信息化觀察網(wǎng)

本文來自微信公眾號“twt企業(yè)IT社區(qū)”。

面對新技術，無法逃避，只有先行和后行，沒有不執(zhí)行。本文來自社區(qū)文章《論述金融機構(gòu)使用開源軟件的潛在風險》及對該文的評論交流，由社區(qū)會員分享，也歡迎大家參與探討。

 朱向東中原銀行高級工程師：

當今金融行業(yè)廣泛采用了開源軟件，以提高生產(chǎn)效率和降低成本。然而，在金融機構(gòu)生產(chǎn)環(huán)境中使用開源軟件也面臨許多潛在的風險問題。這些問題包括安全風險、法律風險、操作風險、維護風險和依賴風險。

首先，由于開源軟件的源代碼是公開的，黑客可以輕易地找到其中的漏洞和安全漏洞，從而對系統(tǒng)進行攻擊和入侵，導致安全風險。

其次，開源軟件往往有許多不同的許可證，如果金融機構(gòu)不了解這些許可證的細節(jié)，很可能會侵犯版權(quán)或者使用不當，從而面臨法律訴訟的風險。

此外，開源軟件的使用需要技術人員進行定制和配置，如果金融機構(gòu)沒有足夠的技術能力和經(jīng)驗，很可能會出現(xiàn)配置不當、操作錯誤等風險，導致系統(tǒng)崩潰、數(shù)據(jù)丟失等問題，從而產(chǎn)生操作風險。同時，開源軟件的維護需要技術人員進行，如果這些人員離職或者轉(zhuǎn)崗，而新的技術人員沒有足夠的經(jīng)驗和能力來維護這些系統(tǒng)，金融機構(gòu)就會面臨無法維護的風險。

最后，開源軟件往往有很多依賴關系，如果其中一個依賴關系出現(xiàn)問題，整個系統(tǒng)都會受到影響，導致依賴風險。因此，金融機構(gòu)需要仔細考慮這些依賴關系，并采取相應的措施來降低依賴風險。

綜上所述，金融機構(gòu)在生產(chǎn)環(huán)境中使用開源軟件，雖然能夠降低成本和提高效率，但也存在潛在的風險問題。其中，安全風險是最為突出的問題，因為開源軟件源代碼公開，容易被黑客攻擊和入侵。此外，開源軟件許可證的多樣性也可能導致金融機構(gòu)侵犯版權(quán)或使用不當，面臨法律風險。操作風險、維護風險、依賴風險也都是潛在的問題，需要金融機構(gòu)采取相應的措施來降低這些風險的影響。因此，金融機構(gòu)必須充分認識和評估開源軟件在生產(chǎn)環(huán)境中的風險問題，建立完善的安全策略、培訓技術人員、建立有效的維護機制等，才能更好地利用開源軟件的優(yōu)勢。

 jason2006xu昆侖銀行：

金融機構(gòu)使用開源軟件的潛在風險主要包括以下幾個方面：

1.安全風險：開源軟件的代碼是公開的，這意味著黑客可以更容易地找到漏洞和安全漏洞。如果金融機構(gòu)使用的開源軟件存在安全漏洞，黑客可以利用這些漏洞來攻擊金融機構(gòu)的系統(tǒng)，導致數(shù)據(jù)泄露、資金損失等問題。

2.法律風險：開源軟件通常使用開源許可證，這些許可證可能會對金融機構(gòu)的業(yè)務產(chǎn)生影響。例如，某些開源許可證可能要求金融機構(gòu)公開其使用的軟件的源代碼，這可能會泄露機構(gòu)的商業(yè)機密。

3.維護風險：開源軟件通常由社區(qū)維護，而不是由專業(yè)的軟件開發(fā)公司維護。這意味著金融機構(gòu)可能無法獲得及時的技術支持和維護服務，這可能會導致軟件出現(xiàn)問題或無法正常運行。

4.兼容性風險：金融機構(gòu)使用的開源軟件可能與其現(xiàn)有的系統(tǒng)和軟件不兼容，這可能會導致數(shù)據(jù)丟失、系統(tǒng)崩潰等問題。

