聚焦開源軟件治理和服務(wù) 共論走向核心系統(tǒng)的開源合規(guī)與實踐之道

2023年6月10日下午,2023第五屆雙態(tài)IT北京用戶大會兩大主題峰會之一的“新一代信息技術(shù):開源軟件治理和服務(wù)峰會”成功舉辦。本次峰會由北京國家金融科技認(rèn)證中心指導(dǎo),ITSS分會、雙態(tài)IT論壇主辦,ITSS數(shù)據(jù)中心運(yùn)營管理組、ITSS媒體組協(xié)辦,共有來自央國企、金融等行業(yè)的150人到場出席。

如今,“開源”已經(jīng)寫入國家“十四五”規(guī)劃,成為助力科技發(fā)展的熱詞,開源軟件獲得越來越廣泛和深入的應(yīng)用。

包括金融在內(nèi)的行業(yè)開始逐步采用開源技術(shù)來構(gòu)建自己的信息系統(tǒng),“開源軟件治理”這一話題逐步成為行業(yè)考慮的重點(diǎn)。

本次大會召開“新一代信息技術(shù):開源軟件治理和服務(wù)峰會”,圍繞開源軟件治理現(xiàn)狀、發(fā)展趨勢及實踐、開源軟件治理解決方案等主題進(jìn)行分享和交流探討。

會議開場,ITSS數(shù)據(jù)中心運(yùn)營管理組組長肖建一為大會致辭,對本次峰會的舉辦表示祝賀。

近年來,開源技術(shù)快速發(fā)展,在云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域逐漸形成技術(shù)主流。

越來越多的廠商開始擁抱開源,將開源視為連接企業(yè)內(nèi)外部開發(fā)者協(xié)同開發(fā)、構(gòu)建軟件生態(tài)的強(qiáng)助力,包括金融在內(nèi)的大型企業(yè)云集且對安全要求更高的行業(yè)也開始逐步采用開源技術(shù)構(gòu)建新的信息系統(tǒng),“開源軟件治理”逐步成為行業(yè)考慮的重心。

肖建一表示,希望北京國家金融科技認(rèn)證中心、ITSS分會、ITSS數(shù)據(jù)中心運(yùn)營管理工作組(DCMG)、雙態(tài)IT論壇組織策劃的此次峰會,能夠為參會嘉賓帶來一場思想的盛宴,實踐的盛宴!

標(biāo)準(zhǔn)和政策:安全和發(fā)展并重競爭和合作并存

國家工業(yè)信息安全發(fā)展研究中心軟件所副所長、證券基金行業(yè)信創(chuàng)聯(lián)盟WG10工作組組長李衛(wèi)發(fā)表“開源產(chǎn)業(yè)現(xiàn)狀和趨勢預(yù)判”主題演講,圍繞開源生態(tài)發(fā)展現(xiàn)狀、開源治理策略以及開源能力建設(shè)等關(guān)鍵問題展開介紹。

2021年,開源被首次寫入國家《”十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》,為開源發(fā)展提供指引和遵循。一是要加強(qiáng)開源代碼安全檢測,保障開源代碼組件供給安全;二是要培育和壯大市場主體,加快繁榮開源生態(tài),提高產(chǎn)業(yè)集聚水平,形成多元、開放、共贏、可持續(xù)的產(chǎn)業(yè)?態(tài)。

李衛(wèi)指出,國家工業(yè)信息安全發(fā)展研究中心圍繞開源文化、開源基礎(chǔ)設(shè)施、開源項目和開源社區(qū)等方向開展工作,推動國內(nèi)開源生態(tài)加速繁榮。未來,中心將進(jìn)一步提升開源產(chǎn)業(yè)研究能力和技術(shù)儲備,在開源風(fēng)險防范、開源安全合規(guī)等方面提出治理方案,為國內(nèi)開源體系建設(shè)貢獻(xiàn)智慧和力量。

