《金融行业开源治理白皮书v2》由会员分享,可在线阅读,更多相关《金融行业开源治理白皮书v2(38页珍藏版)》请在金锄头文库上搜索。
1、金融行业开源治理白皮书目 录一、开源技术迅猛发展推动企业引入开源11、 开源已在多个重要领域成为主流12、 企业用户引入开源技术不可避免2二、金融行业采用开源技术已成趋势61、 开源技术是构建信息系统的重要选择62、 选择开源技术对金融机构意义重大8三、引入开源的风险日益凸显不容忽视111、 缺乏技术能力是企业用户的重要痛点112、 是否引入开源软件难以完全准确统计123、 开源软件隐含的安全风险较为显著134、 使用过程中是否遵守开源约定未知145、 开源软件上游供应链存在不确定性146、 开源软件的知识产权风险易被忽略15四、金融行业开源治理建议161、 推广产业开源科普,树立开源风险意识
2、162、 建立金融开源社区,增进同业交流沟通173、 梳理开源治理规范,推动相关标准制定184、 建设开源治理体系,规范开源软件引入19附录 金融机构开源治理实践案例23中国农业银行23上海浦东发展银行26中信银行开源30中国太平洋保险(集团)32前言近几年开源技术快速发展,金融行业在构建信息系统过程中不可 避免涉及开源技术的引入和使用。开源一方面可以突破技术壁垒推动 金融机构技术创新和业务发展,另一方面也不可避免的带来知识产权、信息安全等一系列问题。金融作为涉及关乎国民经济的关键行业,面 临与其他行业相比更为严苛的监管要求。如何在遵循开源义务要求的 前提下规范地使用开源技术,从而最大化减少使
3、用开源带来的风险, 是金融机构构建信息系统过程中必然面临的问题。金融行业开源治理白皮书首先介绍企业用户引入开源技术的背景,阐述开源技术对金融行业的重要意义,重点梳理引入开源可能导致的风险,并对金融行业在开源治理方面可以采取的措施给出了建议,最后附录了参与白皮书撰写企业的开源治理实践案例。金融行业开源治理白皮书一、开源技术迅猛发展推动企业引入开源近几年开源技术快速发展,在云计算、移动互联网、大数据等领域逐渐形成技术主流。开源技术正在渗透软件领域的方方面面,企业用户已经越来越难以规避开源的引入。与此同时,开源的迅猛发展也推动企业从购买闭源商业软件转向关注和使用开源软件。整体而言,不论企业是否接受,
4、开源已经从事实上成为了一种不可阻挡的趋势。1、 开源已在多个重要领域成为主流开源推动软件生产模式向多人协作方向发展。相比于闭源软件封闭式的开发模式,开源软件开放式的生产模式推动更多人参与到软件的创造之中。最初,大多数自由和开源软件项目的贡献者通过电子邮件或私有的版本控制系统(如 Subversion 或BitKeeper)进行协作。诞生于 2008 年的 GitHub 改变了这一情况,GitHub 提供使用 Git 进行版本控制的软件源代码托管服务, 使更多开发者能够更方便地参与开源项目,进一步推动开源软件 生产效率和生产质量的提升。GitHub 的出现改变了开源软件的协作模式,开发者不再需要
5、先获得开发者社区的权限才能参与开源项目,这种多人协作的软件生产模式大大推动了开源软件市场的发展壮大。36开源软件已经逐步形成强大的生态链条。21 世纪之前,软件世界以闭源为主,“闭源”与“收费”成为软件市场的主流, IBM、甲骨文、EMC 为核心的软硬件产品是金融行业用户的主要选择。90 年代末,开源软件从对商业软件的模仿开始兴起,如: Linux(对应微软的 Windows 操作系统)、OpenOffice(对应微软的Office)、FuseESB(对应 IBM ESB 和 Oracle ESB)等等。从 00年代到现在,开源软件在市场上已经逐步与闭源软件平分秋色。近年来,随着 IT 产业逐
