1月19日,恒生电子与中国信通院联合发布国内首部聚焦证券行业开源治理的《证券行业开源治理白皮书》(以下简称“白皮书”)。安信证券、东北证券、光大证券、广发证券、国信证券、华安证券、南京证券、西南证券、兴业证券、浙商证券、招商证券、中银国际证券等机构共同参与编写。
据介绍,白皮书通过梳理我国开源整体发展趋势,针对我国证券行业开源软件使用现状进行调研,同时在分析开源主要风险点的基础上,提出证券行业开源治理体系构建建议和开源治理方案,为规范证券机构合理应用开源技术,提高应用水平和可控能力提供重要参考。
证券行业开源软件使用存在潜在风险
当前,开源已上升至国家战略层面。2021年11月,工信部在《“十四五”软件和信息技术服务业发展规划》中突出强调开源在驱动软件产业发展的重要作用,提出“繁荣国内开源生态”的重点任务。
与此同时,我国的开源生态快速发展。根据信通院调研显示,2021年我国已经使用开源技术的企业占比为88.2%,其中超过90%的中国金融机构已经引入开源软件。作为金融业的重要主体,证券行业对开源技术的使用逐渐增加,通过自研、外包合作开发、采购等多种形式在信息系统中引入大量开源软件。
证券机构在享受成本降低、技术迭代速度加速等便利的同时,也面临着开源安全漏洞风险、数据泄露风险、知识产权风险和管理风险。在证券行业开源使用调研中,有超过72%的企业表示暂无开源治理流程系统,约73%的企业目前暂无开源治理平台但计划未来将该平台建设纳入规划。但从总体来看,我国金融机构对开源软件管理问题的重视程度逐步提升,正在朝着专业化方向发展。
构建开源治理落地方案,为开源保驾护航
据白皮书分析,证券公司在开源技术使用上主要分为外购商用软件涉及到开源技术以及自身研发过程中使用开源技术两种情况。白皮书分别针对两种典型引入场景,提出切实可行的开源治理体系建设方案。
场景一:外购商用软件涉及到开源技术
在外购商业业务系统场景下,外购软件的开源组件存在数据不清、风险不明、影响不定、修复不易、来源不一等痛点,可能会将开源安全合规风险引入到证券机构。对于以上痛点,机构搭建开源治理平台可以将各个业务系统的开源组件台账、软件资产拓扑、安全漏洞、合规风险、风险通知、修复方案等功能整合起来,通过安全合规风险扫描 工具 来实现三方开源组件公开安全漏洞、框架漏洞的发现。
外购软件开源治理方案,来源:恒生电子,2021年12月
对于如何做好软件开源治理,恒生电子有着丰富的平台建设和治理经验。恒生Light云的核心基座—云原生PaaS平台Light-CORE,对于重量级开源中间件(如消息队列、注册中心、配置中心、负载均衡、数据库等)提供统一组件服务。
恒生电子专业中间件维护团队会将开源组件源代码进行场景化适配编译,通过安全漏洞扫描、安全测试后制作成组件化标准服务,统一上架至Light-CORE平台,做到组件服务开箱即用,对于出现公开漏洞的开源组件,也会提供持续同步更新服务。此外,Light-CORE也提供系列规范和资源能力,规范方面包括组件规范、部署规范、监控规范等,通过这些规范和标准的支撑,让全过程更加可靠。
场景二:自身研发过程中使用开源技术
对于需要使用开源技术做开发的场景,机构的开源治理平台可集成DevOps研发运维一体化平台,以满足软件全生命周期开源技术的治理。
开源治理方案,来源:恒生电子,2021年12月
作为云原生的重要部分之一,DevOps是企业在进行云原生转型中的关键技术,也是各大云服务技术厂商深耕探索,企业级产品服务不断涌现的领域。
针对专业金融软件研发流程管理,恒生电子结合20多年金融软件研发管理实践经验以及云原生DevOps理念,自主研发一站式、企业级的效能平台Light-DevOps,范围涵盖需求管理、项目管理、敏捷开发管理、开发套件、元数据管理、持续集成、持续部署、持续测试、持续交付、持续运维、持续反馈等,以实现软件研发全过程高质量持续交付。
除开源治理方案外,白皮书还就建设开源治理组织架构、建立科学成熟的开源软件管理与使用规章制度、建立开源供应商准入机制和使用规则、开源软件交付物风险确认等治理建议进行了详细阐述。
猜你喜欢: