加強開源軟件風險管控,推動證券業創新發展
文 / 東吳證券股份有限公司信息技術部 馬駿俊
人民銀行辦公廳、中央網信辦秘書局、工業和信息化部辦公廳、銀保監會辦公廳、證監會辦公廳聯合發布《關于規范金融業開源技術應用與發展的意見》。《意見》要求金融機構在使用開源技術時,應遵循“安全可控、合規使用、問題導向、開放創新”等原則。東吳證券結合自身多年證券公司軟件開發實踐經驗,對《意見》進行了解讀,分析開源技術應用風險,提出應用方針和規范,探討新環境下開源軟件的新形勢。
開源軟件,無處不在。風險,也如影隨形。開源軟件已成為眾多企業和軟件項目的基礎設施,但大多數的公司、企業和軟件開發者對于開源軟件的認識不足,甚至有人誤以為“開源軟件是免費的,因此可以不受限制地隨意使用。”實際上,開源軟件的著作權既沒有被放棄也沒有過期,其修改和發行等仍然要受到版權法或者開源軟件許可證的制約。未按照開源許可證約定使用開源軟件會引發潛在的法律糾紛,或者帶來名譽損失。
證券公司在業務開發或者外購的系統中,均大量采用了開源軟件。制定并執行開源使用指導原則和管理,就變得非常重要。根據業務的不同,原則可以涵蓋公司對開源的態度(是否支持,創建社區還是加入某社區)、哪些應用可以開源,哪些應用可以使用開源軟件;哪些許可證類型的開源軟件可以使用、審查流程等。從而最大限度的避免公司的知識產權侵權風險。根據東吳證券多年的金融軟件開發經驗,主要從以下幾方面考量開源軟件的應用。
厘清開源軟件、自由軟件、免費軟件
開源軟件指在軟件發行的時候,附上軟件的源代碼,并授權允許用戶更改/自由再散布/衍生著作,開源并不抵制商業收費。
免費軟件指免費提供給用戶使用的軟件,但是其免費的時候,通常都會有其他的限制,比如其源碼不一定會公開,而且使用者也并沒有使用、復制、研究、修改和再散布的權利。
自由軟件指用戶擁有如何使用軟件的自由。即可以自由地運行、拷貝、修改、再發行。這里指的自由,并不是價格免費,這和價格無關而是使用軟件對所有的用戶來說是自由的。
識別開源軟件許可協議
開源軟件的修改、發行等雖然免費,但并非是無條件,而是需要遵守各種(絕大多數為美國)私人自由軟件團體制定的規則,即許可證(license)。每個許可證都可以被看作是一份冗長的許可合同。
常見的許可證主要有GPL、LGPL、MPL以及MIT、BSD、Apache,各個許可證還可能有不同的版本。可以將這些許可證大致分為兩類:著作權許可證(copyright license)以及寬松許可證(permissive license)。二者最大區別在于:在軟件被修改并再發行時,著作權許可證仍強制要求公開源代碼(衍生軟件需要開源),而寬松許可證不要求公開源代碼(衍生軟件可以變為專有軟件)。GPL是典型的強著作權許可證,LGPL、MPL屬于弱著作權許可證,MIT、BSD、Apache都屬于寬松許可證。
由于開源軟件的性質,這些許可證一般具有兩個共通點:開發者不承擔瑕疵擔保責任以及保留著作權標記。瑕疵擔保責任一般發生在有償合同中,而開源軟件及其衍生軟件通常都是免費提供的,開發者并不負有瑕疵擔保責任。另外,由于開源軟件的著作權沒有被放棄,因此,許可證中一般都需要以適當的形式保留源代碼中的著作權標記。
圖 一張圖看懂開源許可協議
管控開源軟件使用風險
開源風險:個人或企業在使用或引入開源軟件時,可能面臨到的開源(即公開源代碼)風險,主要在于個人或企業對于其持有或擁有的私有軟件或代碼,因為使用或引入了弱傳染型、傳染型或強傳染型開源許可證的開源軟件或代碼,而依該弱傳染型、傳染型或強傳染型開源許可證所規范的義務或要求,將可能導致其私有軟件必須對外公開源代碼。
