证券行业开源治理白皮书-27页_1mb.pdf

前言开源生态迅速发展，开源已经成为当前主流的协作模式。 2021年 3 月，开源首次被列入国家 “十四五”规划。同年 11 月，中国人民银行等五部委联合发布关于规范金融业开源技术应用与发展的意见，明确提出 “安全可控、合规使用、问题导向、开放创新”的开源使用原则。整体来看，我国对开源的重视程度已经提高到国家战略层面，开源指导政策正在逐步落地。开源技术在金融业各领域已得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥积极作用。证券业是金融业的重要组成主体之一，与银行类金融机构相比，证券机构研发能力较弱，主要通过采购商业解决方案构建信息系统，其中可能包含大量开源软件，由此带来的开源风险与治理问题已引起业内广泛关注。证券行业开源治理白皮书首先梳理我国开源整体发展趋势，进一步调研我国证券行业开源软件使用现状，分析证券机构使用开源软件的主要风险点，提出证券行业开源治理体系构建建议和开源治理方案，展望证券行业开源治理发展趋势，为规范证券机构合理应用开源技术，提高应用水平和可控能力提供重要参考。本白皮书编写单位为：恒生电子股份有限公司、中国信息通信研究院云计算与大数据研究所、安信证券股份有限公司、东北证券股份有限公司、光大证券股份有限公司、广发证券股份有限公司、国信证券股份有限公司、华安证券股份有限公司、南京证券股份有限责任公司、西南证券股份有限责任公司、兴业证券股份有限公司、浙商证券股份有限公司、招商证券股份有限公司、中银国际证券股份有限公司。目录一、开源产业蓬勃发展，使用开源软件的机遇与风险并存 . 1 （一）开源指导政策逐渐落地 . 1 （二）开源生态快速发展壮大 . 2 （三）开源风险问题不容忽视 . 4 （四）开源治理模式初步建立 . 6 二、我国证券行业开源应用广泛，但风险防控能力相对薄弱 . 8 三、开源治理体系助力证券机构规避风险，保障开源软件合规使用 . 13 （一）建立企业开源治理规范 . 13 （二）打造开源治理落地方案 . 17 四、证券行业开源治理发展趋势 . 21 （一）开源指导政策：推动金融行业开源软件管理意识提升 . 21 （二）开源软件使用：从分散管理走向规范化、体系化管理 . 21 （三）开源治理体系：从头部机构试点走向行业机构落地 . 21 （四）开源治理模式：以“开源”治理“开源”的新模式萌芽 . 22 图目录图 1 Gitee 近四年开源项目数量及增长率 . 2 图 2 Gitee 近四年开源贡献者数量 . 3 图 3 Gitee 近四年开源企业数量 . 3 图 4 我国开源软件应用比例 . 4 图 5 证券行业开源软件引入途径 . 8 图 6 证券行业开源治理体系建设情况 . 9 图 7 证券行业开源治理平台建设现状 . 9 图 8 证券行业开源知识产权治理现状 . 10 图 9 证券行业开源运维情况 . 10 图 10 证券行业信息技术投入及占营业收入比重 . 11 图 11 2020年银行业信息技术资金投入及占比 . 11 图 12 证券行业对开源供应商管理现状 . 12 图 13 开源治理方案 . 18 1 一、开源产业蓬勃发展，使用开源软件的机遇与风险并存（一）开源指导政策逐渐落地我国政策不断加码，支持开源生态发展。我国政策层面高度关注开源发展，从国家层面鼓励产业加大开源投入。 2021 年 3 月，开源首次被列入 “十四五 ”规划， “ 支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务 ”。开源已上升至国家战略层面，是政府未来工作的重点。 2021年 10月，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布关于规范金融业开源技术应用与发展的意见。文件重点提到金融机构在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”四大基本原则，一是鼓励金融机构将开源技术应用纳入自身信息化发展规划，建立健全开源技术应用管理制度体系等；二是鼓励金融机构积极参与开源生态建设，加强产学研交流合作力度，加入开源社会组织等；三是鼓励完善金融机构开源技术应用指导政策，探索建立开源技术公共服务平台，加强开源技术及应用标准化建设等。 