聚焦开源软件治理和服务 共论走向核心系统的开源合规与实践之道

2023年6月10日下午,2023第五届双态IT北京用户大会两大主题峰会之一的“新一代信息技术:开源软件治理和服务峰会”成功举办。本次峰会由北京国家金融科技认证中心指导,ITSS分会、双态IT论坛主办,ITSS数据中心运营管理组、ITSS媒体组协办,共有来自央国企、金融等行业的150人到场出席。

如今,“开源”已经写入国家“十四五”规划,成为助力科技发展的热词,开源软件获得越来越广泛和深入的应用。

包括金融在内的行业开始逐步采用开源技术来构建自己的信息系统,“开源软件治理”这一话题逐步成为行业考虑的重点。

本次大会召开“新一代信息技术:开源软件治理和服务峰会”,围绕开源软件治理现状、发展趋势及实践、开源软件治理解决方案等主题进行分享和交流探讨。

会议开场,ITSS数据中心运营管理组组长肖建一为大会致辞,对本次峰会的举办表示祝贺。

近年来,开源技术快速发展,在云计算、移动互联网、大数据等领域逐渐形成技术主流。

越来越多的厂商开始拥抱开源,将开源视为连接企业内外部开发者协同开发、构建软件生态的强助力,包括金融在内的大型企业云集且对安全要求更高的行业也开始逐步采用开源技术构建新的信息系统,“开源软件治理”逐步成为行业考虑的重心。

肖建一表示,希望北京国家金融科技认证中心、ITSS分会、ITSS数据中心运营管理工作组(DCMG)、双态IT论坛组织策划的此次峰会,能够为参会嘉宾带来一场思想的盛宴,实践的盛宴!

标准和政策:安全和发展并重竞争和合作并存

国家工业信息安全发展研究中心软件所副所长、证券基金行业信创联盟WG10工作组组长李卫发表“开源产业现状和趋势预判”主题演讲,围绕开源生态发展现状、开源治理策略以及开源能力建设等关键问题展开介绍。

2021年,开源被首次写入国家《”十四五”软件和信息技术服务业发展规划》,为开源发展提供指引和遵循。一是要加强开源代码安全检测,保障开源代码组件供给安全;二是要培育和壮大市场主体,加快繁荣开源生态,提高产业集聚水平,形成多元、开放、共赢、可持续的产业⽣态。

李卫指出,国家工业信息安全发展研究中心围绕开源文化、开源基础设施、开源项目和开源社区等方向开展工作,推动国内开源生态加速繁荣。未来,中心将进一步提升开源产业研究能力和技术储备,在开源风险防范、开源安全合规等方面提出治理方案,为国内开源体系建设贡献智慧和力量。

最后,他总结道:随着各行业积极拥抱开源,开源的重要性愈发凸显。未来开源发展,需要安全与发展并重:第一,要用好开源,让开源为各行业科技工作、IT工作带来更多创新,带来更多效益的提升;第二,要把开源用安全,尽量减少开源后续带来的安全合规风险。

国家金融科技认证中心实验中心负责人李博文从金融开源现状、行业指导意见、开源推进工作、未来工作展望四方面进行《金融行业开源应用探索与实践》主题分享。

李博文指出,金融行业开源应用是一个从外围向核心组件演化的过程。互联网技术栈更多影响在场景,影响到渠道,近年来也影响核心金融系统分布式架构转型。从整个行业现状来看,金融逐步在从外围向核心做开源技术的应用演进。

开源治理方面,国金认证积极开展开源治理体系研究及开源安全合规风险防范工作,推动金融行业开源工作的健康发展,助力金融机构、金融科技公司安全合规地应用开源技术、防范开源风险。同时,各金融机构积极参与实验室相关工作,共同推进开源技术在金融行业合规发展。

他表示,金融机构之间存在业务上的竞争,但在技术上也可以有更好的协同。发展到现在,开源工作已经逐步走向体系化、规范化。对于金融行业的开源,国金认证会积极发挥行业平台作用,打造基础设施,同时也希望金融机构未来能够在开源治理上越做越好,在开源的输出上能够逐步走出来,让开源成为金融核心技术发展的新动力。

用户实践:拥抱开源 共谈安全合规发展

近年来,开源软件获得越来越广泛和深入的应用,“开源软件治理”成为行业考虑的重点。本次峰会我们邀请到工银科技、海通证券、银联云等行业专家进行开源软件治理实践分享。

工银科技数字金融实验室高级研究员韩旭以“中国工商银行开源软件管理体系建设实践”为主题,从发展历程、治理体系、系统工具支撑和成效展望四方面进行介绍。

韩旭指出,工行开源软件治理体系逐步从碎片化的分散使用管理,探索开源软件统一管理和应用方式,通过优化完善评估流程、规范使用流程,提升研发运维效率,建立了具有专业化指引、可对标业界标准的管理体系。截至目前,已经在内部治理、产业建设、标准体系方面取得了成效。

展望未来,韩旭表示,工行将遵循“安全可控、合规使用、问题导向、开放创新”的基本原则,加强开源治理与协同创新,提升科技创新,加快数字化转型。主要分为对内对外两个方向,对内是完善开源治理体系,即提升自动化、全面化能力和加强人才储备;对外则是参与开源生态建设,分别针对助力金融生态发展、促进开源标准建设以及赋能金融同业。

海通证券数据中心副总经理王东以“开源软件治理探索和实践”为主题进行分享,介绍了海通证券开展开源软件治理的背景、在开源治理方面的探索和具体实践,以及对开源治理的未来展望。

他指出,海通证券在开源治理方面的目标是:确保开源软件的使用在组织内部得到有效的管理和控制,包括开源软件的引入、审批、部署、维护和更新等,主要是解决合规和安全两大风险。基于上述两大风险,海通证券在开源软件治理实践过程中遵循规划引领、平台赋能、治理前移的探索思路。

展望未来,王东表示,希望共建高质量开源生态,要实现三个转变:一是从盲目拥抱开源到拥抱有治理的开源的转变,即在确保安全合规的同时,通过不断优化内部体系建设,从组织、制度、流程、工具等多方面保障使用开源及开源输出风险可控;二是从拥抱全球的开源到中国式开源优先的转变,即建设我国产业力量主导的开源社区等方面积极作为,合理合法利用开源软件,突破底层技术的壁垒,打造我国主导的开源价值链,构建完善的开源原生态;三则是促进开源治理协同。

中国银联云计算中心高级总监任明从银联云开源软件概述、开源软件治理模型、开源软件治理体系以及银联云的具体实践四方面进行《中国银联开源软件治理和服务实践》主题分享。

任明表示,从2012年开源技术引入到现在开源软件持续发展,银联云始终贯彻执行2021年人民银行等五部委发布的《关于规范金融业开源技术应用与发展的意见》,坚持“强调自主掌控为要、自研开源双线并举”“增强治理管控安全、积极参与开源生态”的建设策略。

从开源治理规范上来讲,银联云主要从制度建设、开源成熟评估模型、开源标准化建设以及开源技术引进四方面开展,银联云开源软件治理体系主要针对制度建设、组织保障和流程管理。

拓宽开源治理方向 保障软件供应链安全

行业内的开源治理除了行业侧本身的努力外也离不开产业侧的支持。

华讯网络信创工程中心软件开源治理技术总监田雷以“开放生态下的安全合规之路-开源治理”为主题,从开源软件风险模型、国内外开源治理现状、华讯开源治理解决方案以及开源治理发展趋势四方面进行分享。

华讯网络基于目前开源软件的应用态势,提出以"辅助决策,步进治理"为主的工作策略,以"掌握、协调、顺应"为主的治理手段,将开源软件的质量、安全、合规完全嵌入到整个开发流程中,形成了“体系+工具+平台+服务”的完整解决方案,能够为处于开源治理各阶段的客户提供相应的服务与产品。

着眼于目前的研发业务来说,开源软件治理方面的工作所占比重并不大,但随着治理工作的推进,企业对开源治理的要求越来越高,华讯的开源软件治理工作已经向SBOM、状态、漏洞、数据、以链治链几个方向进行拓展,以保障客户软件供应链安全。

《中国开源软件治理指南》图书编写方案介绍暨启动仪式

近年来,开源软件获得越来越广泛和深入的应用,特别是正逐步被引入到企业的核心业务系统中。越来越多的机构认识到已经有必要从组织级的视角来认识和管理开源软件,然而开源软件治理目前还没有公认的方法论,对此,策划开展《中国开源软件治理指南》编写项目。

在“新一代信息技术:开源软件治理和服务峰会”现场进行了《中国开源软件治理指南》图书编写方案介绍暨启动仪式。

《中国开源软件治理指南》项目经理张顺从项目背景、项目组织及开发历程等四方面进行《中国开源软件治理指南》编写方案介绍。

随着开源技术被广泛应用,面临的安全风险促使行业对于开源治理解决方案的需求不断增加,在这一背景下,决定启动《中国开源软件治理指南》编写项目。同时,张顺表示,在指南编写过程中,将会借鉴金融行业科技体系建设方面的经验。

他指出,我们不仅只是为了写一部书,而是要实现“1+3”个目标。一是指南图书编写;二是形成一套开源软件治理方法论体系;三是构建一个开源软件治理平台和工具框架;四是提供一组开源软件治理技术服务。

说到项目整体安排,张顺介绍道:项目的进程大体分为启动、编写、评审和发布等阶段,计划在2023年年底完成初稿撰写,2024年第二季度发布并进行最后项目收尾工作。

方案介绍结束,在全场嘉宾的见证下,工信部一所软件所副所长李卫、海通证券数据中心副总经理王东、富国基金科技部总经理李强、华讯网络信创工程中心软件开源治理技术总监田雷以及《中国开源软件治理指南》项目经理张顺共同启动《中国开源软件治理指南》编写项目。

圆满落幕

至此,新一代信息技术:开源软件治理和服务峰会圆满结束。

北京国家金融科技认证中心由人民银行所属企业中国金融电子化集团有限公司全资设立,自成立以来,始终围绕“打造国际领先、国内一流的检测认证机构”的目标,相继研发推广了认证、检测、安全和FinTech+等4大类主营业务。

此次大会,诸多优秀行业用户、权威专家与技术领袖,以主旨演讲形式,向业界贡献了开源软件治理领域发展过程中的宝贵经验。

北京国金认证、ITSS分会、DCMG和双态IT论坛等机构将发挥各自力量,共同推动金融行业开源治理的发展,为更多的行业用户提供最具价值的实践参考。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )