四川新网银行信息科技总监 毛航

  开源代表着技术信息自由共享，已经成为产业互联网时代一种新的技术传播方式，在金融科技领域得到广泛应用。2021年，人民银行等五部门联合发布《关于规范金融业开源技术应用与发展的意见》，鼓励金融机构合理应用开源技术，建立健全开源技术应用管理制度体系，积极参与开源生态建设。

  作为新一代数字普惠银行，四川新网银行(以下简称“新网银行”)始终坚持“技术立行、创新驱动”的发展战略，致力于通过应用金融科技，服务普惠大众与实体经济。在该战略的指导下，新网银行积极拥抱开源技术，对内深化构建开源技术治理体系，基于开源技术的合理应用，不断提高金融科技应用水平与自主可控能力，有效支撑业务创新发展;对外加速推动开源创新生态建设，不断探索金融同业间实现开源技术开放与共享的可行方式。

  一、开源技术治理实践

  以服务业务发展为导向，新网银行在成立之初便着力构建和持续完善开源技术治理体系，在确保技术安全可控和业务稳定运行的前提下，为充分激发技术创新活力，结合自身特点，开展了一系列开源技术管理及应用领域的相关实践。

  1.目标规划

  新网银行以开源技术的合理应用、安全可控为目标，从以下三个方面构建开源技术治理体系(如图1所示)：一是确立组织机制，在信息科技部成立开源技术治理团队，明确各团队职责，构建分工合理、高效协同的开源技术治理组织架构;二是完善制度流程，建设开源技术全生命周期的制度规范和工作流程，对引入、推广、成熟使用、退出四个阶段进行治理，实现全流程闭环管理;三是构建工具平台，包含组件仓库、威胁情报、态势感知、资产测绘等，以工具赋能开源技术的高效治理。

图1 新网银行开源技术治理目标和体系

  2.组织机制建设

  在开源治理的整体框架下，新网银行组建了包括技术治理委员会、技术架构组、技术安全评估组、各专业研发团队等在内的专业化团队，通过内外部招聘吸收各专业人才，形成了分工合理、高效协同的开源技术治理组织架构(见表1)。

表1 新网银行开源技术治理组织架构

  3.制度流程建设实践

  针对开源技术引入、推广、成熟使用、退出的各个阶段，新网银行建立了一套完整的规章制度和流程，形成覆盖开源技术全生命周期的制度流程体系，并在日常运营过程中对制度流程进行持续优化。新网银行开源技术全生命周期管理如图2所示。

图2 新网银行开源技术全生命周期管理

  基于制度流程，新网银行在开源技术的选型和使用阶段明确了决策评估机制，针对意向引入的技术，综合核心功能、技术、兼容性等指标进行综合分析和组织决策;针对进入使用周期的技术，按季度从性能表现、故障告警频次、扩展性、断供风险等维度进行合理评估，对未通过评估的技术进行停用退出处理，并重新组织开展选型工作，制定替换方案和计划。2022年，新网银行共开展了7项开源技术准入决策，对20项使用中的技术进行运行评估，停用退出3项未通过评估的开源技术。

  基于开源技术的有效管理，新网银行建立了开源技术图谱，从技术类型和技术方向两个维度进行分类管理。其中，技术类型包括技术和方法类、工具和平台类、语言和框架类，技术方向分为基础设施、技术平台、开发工具。截至2022年底，新网银行开源技术图谱中共有技术和方法49项、工具和平台195项、语言和框架26项。

  4.开源安全治理

  新网银行以技术立行，在日常技术发展与创新中持续引入开源组件。据不完全统计，截至2022年底，新网银行引入的开源组件(含各类版本号)数量已近3万个。要想充分识别并有效控制开源组件中潜在的各类安全风险，保障信息系统安全，必须依赖数字化能力，以流程和工具为依托实现对开源组件的自动化分析。为此，新网银行基于DevSecOps理念左移安全能力，建设了覆盖组件安全威胁情报、组件安全扫描分析、信息系统安全测绘的平台工具系统，构建了覆盖开发测试、生产运行全流程的一体化开源组件安全治理能力(如图3所示)。具体流程包括：一是关注外部组件安全相关情报，如高危安全漏洞、包含恶意代码的开源组件，经内部评估后加入高危组件管控清单;二是在开源组件进入私有组件仓库或开发人员提交代码时，自动化开展高危组件检测、拦截，筛选安全性较高的组件，提高系统组件的安全性;三是通过开发阶段的组件分析，完善生产运行态信息系统的组件清单，及时进行安全监测和响应。

图3 新网银行开源技术安全治理能力体系

  5.应用现状

  通过数年的持续建设与实践应用，新网银行已经初步搭建了组织制度完备、作业流程规范、工具支撑赋能的开源治理体系。得益于该体系的持续良好运行，新网银行依托开源技术生态践行了自主可控的技术发展路线，有效支撑了业务场景灵活创新下的自主研发及系统建设需求。