2021 年 11 月，工业和信息化部印发“十四五”软件和信息技术服务业发展规划，提出到 2025年建设 2-3个有国际影响力的开源社区。文件突出强调开源在驱动软件产业创新发展、赋能数字中国建设的重要作用，提出“繁荣国内开源生态”的重点任务，设置 2 “开源生态培育”专项行动，统筹推进建设高水平基金会。面向重点领域打造优秀开源项目，深化开源技术应用，夯实开源基础设施，普及开源文化，完善开源治理机制和治理规则，加强开源国际合作，推动形成众研众用众创的开源软件生态。（二）开源生态快速发展壮大我国开源项目数量爆发式增长。 Gitee2020年度报告数据指出 1，2020年 Gitee平台开源代码库增长率达 157%，开源项目数量达到 1500万，是 2013年至 2018年 Gitee平台开源项目的总和。开源项目分布数量前三的领域分别为程序开发（占比 24.29%）、 Web应用开发（占比17.75）与移动开发（占比 10.15%）。来源： Gitee， 2020 图 1 Gitee 近四年开源项目数量及增长率我国开源贡献者人数规模快速扩大。我国开源贡献者数量快速增长，在全球贡献者中的占比不断攀升。 GitHub 2021 年调研报告显示，中国在 GitHub 的贡献者数量增长迅速，贡献者人数达到 755 万 1 300520 58315000%50%100%150%200%020040060080010001200140016002017年 2018年 2019年 2020年项目数（万） 3 人，仅次于美国。在过去一年，中国贡献者数量增长 16%，增长速度为全球最快。 2020 年， Gitee 平台上参与开源的贡献者数量增长了50%，达到了 600 万，其中 38%是首次参与开源。来源： Gitee， 2020 图 2 Gitee 近四年开源贡献者数量企业逐渐重视对外开源贡献。根据 Open Source Contributor Index公布的 2021 年 11 月全球开源厂商 GitHub 开源贡献排名 2，华为、腾讯、阿里分别位列 11、 14、 16 位，华为活跃开发者人数为 1059，参与社区数为 2703。根据 Gitee2020 年度报告显示， 2020 年 Gitee 企业用户达到 18 万，相较于 2019 年的 10 万家企业，增长率达到 80%。来源： Gitee， 2020 图 3 Gitee 近四年开源企业数量 2 opensourceindex.io 2003004006000%10%20%30%40%50%60%01002003004005006007002017年 2018年 2019年 2020年开源贡献者数（万）增长率2510180%50%100%150%200%051015202017年 2018年 2019年 2020年企业数（万）增长率 4 我国企业开源软件应用比例逐年提升。近年来，我国企业对开源技术的接受程度越来越高，使用开源技术已成主流。根据中国信通院调查显示， 2021 年我国已经使用开源技术的企业占比为 88.2%，暂未计划使用开源技术的企业占比仅为 2.1%。来源：中国信息通信研究院图 4 我国开源软件应用比例（三）开源风险问题不容忽视企业在享受开源引入带来的成本降低、技术迭代速度加快等便利的同时，也面临着安全漏洞风险、数据泄露风险、知识产权风险和管理风险。开源软件的漏洞和缺陷问题威胁系统安全运行。根据新思科技发布的 2021 开源安全与风险分析报告显示， 84%的开源代码库至少含有一个漏洞，近三年漏洞比例逐年增高， 60%的已审核代码库中包含高风险漏洞。所有经过审计的营销科技类公司的代码库都包含开源，其中 95%的营销科技代码库存在开源漏洞。 97的金融服务 /金融科技行业代码库包含开源代码，其中超过 60的代码库存在漏洞。开源软件因其共享特性可能导致数据泄露风险。开源代码在拥有互操作性、无歧视性和透明性的同时，也存在着数据安全隐患。