聚焦開源軟件治理和服務 共論走向核心系統(tǒng)的開源合規(guī)與實踐之道

2023年6月10日下午，2023第五屆雙態(tài)IT北京用戶大會兩大主題峰會之一的“新一代信息技術：開源軟件治理和服務峰會”成功舉辦。本次峰會由北京國家金融科技認證中心指導，ITSS分會、雙態(tài)IT論壇主辦，ITSS數(shù)據中心運營管理組、ITSS媒體組協(xié)辦，共有來自央國企、金融等行業(yè)的150人到場出席。

如今，“開源”已經寫入國家“十四五”規(guī)劃，成為助力科技發(fā)展的熱詞，開源軟件獲得越來越廣泛和深入的應用。

包括金融在內的行業(yè)開始逐步采用開源技術來構建自己的信息系統(tǒng)，“開源軟件治理”這一話題逐步成為行業(yè)考慮的重點。

本次大會召開“新一代信息技術：開源軟件治理和服務峰會”，圍繞開源軟件治理現(xiàn)狀、發(fā)展趨勢及實踐、開源軟件治理解決方案等主題進行分享和交流探討。

會議開場，ITSS數(shù)據中心運營管理組組長肖建一為大會致辭，對本次峰會的舉辦表示祝賀。

近年來，開源技術快速發(fā)展，在云計算、移動互聯(lián)網、大數(shù)據等領域逐漸形成技術主流。

越來越多的廠商開始擁抱開源，將開源視為連接企業(yè)內外部開發(fā)者協(xié)同開發(fā)、構建軟件生態(tài)的強助力，包括金融在內的大型企業(yè)云集且對安全要求更高的行業(yè)也開始逐步采用開源技術構建新的信息系統(tǒng)，“開源軟件治理”逐步成為行業(yè)考慮的重心。

肖建一表示，希望北京國家金融科技認證中心、ITSS分會、ITSS數(shù)據中心運營管理工作組(DCMG)、雙態(tài)IT論壇組織策劃的此次峰會，能夠為參會嘉賓帶來一場思想的盛宴，實踐的盛宴!

標準和政策：安全和發(fā)展并重競爭和合作并存

國家工業(yè)信息安全發(fā)展研究中心軟件所副所長、證券基金行業(yè)信創(chuàng)聯(lián)盟WG10工作組組長李衛(wèi)發(fā)表“開源產業(yè)現(xiàn)狀和趨勢預判”主題演講，圍繞開源生態(tài)發(fā)展現(xiàn)狀、開源治理策略以及開源能力建設等關鍵問題展開介紹。

2021年，開源被首次寫入國家《”十四五”軟件和信息技術服務業(yè)發(fā)展規(guī)劃》，為開源發(fā)展提供指引和遵循。一是要加強開源代碼安全檢測，保障開源代碼組件供給安全;二是要培育和壯大市場主體，加快繁榮開源生態(tài)，提高產業(yè)集聚水平，形成多元、開放、共贏、可持續(xù)的產業(yè)?態(tài)。

李衛(wèi)指出，國家工業(yè)信息安全發(fā)展研究中心圍繞開源文化、開源基礎設施、開源項目和開源社區(qū)等方向開展工作，推動國內開源生態(tài)加速繁榮。未來，中心將進一步提升開源產業(yè)研究能力和技術儲備，在開源風險防范、開源安全合規(guī)等方面提出治理方案，為國內開源體系建設貢獻智慧和力量。

最后，他總結道：隨著各行業(yè)積極擁抱開源，開源的重要性愈發(fā)凸顯。未來開源發(fā)展，需要安全與發(fā)展并重：第一，要用好開源，讓開源為各行業(yè)科技工作、IT工作帶來更多創(chuàng)新，帶來更多效益的提升;第二，要把開源用安全，盡量減少開源后續(xù)帶來的安全合規(guī)風險。

國家金融科技認證中心實驗中心負責人李博文從金融開源現(xiàn)狀、行業(yè)指導意見、開源推進工作、未來工作展望四方面進行《金融行業(yè)開源應用探索與實踐》主題分享。

李博文指出，金融行業(yè)開源應用是一個從外圍向核心組件演化的過程?；ヂ?lián)網技術棧更多影響在場景，影響到渠道，近年來也影響核心金融系統(tǒng)分布式架構轉型。從整個行業(yè)現(xiàn)狀來看，金融逐步在從外圍向核心做開源技術的應用演進。

開源治理方面，國金認證積極開展開源治理體系研究及開源安全合規(guī)風險防范工作，推動金融行業(yè)開源工作的健康發(fā)展，助力金融機構、金融科技公司安全合規(guī)地應用開源技術、防范開源風險。同時，各金融機構積極參與實驗室相關工作，共同推進開源技術在金融行業(yè)合規(guī)發(fā)展。

他表示，金融機構之間存在業(yè)務上的競爭，但在技術上也可以有更好的協(xié)同。發(fā)展到現(xiàn)在，開源工作已經逐步走向體系化、規(guī)范化。對于金融行業(yè)的開源，國金認證會積極發(fā)揮行業(yè)平臺作用，打造基礎設施，同時也希望金融機構未來能夠在開源治理上越做越好，在開源的輸出上能夠逐步走出來，讓開源成為金融核心技術發(fā)展的新動力。

用戶實踐：擁抱開源 共談安全合規(guī)發(fā)展

近年來，開源軟件獲得越來越廣泛和深入的應用，“開源軟件治理”成為行業(yè)考慮的重點。本次峰會我們邀請到工銀科技、海通證券、銀聯(lián)云等行業(yè)專家進行開源軟件治理實踐分享。

工銀科技數(shù)字金融實驗室高級研究員韓旭以“中國工商銀行開源軟件管理體系建設實踐”為主題，從發(fā)展歷程、治理體系、系統(tǒng)工具支撐和成效展望四方面進行介紹。

韓旭指出，工行開源軟件治理體系逐步從碎片化的分散使用管理，探索開源軟件統(tǒng)一管理和應用方式，通過優(yōu)化完善評估流程、規(guī)范使用流程，提升研發(fā)運維效率，建立了具有專業(yè)化指引、可對標業(yè)界標準的管理體系。截至目前，已經在內部治理、產業(yè)建設、標準體系方面取得了成效。

展望未來，韓旭表示，工行將遵循“安全可控、合規(guī)使用、問題導向、開放創(chuàng)新”的基本原則，加強開源治理與協(xié)同創(chuàng)新，提升科技創(chuàng)新，加快數(shù)字化轉型。主要分為對內對外兩個方向，對內是完善開源治理體系，即提升自動化、全面化能力和加強人才儲備;對外則是參與開源生態(tài)建設，分別針對助力金融生態(tài)發(fā)展、促進開源標準建設以及賦能金融同業(yè)。

海通證券數(shù)據中心副總經理王東以“開源軟件治理探索和實踐”為主題進行分享，介紹了海通證券開展開源軟件治理的背景、在開源治理方面的探索和具體實踐，以及對開源治理的未來展望。

他指出，海通證券在開源治理方面的目標是：確保開源軟件的使用在組織內部得到有效的管理和控制，包括開源軟件的引入、審批、部署、維護和更新等，主要是解決合規(guī)和安全兩大風險?；谏鲜鰞纱箫L險，海通證券在開源軟件治理實踐過程中遵循規(guī)劃引領、平臺賦能、治理前移的探索思路。

展望未來，王東表示，希望共建高質量開源生態(tài)，要實現(xiàn)三個轉變：一是從盲目擁抱開源到擁抱有治理的開源的轉變，即在確保安全合規(guī)的同時，通過不斷優(yōu)化內部體系建設，從組織、制度、流程、工具等多方面保障使用開源及開源輸出風險可控;二是從擁抱全球的開源到中國式開源優(yōu)先的轉變，即建設我國產業(yè)力量主導的開源社區(qū)等方面積極作為，合理合法利用開源軟件，突破底層技術的壁壘，打造我國主導的開源價值鏈，構建完善的開源原生態(tài);三則是促進開源治理協(xié)同。

中國銀聯(lián)云計算中心高級總監(jiān)任明從銀聯(lián)云開源軟件概述、開源軟件治理模型、開源軟件治理體系以及銀聯(lián)云的具體實踐四方面進行《中國銀聯(lián)開源軟件治理和服務實踐》主題分享。

任明表示，從2012年開源技術引入到現(xiàn)在開源軟件持續(xù)發(fā)展，銀聯(lián)云始終貫徹執(zhí)行2021年人民銀行等五部委發(fā)布的《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》，堅持“強調自主掌控為要、自研開源雙線并舉”“增強治理管控安全、積極參與開源生態(tài)”的建設策略。

從開源治理規(guī)范上來講，銀聯(lián)云主要從制度建設、開源成熟評估模型、開源標準化建設以及開源技術引進四方面開展，銀聯(lián)云開源軟件治理體系主要針對制度建設、組織保障和流程管理。

拓寬開源治理方向 保障軟件供應鏈安全

行業(yè)內的開源治理除了行業(yè)側本身的努力外也離不開產業(yè)側的支持。

華訊網絡信創(chuàng)工程中心軟件開源治理技術總監(jiān)田雷以“開放生態(tài)下的安全合規(guī)之路-開源治理”為主題，從開源軟件風險模型、國內外開源治理現(xiàn)狀、華訊開源治理解決方案以及開源治理發(fā)展趨勢四方面進行分享。

華訊網絡基于目前開源軟件的應用態(tài)勢，提出以"輔助決策，步進治理"為主的工作策略，以"掌握、協(xié)調、順應"為主的治理手段，將開源軟件的質量、安全、合規(guī)完全嵌入到整個開發(fā)流程中，形成了“體系+工具+平臺+服務”的完整解決方案，能夠為處于開源治理各階段的客戶提供相應的服務與產品。

著眼于目前的研發(fā)業(yè)務來說，開源軟件治理方面的工作所占比重并不大，但隨著治理工作的推進，企業(yè)對開源治理的要求越來越高，華訊的開源軟件治理工作已經向SBOM、狀態(tài)、漏洞、數(shù)據、以鏈治鏈幾個方向進行拓展，以保障客戶軟件供應鏈安全。

《中國開源軟件治理指南》圖書編寫方案介紹暨啟動儀式

近年來，開源軟件獲得越來越廣泛和深入的應用，特別是正逐步被引入到企業(yè)的核心業(yè)務系統(tǒng)中。越來越多的機構認識到已經有必要從組織級的視角來認識和管理開源軟件，然而開源軟件治理目前還沒有公認的方法論，對此，策劃開展《中國開源軟件治理指南》編寫項目。

在“新一代信息技術：開源軟件治理和服務峰會”現(xiàn)場進行了《中國開源軟件治理指南》圖書編寫方案介紹暨啟動儀式。

《中國開源軟件治理指南》項目經理張順從項目背景、項目組織及開發(fā)歷程等四方面進行《中國開源軟件治理指南》編寫方案介紹。

隨著開源技術被廣泛應用，面臨的安全風險促使行業(yè)對于開源治理解決方案的需求不斷增加，在這一背景下，決定啟動《中國開源軟件治理指南》編寫項目。同時，張順表示，在指南編寫過程中，將會借鑒金融行業(yè)科技體系建設方面的經驗。

他指出，我們不僅只是為了寫一部書，而是要實現(xiàn)“1+3”個目標。一是指南圖書編寫;二是形成一套開源軟件治理方法論體系;三是構建一個開源軟件治理平臺和工具框架;四是提供一組開源軟件治理技術服務。

說到項目整體安排，張順介紹道：項目的進程大體分為啟動、編寫、評審和發(fā)布等階段，計劃在2023年年底完成初稿撰寫，2024年第二季度發(fā)布并進行最后項目收尾工作。

方案介紹結束，在全場嘉賓的見證下，工信部一所軟件所副所長李衛(wèi)、海通證券數(shù)據中心副總經理王東、富國基金科技部總經理李強、華訊網絡信創(chuàng)工程中心軟件開源治理技術總監(jiān)田雷以及《中國開源軟件治理指南》項目經理張順共同啟動《中國開源軟件治理指南》編寫項目。

圓滿落幕

至此，新一代信息技術：開源軟件治理和服務峰會圓滿結束。

北京國家金融科技認證中心由人民銀行所屬企業(yè)中國金融電子化集團有限公司全資設立，自成立以來，始終圍繞“打造國際領先、國內一流的檢測認證機構”的目標，相繼研發(fā)推廣了認證、檢測、安全和FinTech+等4大類主營業(yè)務。

此次大會，諸多優(yōu)秀行業(yè)用戶、權威專家與技術領袖，以主旨演講形式，向業(yè)界貢獻了開源軟件治理領域發(fā)展過程中的寶貴經驗。

北京國金認證、ITSS分會、DCMG和雙態(tài)IT論壇等機構將發(fā)揮各自力量，共同推動金融行業(yè)開源治理的發(fā)展，為更多的行業(yè)用戶提供最具價值的實踐參考。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）