聚焦開(kāi)源軟件治理和服務(wù) 共論走向核心系統(tǒng)的開(kāi)源合規(guī)與實(shí)踐之道

2023年6月10日下午，2023第五屆雙態(tài)IT北京用戶大會(huì)兩大主題峰會(huì)之一的“新一代信息技術(shù)：開(kāi)源軟件治理和服務(wù)峰會(huì)”成功舉辦。本次峰會(huì)由北京國(guó)家金融科技認(rèn)證中心指導(dǎo)，ITSS分會(huì)、雙態(tài)IT論壇主辦，ITSS數(shù)據(jù)中心運(yùn)營(yíng)管理組、ITSS媒體組協(xié)辦，共有來(lái)自央國(guó)企、金融等行業(yè)的150人到場(chǎng)出席。

如今，“開(kāi)源”已經(jīng)寫(xiě)入國(guó)家“十四五”規(guī)劃，成為助力科技發(fā)展的熱詞，開(kāi)源軟件獲得越來(lái)越廣泛和深入的應(yīng)用。

包括金融在內(nèi)的行業(yè)開(kāi)始逐步采用開(kāi)源技術(shù)來(lái)構(gòu)建自己的信息系統(tǒng)，“開(kāi)源軟件治理”這一話題逐步成為行業(yè)考慮的重點(diǎn)。

本次大會(huì)召開(kāi)“新一代信息技術(shù)：開(kāi)源軟件治理和服務(wù)峰會(huì)”，圍繞開(kāi)源軟件治理現(xiàn)狀、發(fā)展趨勢(shì)及實(shí)踐、開(kāi)源軟件治理解決方案等主題進(jìn)行分享和交流探討。

會(huì)議開(kāi)場(chǎng)，ITSS數(shù)據(jù)中心運(yùn)營(yíng)管理組組長(zhǎng)肖建一為大會(huì)致辭，對(duì)本次峰會(huì)的舉辦表示祝賀。

近年來(lái)，開(kāi)源技術(shù)快速發(fā)展，在云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域逐漸形成技術(shù)主流。

越來(lái)越多的廠商開(kāi)始擁抱開(kāi)源，將開(kāi)源視為連接企業(yè)內(nèi)外部開(kāi)發(fā)者協(xié)同開(kāi)發(fā)、構(gòu)建軟件生態(tài)的強(qiáng)助力，包括金融在內(nèi)的大型企業(yè)云集且對(duì)安全要求更高的行業(yè)也開(kāi)始逐步采用開(kāi)源技術(shù)構(gòu)建新的信息系統(tǒng)，“開(kāi)源軟件治理”逐步成為行業(yè)考慮的重心。

肖建一表示，希望北京國(guó)家金融科技認(rèn)證中心、ITSS分會(huì)、ITSS數(shù)據(jù)中心運(yùn)營(yíng)管理工作組(DCMG)、雙態(tài)IT論壇組織策劃的此次峰會(huì)，能夠?yàn)閰?huì)嘉賓帶來(lái)一場(chǎng)思想的盛宴，實(shí)踐的盛宴!

標(biāo)準(zhǔn)和政策：安全和發(fā)展并重競(jìng)爭(zhēng)和合作并存

國(guó)家工業(yè)信息安全發(fā)展研究中心軟件所副所長(zhǎng)、證券基金行業(yè)信創(chuàng)聯(lián)盟WG10工作組組長(zhǎng)李衛(wèi)發(fā)表“開(kāi)源產(chǎn)業(yè)現(xiàn)狀和趨勢(shì)預(yù)判”主題演講，圍繞開(kāi)源生態(tài)發(fā)展現(xiàn)狀、開(kāi)源治理策略以及開(kāi)源能力建設(shè)等關(guān)鍵問(wèn)題展開(kāi)介紹。

2021年，開(kāi)源被首次寫(xiě)入國(guó)家《”十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》，為開(kāi)源發(fā)展提供指引和遵循。一是要加強(qiáng)開(kāi)源代碼安全檢測(cè)，保障開(kāi)源代碼組件供給安全;二是要培育和壯大市場(chǎng)主體，加快繁榮開(kāi)源生態(tài)，提高產(chǎn)業(yè)集聚水平，形成多元、開(kāi)放、共贏、可持續(xù)的產(chǎn)業(yè)?態(tài)。

