?加強開源技術的應用與治理
近年來開源技術在金融業得到廣泛應用,開源以其“協同創新”的特性,在推動金融機構科技創新和數字化轉型方面發揮著積極作用,成為業務創新和敏捷研發的重要推動力,但開源技術的應用也面臨著安全漏洞、許可證合規、核心技術可控力不足等風險。
為提升金融行業開源技術整體應用水平,人民銀行辦公廳聯合多部委發布《關于規范金融業開源技術應用與發展的意見》,旨在引導金融機構開源技術向健康可持續發展,為我國金融業開源生態發展,特別是健全開源技術應用管理體系提供了依據。工商銀行從2007年開始使用開源軟件,為滿足開源軟件應用需求,結合多年開源技術應用經驗,通過調研國內開源規范以及各金融機構落地情況,不斷完善工行企業級治理工具鏈,沉淀并打造了“安全、合規、敏捷、生態”的開源應用及治理體系。工商銀行經過多年自身的技術積累,并充分利用開源社區的雙向供給機制,在人工智能、云計算、分布式、區塊鏈等重點技術領域進行了開源產品的廣泛應用,助力借記卡、快捷支付等場景的數字化創新。注重開源技術研究,并利用產學研機制與廠商、高校等開源供應商深度合作,積極參與開源生態。
開源技術應用更加成熟規范
全球各行業開源技術應用逐漸加深,開源軟件已成為新一代重要軟件基礎設施。開源技術在金融機構也被廣泛使用,為金融科技創新和發展注入了巨大的活力,并大大提高了技術方向的靈活性。
1.打造融合開源技術的信息化發展規劃
工商銀行高度重視開源技術應用,為提升開源技術使用的自主可控、合規安全水平,建設了完備的開源軟件管理體系,依托“統一管理、分層授權、工具驅動、配套完善”的工作思路,全面提升了開源軟件管理能力,支撐全行系統IT架構建設發展。
一是建立全行統一的組織機制。為統籌決策重大事項,從管理層面規劃、推動和實施企業開源工作。工商銀行建立了日常工作協調小組機制,組建開源技術團隊、安全團隊、法務團隊等專業化團隊,負責開源技術評估、應用、運維、培訓等工作。
二是完善開源治理管理制度。為保障安全生產,滿足監管要求,不斷夯實合規安全能力,工行在開源技術領域制定了一系列軟件管理實施細則,覆蓋全行各機構管理要求,包括軟件管理、研發管理、安全管理等各領域的制度要求,明確規劃、引入、使用、安全、更新、退出的全生命周期的管理。在研發管理領域從規劃、需求、設計、開發、測試、生產等項目管理流程進行管控。在安全管理領域建立了安全漏洞發現、治理的持續管控機制。
2.建立融合開源技術的科技研發流程
一是統一選型階段評估標準。工行結合行業開源選型實踐及我行實際需求構建了一套完整的開源技術評估體系,對開源軟件的必要性、知識產權風險、安全風險等方面進行全方位評估。其中必要性評估包括產品功能、性能、兼容性、架構布局合理性、開源項目生態情況等評估;知識產權風險包括著作權侵權、專利侵權、商標侵權、商業秘密被迫公開等;安全風險包括安全漏洞、惡意代碼等。
二是項目研發流程與流水線深度集成。利用業界成熟的DevOps實踐,工行建設了可靠的軟件交付管控流程,統一交付流程、安全管控、代碼掃描,防止第三方漏洞進入生產環境。在項目構建過程中進行開源使用情況監控,形成各軟件的版本、許可證、安全漏洞等信息倉庫,支撐風險排查的快速定位,有效防范不合規軟件包使用。
3.形成基于開源技術自主創新的一系列科研成果
工商銀行自主研發構建的分布式技術體系基于Dubbo、Kafka等39項業界主流開源技術,通過深度定制及自主研發,實現了性能、功能、穩定性方面的全面提升,實現了全面自主可控,并獲得了2019人行科技發展獎一等獎。我行在金融同業開創性的基于Docker、Kubernetes自主研發PaaS云,通過源碼級定制同業首創“一云多芯”,目前同業私有云啟動最早、規模最大,覆蓋業務類型最為全面,并獲得人民銀行科技發展一等獎、2021年亞洲銀行家國際獎項最佳云計算項目。
開源治理體系更加完備可信
工行積極洞察業界先進的開源治理理念及工具,構建了“安全、合規、敏捷、生態”的開源應用及治理體系。從工具平臺、使用臺賬、安全管控等多方面實現對開源軟件全生命周期的管控。不斷的與行業標準進行對標,通過中國信通院“企業可信開源治理成熟度”評估,標志著工行已具備了較成熟的治理體系。