88.2%9.5%2.1%已经使用有计划使用暂时没有计划使用 5 开源软件很多配置信息会涉及到账号密码，如果不对代码所携带的信息进行检查、评估和加密处理，一旦开发者出现疏忽没能及时处理这些敏感数据，可能会造成大量的用户信息随着代码的共享而泄露。开源软件知识产权风险问题相对专业和复杂。由于软件本身在受到知识产权保护时存在一定权利竞合而带来的专业性和复杂性。软件源代码可能同时存在多种权利类型：源代码可以作为计算机软件作品受到著作权保护，源代码实现的功能形成新的技术方案可以申请专利受到专利权保护，开源前如果源代码符合商业秘密保护要求可以受到反不正当竞争法保护。这就要求对开源软件知识产权问题进行多维度的综合分析。根据新思科技 2021 开源安全与风险分析报告统计，超过 90经审计的代码库中含有许可证冲突、自定义许可证或根本没有许可证的开源组件； 2020 年审计的代码库中，65%包含存在许可证冲突的开源组件，通常涉及 “GNU通用公共许可证 ”； 26%的代码库采用了没有许可证或定制许可证的开源代码。这三种问题可能导致侵权和其他法律风险，通常需要进行审慎评估。企业对开源软件的管理能力有待加强。企业若想更有效率的使用开源软件，必须配备专业的软件管理与运维团队对开源软件进行需求响应和日常维护治理。大多数开源软件由于迭代频率快，且往往不存在专业的第三方技术支持，导致企业内部工作人员需要不断跟踪软件的版本迭代、规避潜在风险，进而大幅度增加开源软件运维工作量。所以在引入开源软件前，要进行引入评估工作，选取社 6 区支持能力较强、具备第三方商业支持或企业内部具备运维能力的开源软件。（四）开源治理模式初步建立头部科技企业最早关注开源风险治理。科技企业由于涉及海外业务，对开源合规要求较高，因此在国内企业中最早关注开源风险治理。 OpenChain ISO/IEC 5230 是开源许可证合规性的国际标准，作为 Linux 基金会下的项目，其成员单位包括 ARM、微软、谷歌、高通等各领域巨头。 2020年 OPPO宣布以白金会员加入 OpenChain，也是国内首家加入该项目的白金会员； 2021 年华为以白金会员身份加入 OpenChain 项目，与高通、谷歌、西门子、丰田等 20 多个全球企业共同打造安全的开源软件供应链。金融用户企业开始制定开源管理方案。中国信通院 2020 年金融行业开源软件使用情况调查数据显示， 46.88%的金融用户企业具备统一的开源管理流程和团队，高于全行业用户调研数据中的30.8%。金融行业开源技术应用社区 2021 年调查显示，超六成金融机构要求企业仅能使用内部提供的开源软件，不得自行下载和使用任何不在内部清单范围内的开源软件。总体来看，我国金融机构对开源软件管理问题的重视程度逐步提升，正在朝着专业化方向发展。金融机构尝试通过对外开源打造事实标准。高盛、摩根大通等国外金融巨头，浦发银行、微众银行、东方证券等国内金融机构陆续开始对外开源项目，在具有行业通用性、满足金融业务共性需求的基础技术领域，探索通过开源模式吸引业界广泛参与、扩大软件 7 应用规模、打造事实标准，以开源模式解决封闭架构下运维成本高、技术易过时等问题，从而达到降低企业运维成本、延长技术寿命、主导技术路线的目的。 8 二、我国证券行业开源应用广泛，但风险防控能力相对薄弱开源技术在各行各业应用广泛，在金融领域推动科技创新和数字化转型方面也已发挥重要作用。据金融行业开源技术应用社区调查显示，超过 90%的中国金融机构已经引入开源软件。作为金融业的重要组成主体，近年来证券行业对开源技术的使用逐渐增加，通过自研、外部、采购等多种形式在信息系统中引入大量开源软件。证券行业开源软件引入方式多样、云原生相关技术占比高。根据证券行业开源使用调研结果显示，参与调研的企业中约 90%以上通过自研方式引入开源，约 63%的企业通过外包合作开发方式引入，约 82%的企业通过采购商业解决方案方式引入。在确定开源软件引入使用管理部门的原则上，企业的选择各有不同，主要以部门负责和技术委员会负责为主。证券公司对云原生技术的选用占比较高，包括开源中间件技术 Redis、 Kafka、 RocketMQ、 ES，服务注册中心技术 ZooKeeper，集群管理技术 Kubernetes，负载均衡技术 Nginx 等。来源：恒生电子、中国信通院， 2021 年 12月图 5 证券行业开源软件引入途径 91%64%82%9%0% 20% 40% 60% 80% 100%证券机构自研引入证券机构通过外包合作开发引入证券机构通过采购商业解决方案引入其他 9 证券行业开源治理流程体系尚不完善，开源治理平台存在缺失。根据证券行业开源使用调研结果显示，在开源治理流程体系方面，有超过 72%的企业暂无相关流程体系，约 73%的企业暂无开源治理平台但计划未来将该平台建设纳入规划。来源：恒生电子、中国信通院， 2021 年 12月图 6 证券行业开源治理体系建设情况来源：恒生电子、中国信通院， 2021 年 12月图 7 证券行业开源治理平台建设现状运维人员投入少，开源知识产权风险防控薄弱。根据证券行业开源使用调研结果显示，在开源治理人员投入上，以多人兼职，无73%27%无相关流程有 1个开源治理流程18%73%9%0%0% 10% 20% 30% 40% 50% 60% 70% 80%目前无开源治理平台需求，未来也无建设计划开源治理平台计划纳入规划目前已经有开源治理平台，正在落地过程中目前已经有开源治理平台，已经正式上线使用 10 单独开源管理团队模式为主；在开源软件漏洞修复、二次开发、运维、版本维护方面，有 64%左右的企业设立专业团队来支撑。来源：恒生电子、中国信通院， 2021 年 12月图 8 证券行业开源知识产权治理现状来源：恒生电子、中国信通院， 2021 年 12月图 9 证券行业开源运维情况证券行业研发实力与银行等其他金融行业存在较大差距，外包成为众多中小机构的主要研发模式。根据中国证券业协会、广发证券发展研究中心调研报告显示， 2017-2020 年证券业信息技术投入金额从 2017 年的 159.86 亿元增长至 2020 年的 262.87 亿元，年均增速18%。信息技术投入占上年度专项合并口径营业收入比重从 2017 年27%18%9%0%55%0% 10% 20% 30% 40% 50% 60%对主流的开源许可证进行专业解读，形成管理标准，对开源软件的引入和使用提出约束要求参与每次开源软件引入的评估过程，并出具意见为科技部门在引入和使用开源过程中的法律合规疑问提供咨询服务采购外部专业法律服务为开源软件法律合规管理提供支持开源软件法律合规管理的工作方式还在探索中64%36%有专业开源运维团队无专业开源运维团队 11 的 4.9%增长到 2020 年的 7.5%。 2017-2020 年证券业信息技术投入金额累计达 845 亿元， 2019 年我国银行业信息技术投入 1,730 亿元，是证券行业信息技术投入的 8.44 倍。 2020 年，工行、建行、农行、中国银行以及招商银行等 5 家银行的科技投入超过百亿元。目前除了头部券商拥有独立研发中心外，众多中小券商研发能力相对薄弱，包括交易等核心业务在内的系统研发长期依靠供应商提供。来源：中国证券业协会、广发证券发展研究中心图 10 我国证券行业信息技术投入及占营业收入比重来源： Wind、广发证券发展研究中心图 11 2020 年银行业信息技术资金投入及占比证券机构对开源供应商要求严格，源代码和软件清单交付为主流模式。根据证券行业开源使用调研结果显示， 73%以上的企业在150 1702002400%1%2%3%4%5%6%7%8%9%0501001502002503002017 2018 2019 2020信息技术投入（亿元）占营收比（ %，右）240 220190 1701300%1%1%2%2%3%3%4%4%5%5%050100150200250300工商银行建设银行农业银行中国银行招商银行科技投入（亿元）占营收比（ %，右） 12 采购商业解决方案时出于安全管理和避免锁定两方面考虑会要求乙方提供开源软件清单和源代码；在提到如果考虑使用闭源方案替换开源方案时，考虑的因素除了企业级方案功能更完善、能提供更好的培训外，更多的是可以获得比开源方案更好的服务保障，这也可以侧面说明开源治理在证券公司目前是相对缺失的。