違約風險:在違反開源許可證(GPL3.0)的義務或要求的情況下,除可能構成知識產權侵權外,亦可能構成合同違約。
知識產權風險:除法律法規的保護外,開源軟件的作者或權利人主要是通過開源許可證對其知識產權進行許可與約束。開源許可證從法律上來說,視為一種合同和許可,是開源軟件使用者得以依開源許可證來合理使用開源軟件的合法憑證,并且在該使用者有相應行為(如:使用開源軟件)時,就可視為該使用者與開源軟件的作者或權利人意思表示一致(即:達成合意),而愿意接受開源許可證的約束。若開源軟件使用者未依照相應的開源許可證,來使用開源軟件,將可能侵犯開源軟件的作者或權利人的知識產權。
開源許可證兼容性風險:由于各類開源許可證的義務與要求存有差異,因此在使用或引入開源軟件時,需要注意各開源軟件所適用的開源許可證的兼容性風險,主要是指下面兩種情況:一是開發者將多個不同開源軟件合并成為一個新的軟件,若這些開源軟件所采用的開源許可證的授權條款內容間互不沖突,則這些開源軟件所采用的開源許可證可視為具有兼容性。二是開發者修改原有的開源軟件,被修改的部分涉及其他開源軟件,被修改部分原本所適用的開源許可證與原有開源軟件所使用的開源許可證間互不沖突,則這些開源軟件所采用的開源許可證可視為具有兼容性。
數據安全和隱私風險:由于前述開源軟件的特性(如:由多個貢獻者共同完成、開源許可證存有免責條款等),個人或企業在使用或引入開源軟件時,也必須注意數據安全及隱私風險,否則若使用或引入的開源軟件存有惡意代碼、病毒或造成隱私泄露,將對個人或企業帶來不小危害。系統信息泄露、密碼管理、資源注入、跨站請求偽造、跨站腳本、HTTP消息頭注入、SQL注入、越界訪問、命令注入、內存泄漏是開源軟件主要的安全風險。
確保開源合規性
在開源計劃中,需要創建一個特定的開源合規團隊,該團隊的任務是確保開源的合規性。
這個核心團隊,通常被稱為審計團隊或開源審查委員會(OSRB),由來自工程團隊和產品團隊的代表,一名或多名法律顧問以及合規人員組成。
開源審查委員會(OSRB)負責創建開源合規戰略和一套決定如何在日常基礎上實施這些規則的流程。該戰略確立了必須采取的措施來保證合規性,并為員工如何與開源軟件進行互動提供了一套主要原則。它包括了開源的審批、獲取與使用的正式流程,以及發布開源軟件或經開源許可證授權的軟件。
新形勢下的開源軟件應用
從2020年開始,信息技術應用創新工作全面展開,經過兩年的發展,逐漸深入,開源軟件已經成為該生態系統開發和建設的核心基礎設施。
開源是信息技術應用創新生態推進的重要手段。開源的意義體現在:向開源項目貢獻源代碼,可以擴大技術影響力,增強和主流技術趨勢的綁定;借助開源軟件資源,可以節約不必要的成本;開源社區有助于匯聚開發者的力量,形成強大的創新來源。
東吳證券在建設中,使用了大量借助開源技術的軟硬件。作為信息技術應用創新建設先鋒券商,東吳證券與國內公司密切合作,在開源技術的支撐下,完成了核心交易系統A5信創版、TA+LightDB數據庫、投行項目管理平臺等重大項目,打造金融行業信息技術應用創新標桿,助力企業創新發展。
結語
開源的本質是共享技術,而技術是生產力的一部分。開源軟件為軟件公司帶來了顯而易見的利益。但從安全角度上看,開源技術也面臨著可能被黑客關注,會被黑客攻擊漏洞的問題。因此證券公司在上線使用開源技術的軟件系統時,需要時刻注意風險管理和安全防控。在信息技術應用創新建設新環境下,同樣要擁抱開源、開放創新,協同軟件公司產金聯合,為新建設添磚加瓦,實現真正的可控。
(欄目編輯:韓維蜜)