6、渐向服务化转型,开源已经成为 ICT 产业发展的重要趋势,在移动互联网、云计算、大数据、人工智能等诸多重要领域成为主流技术形态,如:移动互联网领域的Android,云计算领域的 OpenStack、Kubernetes(k8s),大数据领域的 Hadoop,人工智能领域的 Tensorflow 等。以上领域的技术更新迭代速度较快,企业用户在选择相关领域技术时,可能存在没有商业产品可供选择,只能被迫采用开源技术的现象。2、 企业用户引入开源技术不可避免随着开源技术快速形成生态,企业用户引入开源技术已成大势所趋。一方面,开源技术已经在大数据、云计算等重要领域形成技术主流,开源软件覆盖软件生态的诸多
7、方面;另一方面开源代码规模正在飞速增长,截至 2018 年 9 月,开源代码托管平台GitHub 上已经有 9600 多万个库,相比去年也增长了 40% 以上。由此可见,开源软件已经成为软件生态的重要且不可替代的组成部分,不论管理者是否知悉,企业内部在很大概率上都已经引入了开源相关的技术,具体有以下三种引入形式:1) 所购买或使用的商业软件,隐含开源组件或代码在开源软件兴起之前,大多数企业一般会选择购买商业软件, 因为这种购买行为对于企业而言是“公对公”的,大企业内部一 般都有规范的采购流程,企业负责人也认为商业软件的售后有所 保障。然而,并不是购买了商业软件就意味着不用关心开源。实际上,很多
8、商业软件是基于开源做二次开发后以闭源形式提供给用户的,但用户一般只知道自己购买了商业软件,而对其中可能涉及的开源风险一无所知。如果用户没有特殊要求,商业软件供应商一般不会说明是否涉及开源软件,而用户一般不能直接接触到软件的源代码。因此, 用户很可能被动的就引入了开源软件,即使想遵守开源规则也无从下手。虽然企业用户确实购买了商业软件,但商业软件中却有可能包含开源的成分,用户很可能在不知情的情况下使用了开源而不自知。从这个角度来说,很多时候并不是企业用户主动选择了开源,而是被动使用了开源之后才意识到了解开源的重要性。2) 购买基于开源软件的商业版本很多时候企业觉得自己购买了商业软件,然而实际上却往
9、往是开源的商业版或者是发行版。目前已知的 Linux 发行版就有300 多种,其中就有比较成功的商业发行版如:redhat、SUSe、Ubuntu 等;全球范围内基于 OpenStack 提供支持和服务的企业超过 150 家, 根据 OpenStack 基金会发起的第 11 次全球OpenStack 用户调查显示,华为、红帽、 EasyStack(易捷行云) 是 2018 年排名前三甲的 OpenStack 软件供应商;大数据领域的Hadoop 除了 Apache 的版本之外,华为发行版、Intel 发行版、Cloudera 发行版和 DKhadoop 发行版均有广泛应用,其中很多发行版都是收
10、费的商业软件。基于开源的商业版通常有两种情况,一种是双许可证,一种是依商业许可重新发行。所谓的双许可证是指其软件是基于开源许可证的,但是还有不同的许可条款。用户可以无偿使用无须付费的、开源的版本, 这仍然属于商业版本的一部分,若用户有进一步的需求,诸如商业的技术支持和服务则需要另行付费。作为全球领先的数据库软件,MySQL 产品采取了开源许可与私有许可的双重许可模式。MySQL 公司对产品代码拥有完整的著作权(copyright)。在开源许可之下,软件的源代码完全公开,任何人都可以下载 MySQL 软件来使用、修改和传播。如果某商业客户希望在其商业软件中集成 MySQL 并保持原有软件的私有性