最后,他總結(jié)道:隨著各行業(yè)積極擁抱開源,開源的重要性愈發(fā)凸顯。未來開源發(fā)展,需要安全與發(fā)展并重:第一,要用好開源,讓開源為各行業(yè)科技工作、IT工作帶來更多創(chuàng)新,帶來更多效益的提升;第二,要把開源用安全,盡量減少開源后續(xù)帶來的安全合規(guī)風(fēng)險。

國家金融科技認(rèn)證中心實驗中心負(fù)責(zé)人李博文從金融開源現(xiàn)狀、行業(yè)指導(dǎo)意見、開源推進(jìn)工作、未來工作展望四方面進(jìn)行《金融行業(yè)開源應(yīng)用探索與實踐》主題分享。

李博文指出,金融行業(yè)開源應(yīng)用是一個從外圍向核心組件演化的過程?;ヂ?lián)網(wǎng)技術(shù)棧更多影響在場景,影響到渠道,近年來也影響核心金融系統(tǒng)分布式架構(gòu)轉(zhuǎn)型。從整個行業(yè)現(xiàn)狀來看,金融逐步在從外圍向核心做開源技術(shù)的應(yīng)用演進(jìn)。

開源治理方面,國金認(rèn)證積極開展開源治理體系研究及開源安全合規(guī)風(fēng)險防范工作,推動金融行業(yè)開源工作的健康發(fā)展,助力金融機(jī)構(gòu)、金融科技公司安全合規(guī)地應(yīng)用開源技術(shù)、防范開源風(fēng)險。同時,各金融機(jī)構(gòu)積極參與實驗室相關(guān)工作,共同推進(jìn)開源技術(shù)在金融行業(yè)合規(guī)發(fā)展。

他表示,金融機(jī)構(gòu)之間存在業(yè)務(wù)上的競爭,但在技術(shù)上也可以有更好的協(xié)同。發(fā)展到現(xiàn)在,開源工作已經(jīng)逐步走向體系化、規(guī)范化。對于金融行業(yè)的開源,國金認(rèn)證會積極發(fā)揮行業(yè)平臺作用,打造基礎(chǔ)設(shè)施,同時也希望金融機(jī)構(gòu)未來能夠在開源治理上越做越好,在開源的輸出上能夠逐步走出來,讓開源成為金融核心技術(shù)發(fā)展的新動力。

用戶實踐:擁抱開源 共談安全合規(guī)發(fā)展

近年來,開源軟件獲得越來越廣泛和深入的應(yīng)用,“開源軟件治理”成為行業(yè)考慮的重點(diǎn)。本次峰會我們邀請到工銀科技、海通證券、銀聯(lián)云等行業(yè)專家進(jìn)行開源軟件治理實踐分享。

工銀科技數(shù)字金融實驗室高級研究員韓旭以“中國工商銀行開源軟件管理體系建設(shè)實踐”為主題,從發(fā)展歷程、治理體系、系統(tǒng)工具支撐和成效展望四方面進(jìn)行介紹。

韓旭指出,工行開源軟件治理體系逐步從碎片化的分散使用管理,探索開源軟件統(tǒng)一管理和應(yīng)用方式,通過優(yōu)化完善評估流程、規(guī)范使用流程,提升研發(fā)運(yùn)維效率,建立了具有專業(yè)化指引、可對標(biāo)業(yè)界標(biāo)準(zhǔn)的管理體系。截至目前,已經(jīng)在內(nèi)部治理、產(chǎn)業(yè)建設(shè)、標(biāo)準(zhǔn)體系方面取得了成效。

展望未來,韓旭表示,工行將遵循“安全可控、合規(guī)使用、問題導(dǎo)向、開放創(chuàng)新”的基本原則,加強(qiáng)開源治理與協(xié)同創(chuàng)新,提升科技創(chuàng)新,加快數(shù)字化轉(zhuǎn)型。主要分為對內(nèi)對外兩個方向,對內(nèi)是完善開源治理體系,即提升自動化、全面化能力和加強(qiáng)人才儲備;對外則是參與開源生態(tài)建設(shè),分別針對助力金融生態(tài)發(fā)展、促進(jìn)開源標(biāo)準(zhǔn)建設(shè)以及賦能金融同業(yè)。