  当前，新网银行已在业务应用、开发工具、中间件、数据库、资源编排、存储网络等各系统层级实现了开源技术的广泛应用，通过分析不同层级的技术特点和服务稳定需求，进行了有针对性的应用规划，形成了分层清晰、架构合理的整体技术架构(如图4所示)，在兼具技术灵活性和创新性的同时，保障了底层基础设施的安全性和稳定性。

图4 新网银行开源技术架构

  二、开源创新生态建设实践

  基于自身的开源技术治理实践，新网银行秉持“开放、共享、敏捷、安全”的原则，由内而外参与并推动开源创新生态的建设(如图5所示)，促进技术氛围更加活跃、形式更加丰富、水平不断提高：一是在内部运营开源技术，促进技术发展;二是对外举办主题活动，激发开源活力，提升企业吸引力;三是牵头产学研合作，促进技术研究成果转化;四是与同业进行业务和技术联动融合，实现合作共赢;五是参与社区实践，反哺开源社区。

图5 新网银行开源创新生态建设实施路径

  1.内部运营

  新网银行将企业内部作为一个开源社区持续运营，鼓励内部不同团队、各中心间开源共享，推动技术发展。在治理层面，完善内部开源治理体系，鼓励内部技术的应用和创新;在工具层面，构建代码共享、项目路演和知识管理平台，支撑开源成果的展示以及知识的沉淀;在组织层面，建立“粉太帮(FIN-TECH)”专项金融科技研究组织，下辖跨职能中心组建的大数据、云计算、人工智能、安全技术、移动互联、研发效能与质量保障等7个研究小组，负责各自领域的前沿技术研究及创新项目孵化，并定期对优秀开源创新项目和团队进行表彰，给予内部积分奖励。得益于内部开源体系的良好运营，“分布式序列号生成器”“通用对象存储SDK”“Java项目开发脚手架”等一系列优秀开源项目不断涌现，支撑了业务的创新发展。

  同时，新网银行注重对知识产权保护的研究与宣传，制定了开源技术知识产权保护策略和制度。截至2023年一季度末，全行共申请专利499项，其中发明专利472项。

  2.主题活动

  基于内部开源技术的运营与沉淀，新网银行面向各地大学生及IT从业者等群体多次牵头举办了黑客马拉松主题活动，累计吸引全球400多家高校及科技企业的3000余名选手参与，围绕“让‘文字的声音’被听到”“手机传感器数据识别使用者行为”等主题，涌现出6000余套算法作品。主题活动鼓励尝试与试错，不仅激发了开源创新活力、培育了创新孵化氛围，还吸引发掘了匹配度极高的外界优秀人才，助力菁英技术人才的引进与培养。

  3.产学研合作

  新网银行积极组织产学研合作，与高等院校、科技企业等开展交流与合作，提供实验资源、组建联合实验室，基于市场化原则开展开源技术联合研发和运营，促进开源技术成果转化;充分利用不同机构的优势，以人工智能、隐私计算、云原生、信创为主要研究方向，以落地实用为目标，开展技术创新研究。目前，新网银行已联合外部机构孵化了“智能客服原型系统-Bert模型的中文进化模型ERNIE”“负载均衡SSL中加密算法国产化技术实现”等诸多课题。

  4.业务和技术联动融合

  新网银行积极参与和推动金融同业间的技术开放与合作共享，从具体业务场景出发，以业务合作为基础，带动技术分享、共享，实现优势互补、互利共赢和共同发展。目前，以数字普惠信贷业务合作为基础，新网银行向业务合作伙伴提供了技术、系统层面的开放服务，并接受合作同业的技术建议，实现了在风控算法模型、隐私计算、大数据等技术领域特定形式的共享。其中，在反欺诈风控领域，新网银行基于多方安全计算技术尝试解决数据安全共享难题，并联合银联数据组建了“实时多头联盟”，在联盟内部共享技术成果。目前，已有银行以及消费金融、汽车金融等领域的100多家机构加入联盟，在共享的技术平台上携手开展更多数据共享场景的探索。

  5.社区实践

  开源社区实践需要较高的技术水平、资源投入。新网银行在成立初期更侧重于自身技术的发展与沉淀，对开源社区的参与度和贡献度较低。随着开源技术治理与开源生态建设实践的不断深入，新网银行的开源创新氛围逐渐活跃，自身技术水平有了一定提高，正努力成为开源技术的输出者和贡献者，积极参与社区实践，在充分了解和吸收社区文化的基础上，由浅入深，为开源技术共享作出贡献。

  三、积极探索，不断加深对开源的认识

  新网银行一直致力于技术的创新发展与自主可控，在持续探索和提升的过程中逐步加深了对开源的认识：一是选择开源不等于追求免费和低成本，引入和掌握开源技术所付出的人力投入、技术投入的综合成本只会比采购闭源的商业产品更高;二是接受开源不代表接受高风险，应基于治理体系的完善将其转化为自主可控的技术能力;三是拥抱开源其实是追求技术的卓越与自由，开源本质上是一种技术创新共享的文化、一种新的技术传播和传承方式，对开源技术的应用应秉持开放共享的理念，营造追求创新、追求卓越的氛围与文化。

  数字化转型与信创发展的道路仍然很漫长，新网银行将和所有的同行者一起，心怀希望、奋楫远航!