在开源许可证风险防控工作的开展上， 55%以上的证券公司表示关于开源软件法律法规合规管理的工作方式还在探索中，开源合规风险的预警能力有待加强。来源：恒生电子、中国信通院， 2021 年 12月图 12 证券行业对开源供应商管理现状总体来看，当前的软件开发过程可类比早期的工业生产活动，是以开源技术为原材料，在此基础上结合实际业务需求和应用场景补充添加相对独立的业务代码，最后“拼装”出一套软件系统。这种敏捷开发的方式虽然在一定程度上提高了软件系统开发的效率，却并未充分考虑其使用的开源组件是否安全可靠，为软件系统的安全可控带来了巨大挑战。 0% 9%18%73%无要求仅要求提供开源软件清单仅要求提供源代码要求提空开源软件清单 +源代码 13 三、开源治理体系助力证券机构规避风险，保障开源软件合规使用证券机构在开源技术使用上主要分为两种情形：一是外购商用软件涉及开源技术，二是自身研发过程中使用开源技术进行系统开发。供应商引入开源软件可能导致开源供应链风险，并传递给证券公司。相比于自主研发，采购供应商提供的软件导致证券机构对软件研发过程的把控力较弱。当前混源开发成为软件开发的主流模式，供应商在研发过程中往往会引入开源软件，如供应商未形成开源供应链治理体系，会导致证券机构被迫接受来自供应链上游转嫁的开源风险。机构直接引用开源软件管理难度大，风险问题突出。由于当前证券行业普遍未形成较为成熟的开源管理体系，机构研发人员缺乏开源风险意识，往往未经报备就引入各类开源软件，导致存量开源软件数量大、版本多、管理复杂，开源风险隐患突出。总体来看，证券机构在享受开源带来的红利时，也面临着开源带来的复杂风险。针对上述两种典型开源引入场景，有必要建立开源治理体系，规范开源供应商及内部自研管理，通过可执行、可落地的开源治理方案，实现开源软件的安全可控和合规使用。（一）建立企业开源治理规范 1.规范开源供应商及交付物管理证券行业应建立开源供应商准入机制，保障开源软件供应链风险可控。证券机构应对供应商设置准入机制，在现有供应商管理规章制度中增加对供应商开源审查环节，制定开源红线。在开源引入 14 阶段，要求供应商考察开源软件社区活跃度、限制引入处于生命周期末端或社区活跃度低的开源软件。在开源二次开发阶段，要求供应商在修改开源软件时需要在修改处进行标记并说明修改方式，同时保障开源软件各分支管理。在交付阶段，需考察供应商对引入的开源软件是否有分发说明，并按照要求提供物料清单，包括但不限于：开源组件名称及版本、开源许可证名称及传染性、开源软件安全漏洞名称、等级、影响范围及修复情况。证券行业应建立软件供应商开源使用规则。软件供应商直接引入开源软件时需进行开源软件选型评估并进行开源软件登记，确定开源软件引入方式，建立制品库用于存放引入且不修改的开源软件，建立源码库用于存放引入且修改的开源代码，定期进行研发人员培训，培养开源风险防范意识。在进行二次开发过程中需注意开源软件研发留痕，同时规定需要贡献上游社区的场景，减少开源软件分支，同一研发项目需进行开源软件版本收敛，降低维护成本。供应商通过外包形式引入开源软件时，需针对外包商建立使用规则，同时要求外包商提供源码和物料清单，通过合同协议等相关条款约束发生问题时的责任方。供应商通过采购商业解决方案引入开源软件时，应要求上游供应商提供物料清单，建立上游供应商准入门槛，设置开源红线，通过合同协议等相关条款约束发生问题时的责任方。证券行业应进行开源软件交付物风险确认。一方面，证券机构应要求供应商在交付前完成对开源软件的风险评估与处理，同时要求供应商提供分发说明和物料清单；另一方面，证券机构应通过开 15 源治理工具等手段进行交付物开源组成识别，确认交付物闭源部分无中风险级别以上漏洞，对于出现中风险级别及以上漏洞的情况，应要求供应商进行修复或提供漏洞影响说明。确认交付物闭源部分不受 GPL、 AGPL 等传染型开源许可证影响，如出现上述情况，应要求供应商进行解耦处置并开源相关部分，或进行组件替换。确认交付物开源软件版本收敛情况，对于同一软件出现多版本的情况，要求供应商进行版本收敛。确认交付物无开源知识产权侵权情况，对于可能出现的知识产权风险要求供应商进行整改或组件替换。 2.构建企业内部开源治理体系框架构建组织架构为开源软件直接引入治理提供人员保障。对于直接引入开源软件进行研发的场景，相关机构需建立开源治理组织架构，由信息技术治理委员会或架构委员承担开源治理职责。委员会需划分开源治理角色和分工，保障能够对开源软件进行统一管理。管理人员需要统筹开源治理战略目标，把控开源软件引入规则和审批流程，从源头杜绝开源风险。安全人员需要进行开源软件安全漏洞识别和安全漏洞修复方案制定，同时需要对引入的开源软件进行开源安全漏洞监控，及时发现新增漏洞并修复。法务人员需要进行开源软件许可证兼容性、传染性及知识产权审核，对于存在许可证兼容性冲突和强传染型许可证的相关软件给出处理策略，并审查开源许可证中可能存在的商标权、专利权、著作权等情况，预防知识产权侵权风险。技术人员需要关注开源软件技术成熟度，评估开源软件在研发中的功能满足情况，对开源软件的社区活跃度和版本稳 16 定性进行考察，同时开展开源软件应用成熟度调研，对活跃度较低或处于生命周期末端的开源软件进行风险评估。建立规章制度为开源软件直接引入治理提供管理依据。证券机构应建立一套科学成熟的开源软件管理与使用制度，加强自身能力建设，安全引入开源技术。包括但不限于如下几方面：开源软件引入评估流程。证券机构应定期评估机构现存的开源软件，包括但不限于开源软件依赖信息、开源版本信息、开源许可证信息，掌握开源软件存量情况，对发现的问题及时处置；同时，证券机构还应进行开源软件技术评估，包括但不限于同类型软件对比、行业认可度评估、商业支持度评估等。开源软件安全评估流程。证券机构应从安全角度对引入的开源软件进行风险评估，包括但不限于开源软件安全漏洞分析、开源软件法律合规审核、开源软件信息登记等。开源软件全生命周期持续评估流程。在引入开源软件后，证券机构应在软件的整个生命周期中对其进行持续关注和跟踪，包括：开源软件使用流程、开源软件源代码修改流程、开源社区动态跟踪、开源软件安全漏洞跟踪、开源软件版本跟踪、开源许可证跟踪、开源软件退出管理等。开源软件风险防范流程。证券机构应针对开源软件可能存在的风险制定一系列防范措施，包括：开源许可证兼容性风险防范、开源许可证传染性风险防范、开源知识产权风险防范、安全漏洞风险防范、个人隐私泄露风险防范、采购和外包法律约束防范等方面。 17 （二）打造开源治理落地方案从软件使用全生命周期维度，分析证券行业的两类典型开源技术使用场景，可以进一步形成可复制、可落地、可执行的开源治理方案。对于外购商用软件包含开源技术的场景，从软件使用全生命周期来看，包括软件采购、软件使用、软件运维、软件退出几个阶段。在商用软件使用全生命周期中，应主要关注供应链风险、开源组件安全风险、以及版本更新风险。金融机构应通过合同或协议条款明确软件供应商的义务和责任，并要求软件供应商对其提供的软件产品进行安全风险评估和合规审查。针对软件使用过程中开源技术可能涉及的新增漏洞问题，金融机构也可通过开源治理平台进行安全风险和合规风险扫描，并通知供应商及时进行风险处置。对于需要在研发过程中使用开源技术进行系统开发的场景，从开源技术使用全生命周期来看，包括开源技术引入、使用、持续集成、发布、运维、退出几个阶段。在开源技术引入阶段需由技术、安全、法务等部门相关负责人进行评估，评估通过后方可使用。开源使用阶段和持续集成阶段需持续关注安全风险和合规风险，确认风险可控后方可进行软件发布。运维阶段需持续对开源技术进行安全跟踪和许可变更预警，发生新漏洞公开或许可证协议变更等情况应做到及时预警，同时需持续关注开源组件的服务运行状态、资源使用情况等观测指标。依据上述使用场景进一步分析，在外购商用软件包含开源技术的 18 场景下，开源治理方案的核心在于开源治理平台；在使用开源技术进行开发的场景下，开源治理方案除开源治理平台外，还可集成研发运维流程，即开源治理平台可结合 DevOps研发运维一体化平台以满足全生命周期开源技术的治理。开源治理总体方案可参考下图。