福建省联社科技部副总经理吴德贵

  近年来，伴随开源技术的快速发展，其在金融领域的应用也愈发广泛，为金融机构持续完善技术体系提供了重要抓手，同时也带来了安全、合规等方面的诸多风险与挑战。2024年，人民银行发布《金融业开源技术术语》《金融业开源软件应用管理指南》《金融业开源软件应用评估规范》等金融行业标准，为各金融机构实施开源软件管理和应用评估提供了新的方向指引。顺应技术发展趋势，福建省农村信用社联合社(以下简称“福建省联社”)积极贯彻落实相关监管要求，探索构建开源软件管理体系，开展开源软件全生命周期管理，并利用工具实现开源软件的线上化、自动化管控，有效增强了技术安全管控能力。

一、总结经验，梳理开源软件管理方向

  随着数字化转型的不断深入，金融科技的赋能效果逐步显现。以福建省联社为例，通过持续推广开源技术应用，福建省联社有效提高了工作效率，降低了劳动成本，但与此同时，高危漏洞版本风险、开源协议版权风险、开源组织或个人系统性风险、非官方途径来源风险等一系列难题也浮出水面。面对上述挑战，福建省联社在深度剖析自身不足的基础上，充分认识到实施开源软件管理的重要性与必要性，并总结梳理了后续改进方向。

  一是成立开源软件管理专职机构。开源软件管理是一项系统性、长期性工作，不仅需要搭建强有力的组织架构来保障其有序推进，而且需要所有技术人员密切配合。然而，福建省联社在发展初期并未明确相应的开源软件管理组织机构，因此急需设立专职机构来承担软件入库、分歧协调等相关职责。

  二是完善开源软件管理制度流程。面向开源软件管理全生命周期，针对入库、使用、更新、退出等流程明确具体的规范性要求，做到开源软件管理有据可依，同时，结合实际业务需求，统筹开展开源软件应用流程优化与风控管理，逐步推进存量治理工作。

  三是打造开源软件管理支撑工具。福建省联社在发展初期主要依靠开发和运维人员经验来实施开源软件管理，存在较大的操作风险隐患，急需建设一整套系统工具来实现开源软件的线上化、自动化管理，并借此进一步提升管理效率、降低应用成本。

二、建章立制，完善开源软件管理体系

  遵循监管部门的文件指引，福建省联社从制度流程和组织架构两个维度入手，着力构建开源软件管理工作机制，不断提升开源软件安全管控水平。

  一是明确开源软件管理制度流程，形成正式规范文件。为持续加强开源软件版本管理，提高开源软件的应用水平和自主可控能力，降低使用开源软件的安全风险，福建省联社以相关监管要求为指引，结合自身的开源软件使用需求，先后制定了《福建省农村信用社联合社开源软件管理办法》《福建省农村信用社联合社系统软件管理实施细则》《福建省农村信用社联合社组件管理实施细则》等一系列规章制度，并据此进一步规范开源软件定义、开源软件管理组织职责，以及开源软件入库、使用、更新、退出等相关流程，建立了开源软件管理的制度基础。

  二是重塑开源软件管理组织架构，凝聚各级人员力量。从顶层设计着手，福建省联社确立了开源软件管理领导机制，由信息科技管理委员会办公室作为决策机构，负责对开源软件管理工作进行整体规划和指导，推动解决开源软件治理过程中的重大问题;在此基础上，通过进一步明确具体的牵头部门与协作部门职责，充分发挥了信息科技三道防线作用。其中，科技部负责开源软件的统筹管理工作，包括组建开源软件评审团队，对开源软件的入库、更新、退出等环节进行技术评审，以及对开源软件的漏洞风险、开源许可协议等进行安全评审;组建开源软件管理团队，设计搭建统一的开源软件仓库作为开源软件同源获取入口，并定期对开源软件仓库进行安全漏洞扫描和维护工作，以及协助研发人员正确使用开源软件。此外，法律合规部负责根据开源软件许可协议中的许可要求提供法律咨询，并对开源软件的合规使用提供相关指导;风险管理部负责对开源软件管理工作开展风险评估，提出相关建议;审计部负责组织开展开源软件管理审计工作。

三、明确流程，深入开展生命周期管理

  对标《金融业开源软件应用管理指南》的相关要求，福建省联社将开源软件管理嵌入项目研发体系，细化规范开源软件入库、使用、更新、退出等流程，深入开展开源软件全生命周期管理。

  一是规范入库流程。该阶段主要是对未在库的开源软件进行技术评审、安全评审，并在评审通过后完成入库发布管理等工作。在此过程中，研发人员提交入库申请至开源软件评审团队，同时发起技术评审和安全评审。其中，技术评审主要审查开源软件产品成熟度、功能、性能、稳定性、可测试性、扩展性等，并进行同源评估，以避免同类软件产品出现重复选型的情况;安全评审主要审查开源软件安全性、开源软件协议许可要求合规性等内容，以确保软件引入安全可控。在上述评审通过后，开源软件管理团队负责统一从官方渠道下载软件安装包或二进制文件，并依据软件类别分别收录到相应制品库，同时发布上线公告，告知研发人员新纳管开源软件的功能、版本等内容。

