shí)踐過程中遵循規(guī)劃引領(lǐng)、平臺賦能、治理前移的探索思路。

展望未來，王東表示，希望共建高質(zhì)量開源生態(tài)，要實(shí)現(xiàn)三個轉(zhuǎn)變：一是從盲目擁抱開源到擁抱有治理的開源的轉(zhuǎn)變，即在確保安全合規(guī)的同時，通過不斷優(yōu)化內(nèi)部體系建設(shè)，從組織、制度、流程、工具等多方面保障使用開源及開源輸出風(fēng)險(xiǎn)可控;二是從擁抱全球的開源到中國式開源優(yōu)先的轉(zhuǎn)變，即建設(shè)我國產(chǎn)業(yè)力量主導(dǎo)的開源社區(qū)等方面積極作為，合理合法利用開源軟件，突破底層技術(shù)的壁壘，打造我國主導(dǎo)的開源價值鏈，構(gòu)建完善的開源原生態(tài);三則是促進(jìn)開源治理協(xié)同。

中國銀聯(lián)云計(jì)算中心高級總監(jiān)任明從銀聯(lián)云開源軟件概述、開源軟件治理模型、開源軟件治理體系以及銀聯(lián)云的具體實(shí)踐四方面進(jìn)行《中國銀聯(lián)開源軟件治理和服務(wù)實(shí)踐》主題分享。

任明表示，從2012年開源技術(shù)引入到現(xiàn)在開源軟件持續(xù)發(fā)展，銀聯(lián)云始終貫徹執(zhí)行2021年人民銀行等五部委發(fā)布的《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》，堅(jiān)持“強(qiáng)調(diào)自主掌控為要、自研開源雙線并舉”“增強(qiáng)治理管控安全、積極參與開源生態(tài)”的建設(shè)策略。

從開源治理規(guī)范上來講，銀聯(lián)云主要從制度建設(shè)、開源成熟評估模型、開源標(biāo)準(zhǔn)化建設(shè)以及開源技術(shù)引進(jìn)四方面開展，銀聯(lián)云開源軟件治理體系主要針對制度建設(shè)、組織保障和流程管理。

拓寬開源治理方向 保障軟件供應(yīng)鏈安全

行業(yè)內(nèi)的開源治理除了行業(yè)側(cè)本身的努力外也離不開產(chǎn)業(yè)側(cè)的支持。

華訊網(wǎng)絡(luò)信創(chuàng)工程中心軟件開源治理技術(shù)總監(jiān)田雷以“開放生態(tài)下的安全合規(guī)之路-開源治理”為主題，從開源軟件風(fēng)險(xiǎn)模型、國內(nèi)外開源治理現(xiàn)狀、華訊開源治理解決方案以及開源治理發(fā)展趨勢四方面進(jìn)行分享。

華訊網(wǎng)絡(luò)基于目前開源軟件的應(yīng)用態(tài)勢，提出以"輔助決策，步進(jìn)治理"為主的工作策略，以"掌握、協(xié)調(diào)、順應(yīng)"為主的治理手段，將開源軟件的質(zhì)量、安全、合規(guī)完全嵌入到整個開發(fā)流程中，形成了“體系+工具+平臺+服務(wù)”的完整解決方案，能夠?yàn)樘幱陂_源治理各階段的客戶提供相應(yīng)的服務(wù)與產(chǎn)品。

著眼于目前的研發(fā)業(yè)務(wù)來說，開源軟件治理方面的工作所占比重并不大，但隨著治理工作的推進(jìn)，企業(yè)對開源治理的要求越來越高，華訊的開源軟件治理工作已經(jīng)向SBOM、狀態(tài)、漏洞、數(shù)據(jù)、以鏈治鏈幾個方向進(jìn)行拓展，以保障客戶軟件供應(yīng)鏈安全。

《中國開源軟件治理指南》圖書編寫方案介紹暨啟動儀式

近年來，開源軟件獲得越來越廣泛和深入的應(yīng)用，特別是正逐步被引入到企業(yè)的核心業(yè)務(wù)系統(tǒng)中。越來越多的機(jī)構(gòu)認(rèn)識到已經(jīng)有必要從組織級的視角來認(rèn)識和管理開源軟件，然而開源軟件治理目前還沒有公認(rèn)的方法論，對此，策劃開展《中國開源軟件治理指南》編寫項(xiàng)目。

在“新一代信息技術(shù)：開源軟件治理和服務(wù)峰會”現(xiàn)場進(jìn)行了《中國開源軟件治理指南》圖書編寫方案介紹暨啟動儀式。

《中國開源軟件治理指南》項(xiàng)目經(jīng)理張順從項(xiàng)目背景、項(xiàng)目組織及開發(fā)歷程等四方面進(jìn)行《中國開源軟件治理指南》編寫方案介紹。

隨著開源技術(shù)被廣泛應(yīng)用，面臨的安全風(fēng)險(xiǎn)促使行業(yè)對于開源治理解決方案的需求不斷增加，在這一背景下，決定啟動《中國開源軟件治理指南》編寫項(xiàng)目。同時，張順表示，在指南編寫過程中，將會借鑒金融行業(yè)科技體系建設(shè)方面的經(jīng)驗(yàn)。

他指出，我們不僅只是為了寫一部書，而是要實(shí)現(xiàn)“1+3”個目標(biāo)。一是指南圖書編寫;二是形成一套開源軟件治理方法論體系;三是構(gòu)建一個開源軟件治理平臺和工具框架;四是提供一組開源軟件治理技術(shù)服務(wù)。

說到項(xiàng)目整體安排，張順介紹道：項(xiàng)目的進(jìn)程大體分為啟動、編寫、評審和發(fā)布等階段，計(jì)劃在2023年年底完成初稿撰寫，2024年第二季度發(fā)布并進(jìn)行最后項(xiàng)目收尾工作。

方案介紹結(jié)束，在全場嘉賓的見證下，工信部一所軟件所副所長李衛(wèi)、海通證券數(shù)據(jù)中心副總經(jīng)理王東、富國基金科技部總經(jīng)理李強(qiáng)、華訊網(wǎng)絡(luò)信創(chuàng)工程中心軟件開源治理技術(shù)總監(jiān)田雷以及《中國開源軟件治理指南》項(xiàng)目經(jīng)理張順共同啟動《中國開源軟件治理指南》編寫項(xiàng)目。

圓滿落幕

至此，新一代信息技術(shù)：開源軟件治理和服務(wù)峰會圓滿結(jié)束。

北京國家金融科技認(rèn)證中心由人民銀行所屬企業(yè)中國金融電子化集團(tuán)有限公司全資設(shè)立，自成立以來，始終圍繞“打造國際領(lǐng)先、國內(nèi)一流的檢測認(rèn)證機(jī)構(gòu)”的目標(biāo)，相繼研發(fā)推廣了認(rèn)證、檢測、安全和FinTech+等4大類主營業(yè)務(wù)。

此次大會，諸多優(yōu)秀行業(yè)用戶、權(quán)威專家與技術(shù)領(lǐng)袖，以主旨演講形式，向業(yè)界貢獻(xiàn)了開源軟件治理領(lǐng)域發(fā)展過程中的寶貴經(jīng)驗(yàn)。

北京國金認(rèn)證、ITSS分會、DCMG和雙態(tài)IT論壇等機(jī)構(gòu)將發(fā)揮各自力量，共同推動金融行業(yè)開源治理的發(fā)展，為更多的行業(yè)用戶提供最具價值的實(shí)踐參考。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）