李衛(wèi)指出，國(guó)家工業(yè)信息安全發(fā)展研究中心圍繞開(kāi)源文化、開(kāi)源基礎(chǔ)設(shè)施、開(kāi)源項(xiàng)目和開(kāi)源社區(qū)等方向開(kāi)展工作，推動(dòng)國(guó)內(nèi)開(kāi)源生態(tài)加速繁榮。未來(lái)，中心將進(jìn)一步提升開(kāi)源產(chǎn)業(yè)研究能力和技術(shù)儲(chǔ)備，在開(kāi)源風(fēng)險(xiǎn)防范、開(kāi)源安全合規(guī)等方面提出治理方案，為國(guó)內(nèi)開(kāi)源體系建設(shè)貢獻(xiàn)智慧和力量。

最后，他總結(jié)道：隨著各行業(yè)積極擁抱開(kāi)源，開(kāi)源的重要性愈發(fā)凸顯。未來(lái)開(kāi)源發(fā)展，需要安全與發(fā)展并重：第一，要用好開(kāi)源，讓開(kāi)源為各行業(yè)科技工作、IT工作帶來(lái)更多創(chuàng)新，帶來(lái)更多效益的提升;第二，要把開(kāi)源用安全，盡量減少開(kāi)源后續(xù)帶來(lái)的安全合規(guī)風(fēng)險(xiǎn)。

國(guó)家金融科技認(rèn)證中心實(shí)驗(yàn)中心負(fù)責(zé)人李博文從金融開(kāi)源現(xiàn)狀、行業(yè)指導(dǎo)意見(jiàn)、開(kāi)源推進(jìn)工作、未來(lái)工作展望四方面進(jìn)行《金融行業(yè)開(kāi)源應(yīng)用探索與實(shí)踐》主題分享。

李博文指出，金融行業(yè)開(kāi)源應(yīng)用是一個(gè)從外圍向核心組件演化的過(guò)程。互聯(lián)網(wǎng)技術(shù)棧更多影響在場(chǎng)景，影響到渠道，近年來(lái)也影響核心金融系統(tǒng)分布式架構(gòu)轉(zhuǎn)型。從整個(gè)行業(yè)現(xiàn)狀來(lái)看，金融逐步在從外圍向核心做開(kāi)源技術(shù)的應(yīng)用演進(jìn)。

開(kāi)源治理方面，國(guó)金認(rèn)證積極開(kāi)展開(kāi)源治理體系研究及開(kāi)源安全合規(guī)風(fēng)險(xiǎn)防范工作，推動(dòng)金融行業(yè)開(kāi)源工作的健康發(fā)展，助力金融機(jī)構(gòu)、金融科技公司安全合規(guī)地應(yīng)用開(kāi)源技術(shù)、防范開(kāi)源風(fēng)險(xiǎn)。同時(shí)，各金融機(jī)構(gòu)積極參與實(shí)驗(yàn)室相關(guān)工作，共同推進(jìn)開(kāi)源技術(shù)在金融行業(yè)合規(guī)發(fā)展。

他表示，金融機(jī)構(gòu)之間存在業(yè)務(wù)上的競(jìng)爭(zhēng)，但在技術(shù)上也可以有更好的協(xié)同。發(fā)展到現(xiàn)在，開(kāi)源工作已經(jīng)逐步走向體系化、規(guī)范化。對(duì)于金融行業(yè)的開(kāi)源，國(guó)金認(rèn)證會(huì)積極發(fā)揮行業(yè)平臺(tái)作用，打造基礎(chǔ)設(shè)施，同時(shí)也希望金融機(jī)構(gòu)未來(lái)能夠在開(kāi)源治理上越做越好，在開(kāi)源的輸出上能夠逐步走出來(lái)，讓開(kāi)源成為金融核心技術(shù)發(fā)展的新動(dòng)力。

用戶實(shí)踐：擁抱開(kāi)源 共談安全合規(guī)發(fā)展

近年來(lái)，開(kāi)源軟件獲得越來(lái)越廣泛和深入的應(yīng)用，“開(kāi)源軟件治理”成為行業(yè)考慮的重點(diǎn)。本次峰會(huì)我們邀請(qǐng)到工銀科技、海通證券、銀聯(lián)云等行業(yè)專家進(jìn)行開(kāi)源軟件治理實(shí)踐分享。

工銀科技數(shù)字金融實(shí)驗(yàn)室高級(jí)研究員韓旭以“中國(guó)工商銀行開(kāi)源軟件管理體系建設(shè)實(shí)踐”為主題，從發(fā)展歷程、治理體系、系統(tǒng)工具支撐和成效展望四方面進(jìn)行介紹。

韓旭指出，工行開(kāi)源軟件治理體系逐步從碎片化的分散使用管理，探索開(kāi)源軟件統(tǒng)一管理和應(yīng)用方式，通過(guò)優(yōu)化完善評(píng)估流程、規(guī)范使用流程，提升研發(fā)運(yùn)維效率，建立了具有專業(yè)化指引、可對(duì)標(biāo)業(yè)界標(biāo)準(zhǔn)的管理體系。截至目前，已經(jīng)在內(nèi)部治理、產(chǎn)業(yè)建設(shè)、標(biāo)準(zhǔn)體系方面取得了成效。

展望未來(lái)，韓旭表示，工行將遵循“安全可控、合規(guī)使用、問(wèn)題導(dǎo)向、開(kāi)放創(chuàng)新”的基本原則，加強(qiáng)開(kāi)源治理與協(xié)同創(chuàng)新，提升科技創(chuàng)新，加快數(shù)字化轉(zhuǎn)型。主要分為對(duì)內(nèi)對(duì)外兩個(gè)方向，對(duì)內(nèi)是完善開(kāi)源治理體系，即提升自動(dòng)化、全面化能力和加強(qiáng)人才儲(chǔ)備;對(duì)外則是參與開(kāi)源生態(tài)建設(shè)，分別針對(duì)助力金融生態(tài)發(fā)展、促進(jìn)開(kāi)源標(biāo)準(zhǔn)建設(shè)以及賦能金融同業(yè)。

海通證券數(shù)據(jù)中心副總經(jīng)理王東以“開(kāi)源軟件治理探索和實(shí)踐”為主題進(jìn)行分享，介紹了海通證券開(kāi)展開(kāi)源軟件治理的背景、在開(kāi)源治理方面的探索和具體實(shí)踐，以及對(duì)開(kāi)源治理的未來(lái)展望。

他指出，海通證券在開(kāi)源治理方面的目標(biāo)是：確保開(kāi)源軟件的使用在組織內(nèi)部得到有效的管理和控制，包括開(kāi)源軟件的引入、審批、部署、維護(hù)和更新等，主要是解決合規(guī)和安全兩大風(fēng)險(xiǎn)?；谏鲜鰞纱箫L(fēng)險(xiǎn)，海通證券在開(kāi)源軟件治理實(shí)踐過(guò)程中遵循規(guī)劃引領(lǐng)、平臺(tái)賦能、治理前移的探索思路。

展望未來(lái)，王東表示，希望共建高質(zhì)量開(kāi)源生態(tài)，要實(shí)現(xiàn)三個(gè)轉(zhuǎn)變：一是從盲目擁抱開(kāi)源到擁抱有治理的開(kāi)源的轉(zhuǎn)變，即在確保安全合規(guī)的同時(shí)，通過(guò)不斷優(yōu)化內(nèi)部體系建設(shè)，從組織、制度、流程、工具等多方面保障使用開(kāi)源及開(kāi)源輸出風(fēng)險(xiǎn)可控;二是從擁抱全球的開(kāi)源到中國(guó)式開(kāi)源優(yōu)先的轉(zhuǎn)變，即建設(shè)我國(guó)產(chǎn)業(yè)力量主導(dǎo)的開(kāi)源社區(qū)等方面積極作為，合理合法利用開(kāi)源軟件，突破底層技術(shù)的壁壘，打造我國(guó)主導(dǎo)的開(kāi)源價(jià)值鏈，構(gòu)建完善的開(kāi)源原生態(tài);三則是促進(jìn)開(kāi)源治理協(xié)同。