1.打造企業級軟件治理平臺
為加強引入管控,工行通過建設軟件成分分析、安全掃描、項目測試的一體化引入平臺,有效提升開源軟件引入質量。與項目研發測試平臺集成,觸發開源軟件非功能性驗證,及時發現使用風險,保障項目穩定投產。建設軟件安全管控平臺,提升軟件成分和漏洞檢測能力,實現組件引入登記和漏洞修復的安全管理閉環,順利通過中國信通院DevSecOps首批認證,并獲得優秀案例和領軍企業稱號,為軟件生命周期安全左移提供有效支撐。
2.實現開源軟件全生命周期管理
開源臺賬是開源治理完整視圖的重要組成,有助于企業掌握自身開源應用情況,是開源軟件風險可追溯可管控的重要基礎。依托專業工具持續監控開源軟件使用,對企業內部已有的存量開源軟件進行盤點統計,形成了全面準確的開源軟件臺賬,支持風險信息訂閱,可自動化觸發風險處置,有效支撐開源軟件全鏈路管控。
3.守牢安全合規底線
開源軟件合規、安全、供應鏈等風險正在成為阻礙企業應用開源技術的最大阻力,通過建立開源軟件風險管理機制,及時識別各類風險點并有效應對,保障開源軟件使用安全、可控、合規。
一是應對許可證風險。工商銀行通過建立開源法務團隊,對開源技術使用中的違約風險和知識產權風險提供風險預警,包括開源許可證審查及合規咨詢、合規培訓,并持續關注各軟件的開源許可證變化,規避法律風險,保障開源技術的合法使用。
二是應對安全漏洞風險。工商銀行建立安全準入規則,嚴把準入關,有效防范源頭安全。將安全漏洞納入集中治理管控,定期開展制品庫漏洞檢查,收集業界主流漏洞站點的漏洞輿情,有效組織漏洞治理排查。
三是應對供應鏈安全。建立了較為完善的供應鏈安全管理制度規范,明確了供應鏈安全要求,并通過開發或引入相關安全管理檢查工具強化供應鏈安全防范能力,提升供應鏈安全管理水平。建立了涉及供應鏈產品引入審核、測評和運行監控各個環節的技術檢測和管控措施,通過應用不同的安全技術構造全方位的技術管控體系,充分保障供應鏈安全性。
開源領域生態更加開放共享
開源生態發展迅速,“十四五”規劃首次把開源納入頂層設計,國內建立了開放原子開源基金會,開源生態呈現產業化發展趨勢。隨著開源項目社區、開源基金會、代碼協作平臺等開源社區業態的不斷發展,我行在開源社區產業鏈中也扮演著貢獻者和使用者的雙重角色。
1.助力金融生態發展
我行緊跟開源生態熱點,在云計算、分布式等方向進行了有效嘗試,利用我行豐富的實踐經驗反哺社區,選取我行有深度應用經驗的軟件產品探索對外開源,帶動行業協作解決行業痛點問題,建立金融機構對外開源的新路徑。
同時,工行的社區貢獻也逐步獲得行業認可,在由中國信息通信研究院、中國通信標準化協會聯合主辦的“2021 OSCAR開源產業大會”上,我行“云原生多集群管理Karmada項目”和“工銀磐石-分布式服務”入選“開源項目及開源社區”和“開源技術創新”兩項尖峰案例,對我行在云計算及微服務開源社區技術創新方面所做出貢獻給予高度肯定。
工行作為頭部企業深度參與云原生多集群管理項目Karmada社區的開發和管理工作,深度參與Apache基金會Dubbo項目社區貢獻,參與Dubbo社區規劃,引領社區發展方向。
2.促進開源標準建設
依托我行豐富的業務場景實踐經驗促進開源技術迭代升級,聯合各金融機構、公司、科研院所等共同開展開源領域工作,形成行業合力、發揮行業力量。
牽頭編制《金融技術產品開源項目管理指南》團體標準,為金融界對外開源提供參考指引,加入《金融行業開源軟件評測規范》國家標準工作組,將金融行業經驗提升為國家級標準。
3.加大開源人才儲備
伴隨著開源技術的使用及開源社區事務的廣泛參與,我行沉淀了一系列開源軟件技術經驗,培養了一批開源技術人才,形成了生態滋養貢獻者,貢獻者反哺生態的正向循環。后續還將加大外部社區型人才培育力度,培養一批懂社區運營、了解社區生態的外部社區型人才,從輸入與輸出兩個方向打通企業內部與外部社區的大循環生態。
結 語
工商銀行后續將以《意見》為指引,遵循“安全可控、合規使用、問題導向、開放創新”基本原則,加強開源治理與協同創新,通過“安全、合規、敏捷、生態”的開源治理精神,推動開源標準化應用,提升科技創新和數字化轉型能力。
