上海银行金融科技部上海开发测试中心副总经理 陈小敏

  数字化时代，商业银行积极推动数字化转型。在这一过程中，开源技术以其开放并蓄、迭代迅速的优点扮演着越来越重要的角色。人民银行等五部门2021年发布的《关于规范金融业开源技术应用与发展的意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划，建立健全开源技术应用管理制度体系，积极参与开源生态建设。为响应政策号召，上海银行总结过往开源软件使用经验，探索出一套充分利用开源技术优势，同时也有效防范使用风险的开源技术管理办法。

一、开源技术带来的机遇

  1.助力金融创新，拓宽技术道路

  近年来，开源技术正以惊人的速度蓬勃发展，在人工智能、云计算、区块链等新兴技术领域，开源项目占比超过半数，同时开源软件也覆盖了常见的操作系统、数据库等基础设施领域。可以说，数字化时代，开源技术栈占据着举足轻重的地位。而如此多样化的开源技术，为商业银行提供了金融创新的绝佳土壤，使得商业银行可以摆脱过去单一的技术路线，减少对某些技术的路径依赖，在拓宽技术的道路上拥有更多的选择。

  2.快速构建生态，响应客户需求

  随着金融科技的发展，商业银行的业务范围早已不仅仅局限在传统的存贷款服务，开放包容、互联互通的数字经济对商业银行提出了更高的要求。而开源这一从诞生之初便将开放共赢刻在基因里的技术，无疑完美契合了当下时代发展的趋势。商业银行利用各种开源技术可以大大缩短开发周期，快速响应客户的各种需求，同时有效控制成本，构建出一套多元化且高效的生态系统。

二、开源治理面临的挑战

  丰富多样的开源生态带来了巨大的管理压力，商业银行在紧抓机遇的同时，也不可避免地面临着技术和运维风险、安全和数据风险、知识和合规产权风险以及管理风险等多重挑战。

  1.技术和运维风险

  由于很多开源软件没有商业盈利模式，所以在产品服务及技术支持能力上存在一定的不足。商业银行在使用开源软件时，往往需要自行解决开发运维问题，这无疑增加了商业银行的成本和系统风险。而很多商业银行的技术运维队伍在数量和经验积累上具有一定的局限性，解决相应运维问题有一定难度。此外，日益复杂的国际形势也对很多开源软件的国内外供应链带来较大影响。

  2.安全和数据风险

  开源软件因其开放的特点，在安全性上存在天然不足，这也正是很多开源软件提出免责声明的重要原因。同时，一部分开源软件的技术指标也不一定能达到商业银行的使用要求，因此商业银行使用开源软件势必会面临持续增多的安全漏洞、数据泄露等问题，如何解决这类问题也是商业银行治理开源软件的重中之重。

  3.知识和合规产权风险

  开源软件虽然代码公开，但是开源许可证一样是具有法律效力的合同。因此，商业银行使用开源软件时需清晰了解开源许可证的适用范围。近年来，因开源许可证遵从问题而引发的知识产权纠纷屡见不鲜，其原因就在于开源背后的许可问题专业性较强，稍有不慎就会使商业银行面临法律合规风险，这对商业银行的专业合规人员提出了很高的要求。

  4.管理风险

  开源软件相较于传统软件有着更为复杂的上游供应链，商业银行使用开源软件需要面对很多错综复杂的管理问题。很多开源组件通过组合、依赖等多种形式形成了供应关系，商业银行作为开源软件的使用者往往很难理清其中的脉络。而缺乏体系的治理工作难以覆盖使用过程中的方方面面，给管理带来较大风险。

三、上海银行开源治理实践

  对开源软件进行有效治理已逐渐成为金融行业的共识。为管控风险，上海银行根据自身情况，结合开源治理方法论，探索出一套开源软件管理和应用的新模式。该模式帮助上海银行在安全、合规、高效地管理使用开源软件的道路上坚定前行。