中國(guó)銀聯(lián)云計(jì)算中心高級(jí)總監(jiān)任明從銀聯(lián)云開(kāi)源軟件概述、開(kāi)源軟件治理模型、開(kāi)源軟件治理體系以及銀聯(lián)云的具體實(shí)踐四方面進(jìn)行《中國(guó)銀聯(lián)開(kāi)源軟件治理和服務(wù)實(shí)踐》主題分享。

任明表示，從2012年開(kāi)源技術(shù)引入到現(xiàn)在開(kāi)源軟件持續(xù)發(fā)展，銀聯(lián)云始終貫徹執(zhí)行2021年人民銀行等五部委發(fā)布的《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》，堅(jiān)持“強(qiáng)調(diào)自主掌控為要、自研開(kāi)源雙線并舉”“增強(qiáng)治理管控安全、積極參與開(kāi)源生態(tài)”的建設(shè)策略。

從開(kāi)源治理規(guī)范上來(lái)講，銀聯(lián)云主要從制度建設(shè)、開(kāi)源成熟評(píng)估模型、開(kāi)源標(biāo)準(zhǔn)化建設(shè)以及開(kāi)源技術(shù)引進(jìn)四方面開(kāi)展，銀聯(lián)云開(kāi)源軟件治理體系主要針對(duì)制度建設(shè)、組織保障和流程管理。

拓寬開(kāi)源治理方向 保障軟件供應(yīng)鏈安全

行業(yè)內(nèi)的開(kāi)源治理除了行業(yè)側(cè)本身的努力外也離不開(kāi)產(chǎn)業(yè)側(cè)的支持。

華訊網(wǎng)絡(luò)信創(chuàng)工程中心軟件開(kāi)源治理技術(shù)總監(jiān)田雷以“開(kāi)放生態(tài)下的安全合規(guī)之路-開(kāi)源治理”為主題，從開(kāi)源軟件風(fēng)險(xiǎn)模型、國(guó)內(nèi)外開(kāi)源治理現(xiàn)狀、華訊開(kāi)源治理解決方案以及開(kāi)源治理發(fā)展趨勢(shì)四方面進(jìn)行分享。

華訊網(wǎng)絡(luò)基于目前開(kāi)源軟件的應(yīng)用態(tài)勢(shì)，提出以"輔助決策，步進(jìn)治理"為主的工作策略，以"掌握、協(xié)調(diào)、順應(yīng)"為主的治理手段，將開(kāi)源軟件的質(zhì)量、安全、合規(guī)完全嵌入到整個(gè)開(kāi)發(fā)流程中，形成了“體系+工具+平臺(tái)+服務(wù)”的完整解決方案，能夠?yàn)樘幱陂_(kāi)源治理各階段的客戶提供相應(yīng)的服務(wù)與產(chǎn)品。

著眼于目前的研發(fā)業(yè)務(wù)來(lái)說(shuō)，開(kāi)源軟件治理方面的工作所占比重并不大，但隨著治理工作的推進(jìn)，企業(yè)對(duì)開(kāi)源治理的要求越來(lái)越高，華訊的開(kāi)源軟件治理工作已經(jīng)向SBOM、狀態(tài)、漏洞、數(shù)據(jù)、以鏈治鏈幾個(gè)方向進(jìn)行拓展，以保障客戶軟件供應(yīng)鏈安全。

《中國(guó)開(kāi)源軟件治理指南》圖書(shū)編寫(xiě)方案介紹暨啟動(dòng)儀式

近年來(lái)，開(kāi)源軟件獲得越來(lái)越廣泛和深入的應(yīng)用，特別是正逐步被引入到企業(yè)的核心業(yè)務(wù)系統(tǒng)中。越來(lái)越多的機(jī)構(gòu)認(rèn)識(shí)到已經(jīng)有必要從組織級(jí)的視角來(lái)認(rèn)識(shí)和管理開(kāi)源軟件，然而開(kāi)源軟件治理目前還沒(méi)有公認(rèn)的方法論，對(duì)此，策劃開(kāi)展《中國(guó)開(kāi)源軟件治理指南》編寫(xiě)項(xiàng)目。