海通證券數(shù)據(jù)中心副總經(jīng)理王東以“開源軟件治理探索和實踐”為主題進(jìn)行分享,介紹了海通證券開展開源軟件治理的背景、在開源治理方面的探索和具體實踐,以及對開源治理的未來展望。

他指出,海通證券在開源治理方面的目標(biāo)是:確保開源軟件的使用在組織內(nèi)部得到有效的管理和控制,包括開源軟件的引入、審批、部署、維護(hù)和更新等,主要是解決合規(guī)和安全兩大風(fēng)險。基于上述兩大風(fēng)險,海通證券在開源軟件治理實踐過程中遵循規(guī)劃引領(lǐng)、平臺賦能、治理前移的探索思路。

展望未來,王東表示,希望共建高質(zhì)量開源生態(tài),要實現(xiàn)三個轉(zhuǎn)變:一是從盲目擁抱開源到擁抱有治理的開源的轉(zhuǎn)變,即在確保安全合規(guī)的同時,通過不斷優(yōu)化內(nèi)部體系建設(shè),從組織、制度、流程、工具等多方面保障使用開源及開源輸出風(fēng)險可控;二是從擁抱全球的開源到中國式開源優(yōu)先的轉(zhuǎn)變,即建設(shè)我國產(chǎn)業(yè)力量主導(dǎo)的開源社區(qū)等方面積極作為,合理合法利用開源軟件,突破底層技術(shù)的壁壘,打造我國主導(dǎo)的開源價值鏈,構(gòu)建完善的開源原生態(tài);三則是促進(jìn)開源治理協(xié)同。

中國銀聯(lián)云計算中心高級總監(jiān)任明從銀聯(lián)云開源軟件概述、開源軟件治理模型、開源軟件治理體系以及銀聯(lián)云的具體實踐四方面進(jìn)行《中國銀聯(lián)開源軟件治理和服務(wù)實踐》主題分享。

任明表示,從2012年開源技術(shù)引入到現(xiàn)在開源軟件持續(xù)發(fā)展,銀聯(lián)云始終貫徹執(zhí)行2021年人民銀行等五部委發(fā)布的《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》,堅持“強(qiáng)調(diào)自主掌控為要、自研開源雙線并舉”“增強(qiáng)治理管控安全、積極參與開源生態(tài)”的建設(shè)策略。

從開源治理規(guī)范上來講,銀聯(lián)云主要從制度建設(shè)、開源成熟評估模型、開源標(biāo)準(zhǔn)化建設(shè)以及開源技術(shù)引進(jìn)四方面開展,銀聯(lián)云開源軟件治理體系主要針對制度建設(shè)、組織保障和流程管理。

拓寬開源治理方向 保障軟件供應(yīng)鏈安全

行業(yè)內(nèi)的開源治理除了行業(yè)側(cè)本身的努力外也離不開產(chǎn)業(yè)側(cè)的支持。

華訊網(wǎng)絡(luò)信創(chuàng)工程中心軟件開源治理技術(shù)總監(jiān)田雷以“開放生態(tài)下的安全合規(guī)之路-開源治理”為主題,從開源軟件風(fēng)險模型、國內(nèi)外開源治理現(xiàn)狀、華訊開源治理解決方案以及開源治理發(fā)展趨勢四方面進(jìn)行分享。

華訊網(wǎng)絡(luò)基于目前開源軟件的應(yīng)用態(tài)勢,提出以"輔助決策,步進(jìn)治理"為主的工作策略,以"掌握、協(xié)調(diào)、順應(yīng)"為主的治理手段,將開源軟件的質(zhì)量、安全、合規(guī)完全嵌入到整個開發(fā)流程中,形成了“體系+工具+平臺+服務(wù)”的完整解決方案,能夠為處于開源治理各階段的客戶提供相應(yīng)的服務(wù)與產(chǎn)品。