  二是规范使用流程。该阶段主要由研发人员从制品库下载对应的软件制品，并执行安装运行、功能设定等操作。在此过程中，研发人员需确认当前软件版本是否已完成软件入库，若确实已在制品库中，可直接拉取使用;如不在其中，则需发起开源软件入库申请。原则上研发人员应统一使用存放在制品库中的开源软件。

  三是规范更新流程。该阶段主要针对软件漏洞修复、重大版本更新等，执行软件更新操作。在此过程中，研发人员根据实际需求提交软件更新申请至开源软件评审团队，审查软件更新版本的安全性和可用性，同时评估软件更新替换方案的可行性，并在审查通过后更新相应制品库、发布更新公告。此外，开源软件管理团队负责定期对制品库中的软件进行安全漏洞扫描，建立和更新存在安全风险的开源软件清单，以及督促研发人员按时完成软件安全风险整改。

  四是规范退出流程。该阶段主要面向软件淘汰、风险管控等，执行软件退出操作。在此过程中，开源软件管理团队或研发人员提交软件退出申请至开源软件评审团队，由其评估软件退出替换方案的技术可行性，以确保该版本开源软件已被完全弃用且无新增使用需求;同时，保障开源软件版本退出后系统还能继续提供稳定的服务，确保用户不受影响;以及在审查通过后，将相关软件版本从制品库中出库，并发布下线公告。此外，对于被淘汰出库的开源软件，研发人员还需进行充分的技术和风险评估，严格落实安全整改策略，及时修复系统漏洞或升级软件版本，保障业务连续性;若出现因系统建设原因导致暂时无法整改的情况，还需评估相应风险，制定软件替换方案，并对用于替换的新增软件及时发起软件入库申请。

四、多措并举，提升开源安全管控能力

  为进一步提升开源软件安全管控能力，福建省联社积极组织开源软件制度培训及标准学习，并通过开展相关工具、系统建设，实现开源软件线上化、自动化管理，稳步推进存量开源软件治理工作。

  一是提升意识，组织相关制度及标准培训。面向科技人员，福建省联社通过组织学习《福建省农村信用社联合社开源软件管理办法》等内部管理制度及《金融业开源软件应用管理指南》等外部标准，持续提升相关人员对开源软件管理必要性及重要性的认识程度，不断增强其对开源软件风险的识别能力和管控水平。

  二是搭建系统，实现开源软件线上化管理。根据开源软件管理办法中的相关条例，福建省联社在科技管理系统中搭载开源软件管理模块，支持在线进行系统软件和组件的新增、更新、退出等操作，以及对开源软件制品库进行持续建设与维护。

  三是引入工具，实现开源软件自动化管控。福建省联社通过搭建系统软件和组件制品库，显著减少了人工操作。例如，通过使用Gitlab开源代码仓库搭建系统软件制品库，实现线上拉取使用、多版本控制、用户权限控制、操作记录跟踪等多个功能;通过搭建开源组件仓库Nexus，实现组件管理、权限划分、组件同源拉取、高危版本限制下载等功能;引入代码漏洞扫描工具、渗透测试工具，定期对开源软件和组件进行扫描，实现漏洞及时发现与高效处置。

  四是梳理现状，逐步完善开源软件版本准入规则。在存量管理方面，为避免开发人员重复申请同类型开源软件，福建省联社依据开源软件使用现状，结合业界主流开源软件选型情况，制定了开源软件版本准入规则，涉及ApacheTomcat、Redis、MySql、Nginx、Kafka、RabbitMq等10个系统软件，以及Spring、SpringBoot、Springcloud、Struts、Vue、Jquery、Mybatis、Hibernate等15个主流组件。在新增管理方面，福建省联社先后完成了20余个项目的开源软件新增申请，涉及基础产品、渠道、技术平台等多个领域，其中系统软件包含Nacos注册中心、RocketMQ消息队列、LibreOffice在线文档中间件等;组件包含微服务框架、客户端SDK、工作流框架等。

  五是跟踪落实，实现对开源软件的有效管控。通过对纳入管控的开源软件定期开展安全漏洞扫描，标注高危漏洞版本，福建省联社高效保障了应用系统及组件安全;同时，为保障台账时效性，在综合考量开源软件发展和申请情况的基础上，选择对管理台账进行定期更新。

五、走深走实，持续完善开源软件管理

  面向未来，福建省联社在持续提升开源软件应用水平的同时，将重点围绕以下三个方面常态化开展开源软件管理工作。

  一是完善开源软件管理流程。为提升开源软件管理效能，福建省联社拟将开源软件功能及安全评审工作前置到设计环节，并将其纳入项目管理流程，及时进行风险揭示和整改，进而避免因后期发现风险导致的改造工作量大、效率低下等问题，进一步提升风险管控效率。

  二是升级开源软件管理模块。鉴于现有的开源软件管理工具尚无法与行内系统联动，且人工操作的执行效率较低，福建省联社拟进一步升级开源软件管理模块，并将其与科技管理系统、运维管理系统、代码漏洞扫描系统等进行互联，实现开源软件漏洞的自动化发现和整改。

  三是强化开源软件准入规则。结合实际研发需求，福建省联社拟启动第二批开源软件版本准入项目，并持续做好版本控制、漏洞发现等工作;同时，严格落实开源软件登记、新增、使用、更新、退出等规范化流程，不断提升开源软件安全管控水平。