綜上所述，金融機構(gòu)使用開源軟件需要謹慎，需要對開源軟件進行充分的安全評估和風險評估，以確保其安全性和穩(wěn)定性。同時，金融機構(gòu)需要遵守開源軟件的許可證要求，以避免法律風險。

 jillme jollytech：

使用開源軟件是未來一段長時間可見的必然的方向，只有先行和后行，沒有不執(zhí)行的?？萍碱I域的沖突日益加劇，國產(chǎn)化的應用比例的提升，在沒有辦法全部軟件國產(chǎn)化之前，開源是一項必經(jīng)之路。

但是開源也有很多的問題，需要在應用中重視：開源版本的兼容性，新版本不再支持舊版本。開源中存在的系統(tǒng)漏洞需要人工發(fā)現(xiàn)和維護。此外使用開源軟件也需要進行事先評估，將風險降低到最小。還有我理解的是開源軟件使用，采用小步快跑的模式，先使用不重要的系統(tǒng)，再使用重要的系統(tǒng)。還有在使用開源軟件的同時，也需要培養(yǎng)能夠修改的人員或者有多個選擇替代品，做到開源閉源后，依舊可以使用。

 lych370系統(tǒng)運維工程師：

凡事都具有兩面性，船可載舟亦可覆舟，開源軟件既是風險也是挑戰(zhàn)，面對當前金融行業(yè)的降本增效大潮，擺脫國外軟件的依賴，伴隨著去IOE的大潮，開源軟件必然是一種趨勢和嘗試，如何去權(quán)衡風險和收益顯得尤為重要，

針對文章中提到的觀點進行補充，開源軟件最大的問題是不確定性和缺少售后支持，如果有強大的技術團隊的話可以考慮二次開發(fā)，利用開源軟件的優(yōu)勢開發(fā)符合自己的產(chǎn)品，同時通過開發(fā)掌握產(chǎn)品的風險和問題，進行優(yōu)化。另外既然不確定，那么初始階段金融企業(yè)完全可以選擇一些不是很重要的或者內(nèi)部使用的系統(tǒng)進行嘗試，等用過一段時間穩(wěn)定后再考慮應用在其他系統(tǒng)上，達到循序漸進的效果。

我們每天總會面對新的技術，無法總是逃避。

 myciciy某金融科技公司：

《中國人民銀行辦公廳中央網(wǎng)絡安全和信息化委員會辦公室秘書局工業(yè)和信息化部辦公廳中國銀行保險監(jiān)督管理委員會辦公廳中國證券監(jiān)督管理委員會辦公廳關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》關于開源技術使用的內(nèi)容很全面且具體，很值得參考：

二、金融機構(gòu)在使用開源技術時應遵循以下原則：

（一）堅持安全可控。金融機構(gòu)應當把保障信息系統(tǒng)安全作為使用開源技術的底線，認真開展事前技術評估和安全評估，堵塞安全漏洞，切實保證技術可持續(xù)和供應鏈安全，提升信息系統(tǒng)業(yè)務連續(xù)性水平。

（二）堅持合規(guī)使用。金融機構(gòu)應當遵循開源技術相關法律和許可要求，合規(guī)使用開源技術，明確開源技術的使用范圍和使用的權(quán)利與義務，保障開源技術作者或權(quán)利人的合法權(quán)益。

（三）堅持問題導向。鼓勵金融機構(gòu)有針對性地選擇和使用開源技術，建立開源技術使用問題發(fā)現(xiàn)、反饋、解決等閉環(huán)機制，推動開源技術不斷迭代升級。

（四）堅持開放創(chuàng)新。鼓勵金融機構(gòu)重視開源技術應用與發(fā)展，積極參與國際國內(nèi)開源技術社區(qū)建設，汲取先進技術，貢獻中國智慧，培育適合金融場景的開源產(chǎn)業(yè)鏈，提升開源技術話語權(quán)。

三、金融機構(gòu)可以將開源技術應用納入自身信息化發(fā)展規(guī)劃，明確開源技術應用目標，制定開源技術應用工作方案并組織實施。

四、鼓勵金融機構(gòu)加強對開源技術應用的組織管理和統(tǒng)籌協(xié)調(diào)，成立由科技、法務、采購等部門組成的開源技術應用協(xié)調(diào)機制，負責開源技術評估、選擇、應用等工作，協(xié)調(diào)解決應用中遇到的困難和問題。

五、鼓勵金融機構(gòu)建立健全開源技術應用管理制度體系，規(guī)范開源技術的引入審批、技術評估、合規(guī)使用、漏洞檢測、更新維護、應急處置、停用退出等行為。

六、金融機構(gòu)可以根據(jù)金融業(yè)務場景，選擇適宜的技術路線，制定合理的開源技術應用策略，包括獨立完成開源技術應用及運維、引入第三方機構(gòu)的開源技術支持服務、采購開源技術提供商的商業(yè)軟件版本及服務等。

七、金融機構(gòu)可以根據(jù)開源技術使用情況，建立開源技術應用臺賬，及時掌握開源許可證變更、漏洞、閉源、停服等變化情況，實行常態(tài)化管理，規(guī)避風險。

八、鼓勵金融機構(gòu)將開源技術應用作為提高核心技術自主可控能力的重要手段，加強開源技術研究儲備，掌握開源技術核心，以應用促提升，依托金融業(yè)豐富的業(yè)務場景促進開源技術迭代升級。

九、推動金融機構(gòu)建立健全對開源技術基本功能、性能指標、安全性、社區(qū)成熟度、商業(yè)支持度、行業(yè)認可度等方面的評估體系，對開源技術引入、使用、更新、退出等環(huán)節(jié)開展定期評估，在提升自身評估能力的同時，可結(jié)合實際引入第三方評估服務。

十、支持金融機構(gòu)對開源技術版權(quán)、專利、商標、聲明等進行事前合規(guī)審查，通過審查開源許可證遵從性和兼容性、梳理開源技術間依賴性等，避免法律糾紛。可根據(jù)需要引入第三方合規(guī)審查服務。

十一、支持金融機構(gòu)制定應急處置預案，應對開源技術潛在漏洞、后門及閉源、停服等突發(fā)情況。通過規(guī)劃備選方案、限制使用場景、儲備核心技術人才等措施降低風險。及時更新應急處置預案，定期開展演練，保證應急處置預案的有效性。

十二、支持金融機構(gòu)加強開源技術供應鏈管理，保障開源技術產(chǎn)品和服務質(zhì)量，通過合同或協(xié)議條款，明確開源技術提供商義務和責任，并要求開源技術提供商對其提供的開源技術進行技術評估、合規(guī)審查等。

十三、鼓勵金融機構(gòu)積極參與開源生態(tài)建設，依法合規(guī)分享開源技術應用經(jīng)驗，共享開源技術研究成果。通過主動開源、貢獻代碼解決行業(yè)共性問題，提升開源技術整體應用水平。鼓勵金融機構(gòu)之間開展開源項目合作，實現(xiàn)優(yōu)勢互補、互利共贏、共同發(fā)展。

十四、鼓勵金融機構(gòu)與科技企業(yè)、高等院校、科研院所、中介服務等機構(gòu)加強交流合作，基于市場化原則開展開源技術聯(lián)合研發(fā)和運營，加強開源技術人才培養(yǎng)，推進開源技術迭代升級，促進開源技術成果轉(zhuǎn)化。

十五、支持金融機構(gòu)加入合法合規(guī)的開源社區(qū)、開源基金會等開源社會組織，參與開源技術規(guī)劃設計、研發(fā)決策、社區(qū)運營等活動。開源社會組織發(fā)揮自律作用，研究出臺自律公約，規(guī)范開源技術參與機構(gòu)行為，保障開源技術貢獻者合法權(quán)益。發(fā)揮橋梁紐帶作用，建立穩(wěn)定、高效的交流分享機制，定期開展開源技術交流、產(chǎn)金對接、應用推廣等活動。

十六、鼓勵開源技術提供商加快提升技術創(chuàng)新能力，切實掌握開源技術核心代碼，形成自主知識產(chǎn)權(quán)，夯實產(chǎn)業(yè)支撐能力。在提供基于開源技術的商業(yè)軟件或服務時，遵循開源許可協(xié)議和相關法律法規(guī)要求，明確開源技術的使用范圍和使用的權(quán)利與義務，保障用戶合法權(quán)益。探索自主開源生態(tài)，重點在操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎軟件領域和云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術領域加快生態(tài)建設，利用開源模式加速推動信息技術創(chuàng)新發(fā)展。