11、,那么必须选择私有许可,即向 MySQL 公司支付一定的许可费。采用混合许可的优点在于通过许可协议差异化来最大化产品网络外部性带来的收益。而依商业许可重新发行则是指一些宽松的许可证,如 Apache、BSD 等,是允许以商业且闭源的方式二次发行的。这其中最为著名的例子就是苹果公司的 MacOSX 操作系统,其内核是使用的 BSDUnix,但是其二次发行也是顺理成章。这样的方式,也是我们本土常见的方式,比如 OpenStack 采用是非常宽松的 Apache 协议, 再次商业发行,包括自己修改的、新增的代码是可以不开源的。3) 直接使用社区版开源软件目前,开源软件已经覆盖了软件生态的诸多方面,操
12、作系统有 Linux 以开源形式提供,数据库 MySQL、MongoDB 等,云计算领域的 OpenStack 和 Kubernetes(k8s)都是开源技术,新兴领域如区块链技术基本是完全建立在开源的基础上的。一方面,开源软件更新速度快,相比于商业软件技术迭代速度更快,很多新技术往往都是从开源软件开始,市场广泛认可之后才逐步产生一些商业软件或商业服务。很多时候并不是工程师主动选择了开源,而是因为开源软件的生态相比于商业软件要庞大数倍,使用者只能被动选择开源;另一方面,开源软件代码公开容易获取,对于企业的工程师而言,大到采用能够独立部署独立运行的软件,小到将 GitHub 上的一段开源代码复制
13、粘贴到自己的代码中,其实都涉及到使用开源的问题。开源软件已经成为软件生态不可或缺的重要组成部分,很多时候企业经常会直接使用开源软件的社区版,或者直接使用GitHub 上的组件/代码片段,这些都属于使用了开源。从这个角度来看,开源已经渗透到了企业信息系统的各个角落,企业对于开源的使用是无处不在且不可逆转的。二、金融行业采用开源技术已成趋势开源软件市场巨大,从基础软件到应用软件都充斥着大量的开源软件。受金融机构转型推动和生态合作伙伴影响,为满足金融用户的实际需求,开源技术已经逐步成为金融机构构建信息系统的重要选择。金融行业采用开源技术已经成为一种趋势,开源技术可以助力金融机构提高科技实力、协助保障
14、信息系统安全、进一步推动企业科技创新和业务创新。1、 开源技术是构建信息系统的重要选择金融行业相比于新兴的互联网等行业面临更严格的监管要求,因此在引入开源软件方面一直相对慎重。开源技术大规模兴起之前,金融行业往往通过正规采购流程购买商业软件,以满足本企业在信息系统构建方面的需求。随着时代的变迁和技术的进步,金融机构的 IT 技术方案逐渐从闭源走向开源。金融行业选择开源技术的原因主要有以下三点:第一,提高敏捷开发效率,满足金融用户需求。随着互联网公司涉足金融领域并开启移动支付时代,目前我国移动支付规模已经稳居全球第一,并逐渐向世界各国拓展。面对金融用户需求和使用习惯的变化,传统金融机构已经无法完
15、全满足用户需求, 互联网金融、数字金融、金融科技等概念纷纷出现,传统金融机构开始创建金融科技公司或成立金融科技部门,金融行业逐步向互联网敏捷开发方向发展。在此过程中,开源技术的引入可以大大提高开发效率和迭代速度,帮助金融机构快速推动业务创新, 进一步满足金融用户的需求。第二,加速海量数据处理,推动金融机构转型。在大规模、高并发、渠道类应用日益增多的互联网金融背景下,金融机构面临向数字化、智能化方向转型的要求。与此同时,机构内海量数据处理、分析需求开始增多,而开源技术可以帮助金融企业构建更敏捷高效、精细化管理、可管可控以及可扩展的 IT 系统,进一步推动金融机构的转型和创新。第三,主动拥抱开源技术,助力生态伙伴合作。金融机构并 不是独立存在的个体,其生态链条上存在各种类型的合作伙伴企 业。从供应角度来看,金融机构与科技公司存在密不可分的关系, 也不可避免地会受到科技公司在技术方面的影响。鉴于目前开源 技术在科技公司当中应用的广泛性,金融机构不可避免会涉及到 相关技术,这一变化也将推动传统金融机构逐步从封闭走向开放, 进一步促进金融行业转型与发展。从开源技术的应用与发展角度来看,十年前,操作系统主要是 AIX、HPUnix 等,存储以 EMC、HP 为主,中间件使用