在“新一代信息技術(shù)：開(kāi)源軟件治理和服務(wù)峰會(huì)”現(xiàn)場(chǎng)進(jìn)行了《中國(guó)開(kāi)源軟件治理指南》圖書(shū)編寫(xiě)方案介紹暨啟動(dòng)儀式。

《中國(guó)開(kāi)源軟件治理指南》項(xiàng)目經(jīng)理張順從項(xiàng)目背景、項(xiàng)目組織及開(kāi)發(fā)歷程等四方面進(jìn)行《中國(guó)開(kāi)源軟件治理指南》編寫(xiě)方案介紹。

隨著開(kāi)源技術(shù)被廣泛應(yīng)用，面臨的安全風(fēng)險(xiǎn)促使行業(yè)對(duì)于開(kāi)源治理解決方案的需求不斷增加，在這一背景下，決定啟動(dòng)《中國(guó)開(kāi)源軟件治理指南》編寫(xiě)項(xiàng)目。同時(shí)，張順表示，在指南編寫(xiě)過(guò)程中，將會(huì)借鑒金融行業(yè)科技體系建設(shè)方面的經(jīng)驗(yàn)。

他指出，我們不僅只是為了寫(xiě)一部書(shū)，而是要實(shí)現(xiàn)“1+3”個(gè)目標(biāo)。一是指南圖書(shū)編寫(xiě);二是形成一套開(kāi)源軟件治理方法論體系;三是構(gòu)建一個(gè)開(kāi)源軟件治理平臺(tái)和工具框架;四是提供一組開(kāi)源軟件治理技術(shù)服務(wù)。

說(shuō)到項(xiàng)目整體安排，張順介紹道：項(xiàng)目的進(jìn)程大體分為啟動(dòng)、編寫(xiě)、評(píng)審和發(fā)布等階段，計(jì)劃在2023年年底完成初稿撰寫(xiě)，2024年第二季度發(fā)布并進(jìn)行最后項(xiàng)目收尾工作。

方案介紹結(jié)束，在全場(chǎng)嘉賓的見(jiàn)證下，工信部一所軟件所副所長(zhǎng)李衛(wèi)、海通證券數(shù)據(jù)中心副總經(jīng)理王東、富國(guó)基金科技部總經(jīng)理李強(qiáng)、華訊網(wǎng)絡(luò)信創(chuàng)工程中心軟件開(kāi)源治理技術(shù)總監(jiān)田雷以及《中國(guó)開(kāi)源軟件治理指南》項(xiàng)目經(jīng)理張順共同啟動(dòng)《中國(guó)開(kāi)源軟件治理指南》編寫(xiě)項(xiàng)目。

圓滿落幕

至此，新一代信息技術(shù)：開(kāi)源軟件治理和服務(wù)峰會(huì)圓滿結(jié)束。

北京國(guó)家金融科技認(rèn)證中心由人民銀行所屬企業(yè)中國(guó)金融電子化集團(tuán)有限公司全資設(shè)立，自成立以來(lái)，始終圍繞“打造國(guó)際領(lǐng)先、國(guó)內(nèi)一流的檢測(cè)認(rèn)證機(jī)構(gòu)”的目標(biāo)，相繼研發(fā)推廣了認(rèn)證、檢測(cè)、安全和FinTech+等4大類主營(yíng)業(yè)務(wù)。

此次大會(huì)，諸多優(yōu)秀行業(yè)用戶、權(quán)威專家與技術(shù)領(lǐng)袖，以主旨演講形式，向業(yè)界貢獻(xiàn)了開(kāi)源軟件治理領(lǐng)域發(fā)展過(guò)程中的寶貴經(jīng)驗(yàn)。

北京國(guó)金認(rèn)證、ITSS分會(huì)、DCMG和雙態(tài)IT論壇等機(jī)構(gòu)將發(fā)揮各自力量，共同推動(dòng)金融行業(yè)開(kāi)源治理的發(fā)展，為更多的行業(yè)用戶提供最具價(jià)值的實(shí)踐參考。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）