来源：恒生电子， 2021 年 12月图 10 开源治理方案开源技术的引入阶段，开源治理平台可提供组件引入流程审批功能，技术、安全、法务等部门相关负责人进行评审，评审通过后正式纳入使用，也可对接证券机构现有相关流程审批系统。开源治理平台要对开源技术进行统一治理，首先需要进行开源组件数据的归集。需归集的开源组件数据主要来自三方面：现存软件系统中使用的组件、通过风险评估后拟引入的开源组件，以及通过风险评估的外购软件所含组件。开源组件宜通过工具自动识别，同时平台可支持组件补录。 19 开源组件数据归集后，开源治理平台应提供相对完整的开源组件台账管理能力，台账属性包括不限于：资产编号、组件名称、组件使用状态、组件版本号、开源协议、是否安全、是否合规、组件使用方等信息。平台可提供软件资产列表模式和树形结构拓扑图模式，便于对组件进行管理。开源治理平台可对接开源风险评估工具，对开源组件的安全漏洞风险、许可证合规风险进行跟踪和管理。风险发生时可将具体风险内容及推荐解决方案通知到组件使用方，同时可禁止从仓库中下载风险组件，在风险修复后可再次下载。可提供风险统计图表，从扫描文件数量、不同风险等级漏洞分布、风险状态分布、高危漏洞TOP10 组件、许可证兼容性风险等维度来统计组件风险情况。对于需要使用开源组件进行开发的场景，开源治理平台可集成DevOps 平台，在软件发布过程中还会涉及到持续集成和发布环节，DevOps 平台自动化流水线可以对接风险评估工具，确保风险评估通过后方可进行发布。开源组件在发布上线后应进行持续监控，需对开源组件已公开的安全漏洞做到预警、通知、处置，对开源组件许可证协议条款变更可能导致的合规问题及时预警。同时对开源组件设置黑白名单机制，根据安全风险等级和许可证风险等级等条件，调整黑白名单策略。对于老旧、不再维护、长期无产品引用、存在安全合规风险的组件，经技术、安全部门等多方评估后进行退出处理，已进入退出 20 程序的组件，将禁止被引用和构建。证券机构业务系统以外购为主，外购系统可通过开源治理平台完成业务系统与开源组件的关联关系分析、组件清单生成、预警通知等功能。从组件统一管理的角度，不同外购业务系统的同类开源组件无法确保组件同源性及版本一致性，该问题可通过统一采用技术平台提供的开源组件服务解决，同时也可在开源组件出现安全漏洞时获得专业团队支撑。 21 四、证券行业开源治理发展趋势（一）开源指导政策：推动金融行业开源软件管理意识提升 2021 年 10 月，中国人民银行等五部委联合发布的关于规范金融业开源技术应用与发展的意见已成为金融行业使用开源软件的重要准则，其中“安全可控、合规使用、问题导向、开放创新”的四大基本原则为金融行业如何使用开源软件奠定基调。我国金融机构逐步从使用开源走向管理开源，各级人员的开源风险意识和开源管理意识得到了质的提升，开源软件的混乱管理状态将得到根本性改变。（二）开源软件使用：从分散管理走向规范化、体系化管理初期证券机构对开源软件缺乏统一管理，往往由供应商和内部研发人员引入，各项目组分散管理，管理体系不完善、不规范，风险隐患问题突出。近几年随着业内开源风险和治理的意识提升，证券机构逐步搭建开源治理组织架构，设置开源治理团队，明确开源治理职责分工，建立分级分类管理机制，开源软件的使用和管理逐步走向规范化、体系化。（三）开源治理体系：从头部机构试点走向行业机构落地头部银行等大型金融机构由于自身研发实力雄厚，技术人员数量充足，在前几年首先启动开源软件风险与治理工作，部分大行已 22 经采购开源扫描工具，搭建开源软件治理支撑平台，实现对开源软件引入、使用、更新、退出的全流程规范管理。近几年证券等中小型金融机构开始借鉴头部机构经验，结合自身实际情况构建开源治理体系，开源治理在金融行业“以点带面”迅速铺开。（四）开源治理模式：以“开源”治理“开源”的新模式萌芽为了更好地实现供应商管理，证券机构探索通过可信的第三方代码托管平台，实现交付物源代码的第三方托管，以开源管理模式防控供应商交付物可能带来的风险。一方面，第三方代码托管平台集成扫描工具可以实现代码合规和安全检测，保障交付物的安全可控；另一方面，第三方代码托管平台可以有效规避闭源技术被供应商绑架的问题和潜在的断供风险，保证在极端情况下代码可获取、可维护，保障证券机构业务连续性。