作者：中国农业银行数据中心 戴宁街 曾剑鹿 俞宣伊 曾鸣

近年来，伴随信息技术的快速发展，开源软件以其独特的价值理念，逐渐成为推动科技创新的重要基石。在金融领域，金融机构在享受开源软件便捷性、开放性等应用便利的同时，也面临着安全性、合规性、供应链稳定性等一系列风险挑战。在此背景下，金融机构不仅要加强机构内部管理、深化与外部机构合作，还需要充分利用开源社区等技术资源，深度挖掘开源软件的技术优势，以更好推动金融高质量创新。

一、金融业应用开源软件的机遇和挑战

数字化转型背景下，开源软件凭借在成本效益、代码透明性、社区支持、可定制性等方面的独特优势，不仅成为金融机构推动技术创新的重要力量，同时也带来一系列新的难题亟待解决。开源软件带来的机遇与挑战如图1所示。

图1 开源软件带来的机遇与挑战

1.开源软件的应用优势

近年来，中国人民银行等监管机构高度重视金融业开源软件的应用与管理，相继发布了《金融业开源软件应用管理指南》等一系列规范性文件，为金融机构应用和管理开源软件提供了明确的管理框架和工作指导。规范性文件的出台，不仅彰显了监管机构对金融领域开源软件应用管理的重视，也为金融机构开展开源软件合规运营提供了制度保障。

(1)成本节约与资源优化

在数字化转型浪潮中，开源软件凭借其免费特性，成为金融机构进一步节约成本的更优选择。通过使用开源软件，金融机构不仅能显著降低软件采购成本与开发成本，还可将更多资源投入到核心业务和技术的研发过程中，进一步优化资源配置，创造更多价值。

(2)技术创新与社区支持

基于代码公开透明的特性，开源软件在安全性和可信度方面得到显著提升，同时还进一步推动了开发者之间的技术交流和知识共享。利用开源社区的丰富资源，金融机构可以及时获取与开源软件相关的最新技术动态和解决方案，并基于庞大的开源团队支持，快速解决开源软件遇到的应用难题，提升整体工作效率。

(3)数字化转型的关键路径

当前，开源软件已经成为金融机构推动科技创新和数字化转型的关键组成部分。通过整合开源软件的技术优势，金融机构可以有效加快金融产品的创新和迭代速率，增强金融产品的市场竞争力。与此同时，开源软件的使用也有助于金融机构拓宽供应链渠道，构建更加开放、协作的技术生态体系，推动金融科技有序发展。

2.开源软件的应用挑战

尽管开源软件为金融机构带来了新的发展机遇，但其在使用过程中也同样面临重重挑战，需要引起金融机构的高度重视。

(1)安全漏洞与数据泄露风险

开源软件的代码公开性使其被更广泛地暴露在安全风险之下。相比于商业软件，开源软件更容易成为黑客、恶意用户等不法分子的攻击目标。而金融机构的数据敏感性和业务关键性远超其他行业，同样是众多不法分子觊觎的对象。因此，金融机构在使用开源软件时，更需要不断强化针对开源软件安全漏洞、后门等风险的防控和应急处置能力。

(2)复杂协议与合规性难题

开源软件所遵循协议的多样性与复杂性，以及开源组件间的嵌套使用，给金融机构带来了知识产权方面的严峻考验。一旦使用者未能准确理解或遵循开源协议许可的要求，可能会给金融机构带来不必要的法律纠纷与知识产权侵权风险。因此，金融机构在使用开源软件时，需要准确识别开源软件遵循的开源协议要求，并严格按照协议要求执行相应操作，确保软件的合规运营。

(3)供应链稳定性与全球协作挑战

近年来，不断变化的国际形势对开源软件的全球协作以及软件分发造成了严重影响。金融机构在使用开源软件提供技术服务时，不得不面对开源软件供应链稳定性与可靠性带来的巨大挑战。一旦开源软件供应链遭到破坏，可能直接威胁到金融机构的正常业务经营，甚至带来不可估量的经济损失。此外，开源软件的全球协作复杂性也进一步加剧了金融机构应用开源软件的不确定性。

二、基于开源软件服务视图的管理思路和建议

在开源软件的应用过程中，金融机构既要考虑开源软件可能面临的潜在漏洞、后门等安全合规难题，也要考虑开源软件闭源、停服等供应链中断风险。面对一系列复杂挑战，金融机构可通过建立开源软件应用台账，详细记录开源软件的相关信息，并结合开源软件服务视图快速定位受影响的信息系统，实施应急处置措施，进一步提升问题解决效率。金融机构开源软件服务视图管理流程如图2所示。

图2 金融机构开源软件服务视图管理流程

1.开源软件引入管理

在开源软件引入阶段，金融机构可通过建立完善的开源软件准入机制，对开源软件进行全面的评估和测试，并详尽记录开源软件的名称、版本、协议等基本信息，以及软件测评、技术支持、漏洞级别、修复方式等运维信息，为运维团队实施开源软件日常管理与运维提供服务支撑，进而实现对问题的快速定位与解决。

2.开源软件采集脚本标准化

为实现对开源软件的有效监控，金融机构在引入开源软件后，还需编制标准化的开源软件采集脚本，通过抓取运行程序中的软件信息，实时获取开源软件的名称、版本等关键信息;在此基础上，结合开源软件的安装路径、运行用户等数据，有效识别其是否为开源软件的安装人员、是否为外购软件组件等特征，为构建开源软件服务视图提供基础信息。

3.开源软件服务视图创建

在进行开源软件名称、版本等信息采集的同时，金融机构可结合与操作系统关联的应用模块名称、研发团队、运维团队等信息，建立详尽且全面的开源软件服务视图，并借此清晰展示当前系统中的开源软件使用现状;同时，通过每周或者定期运行开源软件采集脚本，及时更新开源软件服务视图信息，为开源软件的风险分析与问题处置提供有力支持。

4.开源软件服务视图应用

基于开源软件服务视图，金融机构可以更加直观地识别潜在的安全漏洞、版本风险与受影响的业务范围，并及时采取相应的风险缓释措施。例如，当遭遇开源软件相关故障时，金融机构可通过服务视图快速定位问题源头，并调动相关的研发、运维团队开展协同合作，高效完成影响范围分析与风险处置;同时，通过服务视图对违规使用的非标准化开源软件版本进行风险识别，辅助开展治理工作。此外，通过此前识别的外购软件中的开源组件信息，金融机构还可及时联系厂商进行风险分析和问题处置。

5.开源软件持续评估与退出管理

开源软件的引入和使用是一个动态、持续的管理过程。尤其面对金融科技的持续发展与金融业务的不断变化，金融机构需要持续做好开源软件评估工作，并及时识别、解决软件使用过程中可能存在的问题，切实保障业务系统的安全、合规与稳定运行;此外，当开源软件不能满足业务需求、出现合规风险或者已经影响业务系统对外服务时，还需要及时做好开源软件的退出、归档、知识转移等工作。

     展望未来，随着数字化转型的持续深入，金融机构对开源软件的应用和管理也将进一步深化，并通过不断加强与开源社区的合作与交流，共同推动开源软件在金融领域的健康发展，进而更加合理、合规地应用开源软件，逐步提升自身的技术创新能力和市场竞争力，推动金融业务迈向更加智慧、高效与包容的新阶段。

     文章转载自《中国金融电脑》2025年第11期