  1.搭建组织管理架构，明确开源治理分工

  上海银行从管理的角度搭建与开源治理相关的组织架构，明确开源治理分工，将开源治理的工作和责任具体落实到个人。其中主要涉及的团队包括：开源决策团队——承担对开源技术的方法实施决策、仲裁等职责;开源治理团队——统筹负责开源技术的制度、流程、执行、收集反馈、对接监管、持续改进等工作;技术专家团队——负责技术选型、技术研究、技术评定、技术决策、问题解决等技术性任务;开源法务团队——负责开源软件使用合规性研究，识别侵权风险，提供法务支持;开源安全团队——负责开源软件安全漏洞跟踪，提出解决方案，避免造成严重的安全风险问题。

  2.健全开源管理制度，规范软件使用流程

  完备的管理制度是规范使用开源软件的前提。为此，上海银行从制度和标准两个方面着手，确立标准以支撑制度的落地，健全制度以规范标准的执行。

  在制度层面，上海银行制定了《上海银行开源软件安全管理规程》，覆盖了总分行开源软件使用的全流程，对开源软件的引入、使用、更新、退出等全流程管理提出明确的规定;明确引进类产品的供应商职责，对合同签订时涉及双方的义务进行清晰的划分;对开源技术的安全标准进行控制，对风险处置进行流程规范，对行内现有支撑类系统融合时的全流程使用规范进行说明。

  在标准层面，上海银行制定了软件评测选型、技术使用管理、漏洞定级、质量检查等多个方面的执行标准，并通过市场调研，结合自身需求，考量开源软件引入的必要性;通过构建源代码仓库和制品仓库，规范配套文档的编制流程，确保开源软件的统一管理;制定漏洞等级标准，量化漏洞风险，打通数据与开发人员、运维管理人之间的通路;建立从开发到运维管理各节点的开源软件负责机制，落实责任，建立运维知识库和治理专家相结合的机制，进一步提高开发及运维管理的质量。

  3.建设开源治理平台，落地规范制度

  为落地上述管理架构、规范制度，同时注重开发使用感受及对组织过程资产的积累，上海银行自主研发了开源治理平台，该平台由风控及代理通道、开源软件服务系统、开源软件治理系统等组成，对接开源软件漏扫、代码及制品库等系统，并为渠道端提供插件，支持多渠道接入模式(如图1所示)。

图1 上海银行开源治理平台架构

  经过一段时间的打磨，上海银行开源治理平台已具备以下几个突出的优势。

  一是系统画像。平台围绕应用系统基础数据，扩展开源维度资产，清晰明了地构建系统安全画像;将开源软件资产、开源组件清单、漏洞管控台账、人员使用记录四大环节融为一体，全方位地展现各个项目的安全状况，为系统安全保驾护航。

  二是检测前移。平台的自研开发端检测插件方便开发人员随时检测项目中的组件风险;自研代理访问通道为开发人员提供多渠道多维度的检测途径：开发人员登录检测平台进行主动扫描、插件扫描、流水线扫描，且开源治理安全员不定时对项目进行全量扫描。通过以上措施，平台将质量检测环节前移，帮助开发人员尽早发现问题并及时处理。

  三是风控模型。平台将漏洞扫描系统扫描的结果数据与系统现有内外部资产指标相结合，建立漏洞风险评分模型。该模型对各项指标进行分级定义及分级运算，每级对应不同权重体系，通过权重算法及模型运行，最终计算得到总的风险分数。这一分数可以通过应用开发调用直接返回，也可由DevOps流程线调用，根据门禁规则进行放行或阻断，由此形成了事前、事中的安全质量控制检查点。

  上海银行自研的开源治理平台将规范制度落到实处，为开源治理团队和项目开发团队搭建了一个高效的沟通渠道，提高了开源治理工作和整体软件研发工作的效率。

四、未来展望

  近日，上海银行联合复旦大学金融科技研究院、中电金信共同发起成立了金融数字新型基础设施创新开放联合体，汇聚了产业链与供给侧的中坚力量，首批成员单位包括国泰君安证券、太保科技、人保科技等。成立联合体是金融科技行业集结资源、联合创新大趋势的体现，而开源技术的发展也势必会结束各家机构各自为战、单打独斗的时代，进入相互赋能、体系化突破关键核心技术、联合推广创新成果的新阶段。今后，上海银行将在国家相关政策的指导下，不断完善自身开源治理体系，探索开源生态协作模式，携手同业共同推进金融科技创新，真正将技术流量转化成金融商业价值。