如今,开源已经成为主流,整个信息产业已经从过去的闭源模式转换为现今的开源模式。越来越多的金融企业纷纷踏上开源技术之路,如何使用开源技术并规避开源风险,已经成为金融行业面临的新挑战。
对于金融行业来说,接受开源并不是一件容易的事。如果把时间调回到十年前,金融机构给出的答案一定是“坚决不会使用开源技术”。
金融行业相比于新兴的互联网等行业面临更严格的监管要求,因此在引入开源软件方面一直相对慎重。
然而,随着时代的变迁和技术的进步,开源技术在云计算、移动互联网、大数据等领域逐渐形成技术主流。
在互联网金融的猛烈攻势下,金融机构迫切渴望更加敏捷高效、精细化管理、可管可控以及可扩展的IT系统,进一步推动金融机构的转型和创新,以满足金融用户的实际需求。显然,开源技术弹性、包容和开放的特性,能够更好地为金融云和Fintech赋能。
随着生态链条上各种类型的合作伙伴企业广泛地开始应用开源技术,越来越多的金融机构也逐步从封闭走向开放,纷纷踏上了开源技术之路。
相关数据显示,目前国内已有超过50%的金融机构应用了开源技术,金融行业采用开源技术已经成为一种趋势。
金融业使用开源面临四大风险
标准制定箭在弦上
尽管开源技术在金融机构中的使用日益广泛,其潜在风险也不容忽视。开源软件背后的开源许可证规则非常复杂,引入开源的企业往往成为开源软件的风险落脚点。
金融机构作为开源用户,可能涉及四类风险:运维和技术风险、管理风险、安全和数据风险、合规和知识产权风险。
例如,对于金融机构而言,开源软件最大的问题在于缺乏技术和运维能力。相对于闭源软件拥有完善的厂商服务,开源技术在很多情况下并没有相应的付费服务和运维支持,而金融机构本身的运维人员数量及能力都有一定限制,导致运维工作量大幅增加,开源技术相关运维问题解决困难。
在开源软件的安全方面,其安全漏洞、后门等问题较为严重。根据NVD数据统计,截至2017年2月,全球开源软件相关的已知安全漏洞已超过28000个。部分金融机构在使用相应开源软件时,并没有对安全漏洞给予足够的重视。
与此同时,金融机构在使用开源软件的过程中,是否遵守开源约定,是否涉及知识产权问题等,都是金融机构建信息系统过程中可能面临的风险和挑战。
《金融行业开源治理白皮书》即将发布
首次系统梳理开源风险
面对开源软件使用过程中的一系列问题,金融行业该如何规范地使用开源技术,最大化减少使用开源带来的风险?
基于对行业的深刻理解,中国信息通信研究院和浦发银行、农业银行、中信银行等多家拥有丰富开源治理经验的金融机构,共同编写了国内首个《金融行业开源治理白皮书》,并重磅推出了金融开源治理的优秀实践案例,为金融行业积极应对开源风险、提升自身开源治理能力提供了权威指南。
近年来,中国信息通信研究院一直在努力推动开源标准体系的建设。此次推出的《金融行业开源治理白皮书》,是国内首次对金融行业的开源风险和治理方法进行系统梳理,也是中国信息通信研究院继2018年发布《开源治理白皮书》和《开源许可证使用指南》以来,对开源标准体系的进一步深化和完善,致力为“新金融”时代的全面到来提供指导。
据悉,《金融行业开源治理白皮书》对金融企业引入开源技术的背景和开源技术的意义进行了全面解读,重点梳理了引入开源可能导致的相关风险,并对金融行业在开源治理方面可以采取的措施给出了建议。
白皮书提出,面对开源软件使用过程中的一系列问题,从国家层面和产业界应共同推广产业开源科普,树立开源风险意识;相关组织可通过标准化的手段梳理开源治理规范,推动相关标准制定;金融机构通过制定开源管理制度并引入相关工具,逐步建设开源治理体系。
白皮书还附录了参与白皮书撰写企业的开源治理实践经验,包含开源技术的应用、项目经验及开源治理的手段等,致力以金融开源治理最佳实践的方式,为金融从业者带来宝贵的经验和启迪。
为了让用户更好地规避开源风险,深入理解开源治理,中国信息通信研究院将在2019云计算开源产业大会的“开源治理论坛”上,正式发布《金融行业开源治理白皮书》,并在会上对开源治理的相关内容进行解读。
作为云计算开源产业大会的重量级论坛,开源治理论坛将邀请开源领域的重磅专家,分享他们对开源治理问题的独特观点、深入分析及思考。
【科技云报道原创】
转载请注明“科技云报道”并附本文链接