著眼于目前的研發(fā)業(yè)務(wù)來說,開源軟件治理方面的工作所占比重并不大,但隨著治理工作的推進(jìn),企業(yè)對開源治理的要求越來越高,華訊的開源軟件治理工作已經(jīng)向SBOM、狀態(tài)、漏洞、數(shù)據(jù)、以鏈治鏈幾個方向進(jìn)行拓展,以保障客戶軟件供應(yīng)鏈安全。

《中國開源軟件治理指南》圖書編寫方案介紹暨啟動儀式

近年來,開源軟件獲得越來越廣泛和深入的應(yīng)用,特別是正逐步被引入到企業(yè)的核心業(yè)務(wù)系統(tǒng)中。越來越多的機(jī)構(gòu)認(rèn)識到已經(jīng)有必要從組織級的視角來認(rèn)識和管理開源軟件,然而開源軟件治理目前還沒有公認(rèn)的方法論,對此,策劃開展《中國開源軟件治理指南》編寫項目。

在“新一代信息技術(shù):開源軟件治理和服務(wù)峰會”現(xiàn)場進(jìn)行了《中國開源軟件治理指南》圖書編寫方案介紹暨啟動儀式。

《中國開源軟件治理指南》項目經(jīng)理張順從項目背景、項目組織及開發(fā)歷程等四方面進(jìn)行《中國開源軟件治理指南》編寫方案介紹。

隨著開源技術(shù)被廣泛應(yīng)用,面臨的安全風(fēng)險促使行業(yè)對于開源治理解決方案的需求不斷增加,在這一背景下,決定啟動《中國開源軟件治理指南》編寫項目。同時,張順表示,在指南編寫過程中,將會借鑒金融行業(yè)科技體系建設(shè)方面的經(jīng)驗。

他指出,我們不僅只是為了寫一部書,而是要實現(xiàn)“1+3”個目標(biāo)。一是指南圖書編寫;二是形成一套開源軟件治理方法論體系;三是構(gòu)建一個開源軟件治理平臺和工具框架;四是提供一組開源軟件治理技術(shù)服務(wù)。

說到項目整體安排,張順介紹道:項目的進(jìn)程大體分為啟動、編寫、評審和發(fā)布等階段,計劃在2023年年底完成初稿撰寫,2024年第二季度發(fā)布并進(jìn)行最后項目收尾工作。

方案介紹結(jié)束,在全場嘉賓的見證下,工信部一所軟件所副所長李衛(wèi)、海通證券數(shù)據(jù)中心副總經(jīng)理王東、富國基金科技部總經(jīng)理李強(qiáng)、華訊網(wǎng)絡(luò)信創(chuàng)工程中心軟件開源治理技術(shù)總監(jiān)田雷以及《中國開源軟件治理指南》項目經(jīng)理張順共同啟動《中國開源軟件治理指南》編寫項目。

圓滿落幕

至此,新一代信息技術(shù):開源軟件治理和服務(wù)峰會圓滿結(jié)束。

北京國家金融科技認(rèn)證中心由人民銀行所屬企業(yè)中國金融電子化集團(tuán)有限公司全資設(shè)立,自成立以來,始終圍繞“打造國際領(lǐng)先、國內(nèi)一流的檢測認(rèn)證機(jī)構(gòu)”的目標(biāo),相繼研發(fā)推廣了認(rèn)證、檢測、安全和FinTech+等4大類主營業(yè)務(wù)。

此次大會,諸多優(yōu)秀行業(yè)用戶、權(quán)威專家與技術(shù)領(lǐng)袖,以主旨演講形式,向業(yè)界貢獻(xiàn)了開源軟件治理領(lǐng)域發(fā)展過程中的寶貴經(jīng)驗。

北京國金認(rèn)證、ITSS分會、DCMG和雙態(tài)IT論壇等機(jī)構(gòu)將發(fā)揮各自力量,共同推動金融行業(yè)開源治理的發(fā)展,為更多的行業(yè)用戶提供最具價值的實踐參考。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )