金融数据保护治理白皮书（2022）

银行业开源生态发展报告 TheReportofopensourceecologicaldevelopmentofbankinginstitutions 北京金融科技产业联盟 2023年2月 前言 本报告由北京金融科技产业联盟开源专业委员会组织编写并拥有相关版权。凡转载、引用、摘录或以其他方式利用本报告观点、内容、图表的，都应注明“引用来源：北京金融科技产业联盟”。 编制委员会 主任： 潘润红 编委会成员： 聂丽琴潘妍张海燕 编写组成员： 胡达川李寻李卫许一骏石砳磊狄晓晓陈榕李振李博文冯晓文郭贞李鑫李佩芳袁巍孙超孙曼彭潇盟谢娜 张广斌 张永亮 刘子成 陈玟慧 赵叶红 周文泽 吴冕冠 赵峰 梁大功 王媛媛 魏弋钧 边思康 陆碧波 付辉 耿航 杨扬 参编单位： 北京金融科技产业联盟、国家工业信息安全发展研究中心、北京国家金融科技认证中心有限公司、中国建设银行股份有限公司、建信金融科技有限责任公司、中国银行股份有限公司、中国工商银行股份有限公司、中国农业银行股份有限公司、交通银行股份有限公司、兴业银行股份有限公司、上海浦东发展银行股份有限公司、浙江网商银行股份有限公司、苏州棱镜七彩信息科技有限公司、蚂蚁科技集团股份有限公司、腾讯云计算 （北京）有限责任公司 感谢以上机构及人员对本报告编写的大力支持！ 目录 一、背景及意义3 二、银行业开源生态现状4 （一）政策环境4 （二）基础设施5 （三）现状概述7 （四）开源治理体系建设9 三、银行业开源风险与痛点分析10 （一）痛点问题11 （二）风险及应对13 四、银行业开源发展趋势17 （一）行业产业侧合作更加紧密17 （二）生态共建将加快步伐17 （三）更多金融机构进入开源“教程期”18 （四）技术领域以“数据”为中心辐射19 五、银行业开源生态发展建议对策19 （一）强化专业人才培养19 （二）推进公共服务体系19 （三）探索行业开源项目社区构建20 （四）强化标准执行与符合性验证20 （五）完善内部组织机制建设20 附录银行业开源生态建设优秀实践案例21 一、背景及意义 在全球数字经济的浪潮下，开源技术已成为新一代信息技术发展的基础和动力，尤其在推动信息技术应用创新和数字化转型方面效果显著，已成为银行业重构技术栈和重组供应链过程中最重要的力量和源泉，为金融科技发展创新注入了巨大活力。 2021年10月，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》（以下简称《意见》）。 《意见》明确“要规范金融机构合理应用开源技术，提高金融机构应用水平和自主可控能力，促进开源技术健康可持续发展”。 为落实《意见》相关要求，引导金融机构切实提升开源技术应用安全合规水平，推动金融业开源生态健康可持续发展，北京金融科技产业联盟（以下简称联盟）开源专委会组织开展课题研究，由国家工业信息安全发展研究中心牵头，联合专委会9家成员单位编制本报告，报告以银行业金融机构为主要研究对象，从生态现状、开源风险与痛点问题、未来发展趋势、建议对策四个维度对银行业开源生态发展情况进行详细解读，并给出银行业开源生态建设优秀实践案例供借鉴参考。 本报告将有助于深化理解行业开源生态建设情况，准确把握行业机构落实《意见》相关要求中存在的困难和问题，为后续形成相对可落地工作方案提供重要参考。 二、银行业开源生态现状 （一）政策环境 开源战略地位进一步凸显，已上升为国家中长期发展规划。 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》首次将开源列入国家五年规划，明确提出“支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务”；国务院印发的《“十四五”数字经济发展规划》提出“支持具有自主核心技术的开源社区、开源平台、开源项目发展，推动创新资源共建共享，促进创新模式开放化演进”“鼓励开源社区、开发者平台等新型协作平台发展，培育大中小企业和社会开发者开放协作的数字产业创新生态，带动创新型企业快速壮大”；工业和信息化部发布《“十四五”软件和信息技术服务业发展规划》，系统布局“十四五”开源生态发展，将“繁荣国内开源生态”作为主要任务之一，从开源基金会、开源文化、开源基础设施、开源项目、开源人才等多个方面提出了发展要求。随着系列国家政策的出台，开源已经成为重构软件产业生态的国家战略，社会各行各业紧跟规划，加快开源工作部署。 金融行业积极布局，陆续出台多项政策，为金融业稳妥推进 开源生态建设与开源治理提供了基本遵循。《意见》为金融行业 安全合规使用开源技术，以及开源生态的健康、可持续发展提出了指导意见，“鼓励金融机构积极参与开源生态建设，依法合规分享开源技术应用经验，共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题，提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作，实现优势互补、互利共赢、共同发展”。同年，中国人民银行发布了《金融科技发展规划（2022-2025年）》，提出金融行业发展的八项重点任务，其中在开源生态方面，提出“依法合规参与数字技术开源社区等创新联合体”。 行业相关政策的出台，将有效推动开源技术在金融行业的安全合规应用，促进行业开源生态的培育和发展，促进金融机构数字化转型，对金融业产品服务、经营模式、业务流程将产生深远影响。 （二）基础设施 基础设施是行业开源生态培育和开源治理的重要数字底座，是工作开展的重要抓手和主要阵地。从行业开源软件应用与发展的维度出发，代码托管平台和漏洞库是基础设施最核心的组成部分。 1.代码托管平台 代码托管平台集聚各类开源资源，是开源代码的“存储池”、开源软件孵化推广的“温床”、程序员的精神“家园”，是开源生态的重要组成要素。近年来，我国集中涌现出一批开源代码托管平台，包括以Gitee、GitCode为代表的面向公众开放的支持公开库托管与协作的代码托管平台，以CODING、云效、CodeHub、效率云为代表的带有代码托管功能的面向企业提供项目管理服务的平台或服务，以及金融行业内源性金融开源平台（OFTP），整体呈现差异化发展格局。 在支持公开库托管与协作的代码托管平台中，Gitee由 OSCHINA推出，用户数达到800万。GitCode由专业开发者社区CSDN推出，拥有CSDN3500万的开发者用户基础，具有海量的开源文档资源库，是国内开源开发者用户量、互动量极高的社区。GitLink是中国计算机学会(CCF)官方指定的开源创新服务平台，已有5万开发者、千余家组织入驻，仓库数量累计140万；为我国创新型软件产业发展提供了关键技术支撑和实践指南，支持了我国航空、航天、国防等多个关键领域的可信软件生产。上述平台都支持社区内的开发者与国际开源社区联动，定期组织开源技术沙龙、主题会议、产业报告编制等，普及开源技术，弘扬开源文化。 在面向企业提供项目管理服务的平台或服务中，CODING、云 效、CodeHub、效率云，依次分别由腾讯云、阿里云、华为云、百度云提供技术支持与服务，以项目管理为目标，提供代码协作开发服务。 在行业内源平台中，金融机构逐步凝聚开源发展共识，共建 行业开源平台社区生态，加大培育、支持开源项目孵化与推广运用的力度。由联盟组织、中国银联承担建设金融开源平台（OFTP），赋能金融领域开源项目孵化，为用户提供高质量的软件源码管理服务。作为以服务金融机构为主的代码托管性质的服务平台，现阶段已接入金融机构70余家，160余人，主要承接的开源项目包括金融业生僻字处理项目（RUCC）、金融业开源项目生态监测平台等。 2.软件漏洞库 漏洞库因其掌握大量漏洞具体利用细节和过程，并能及时更新新曝光漏洞，而备受软件开发商、软件用户关注和青睐，可分为国家漏洞库和行业漏洞库。目前，国内的两类漏洞库尚未实现对开源软件漏洞的区分和分类，尚未实现对开源项目的全覆盖。 在国家层面，为有效及时的管控信息安全漏洞，切实履行漏 洞分析和风险评估的职能，由中国信息安全评测中心承建运维的中国国家信息安全漏洞库（CNNVD）于2009年投入使用，向国家、行业和公众提供多种灵活的信息安全数据服务。为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持，对提升全行业信息安全分析预警能力，提高我国网络和信息安全保障工作发挥了重要作用。截止2021年底，已积累漏洞数 据近4万条，补丁与修复措施7万多条，网络受害与安全事件信 息1000多万条。 在行业层面，联盟发起金融业开源技术信息服务平台FOST 风险信息共享计划（以下简称FOST风险信息共享计划）。依托平台风险通报服务模块，通过聚焦开源漏洞及风险，为金融机构 共享已知的风险和漏洞信息，实现风险通报一站式服务。FOST风险信息共享计划主要面向金融机构、安全厂商、科技公司、科研院校等机构，在开源技术风险、漏洞信息等方面开展合作，整合资源，建立风险漏洞和安全事件的发现和共享机制，提高金融业开源技术风险防范和处置能力。数据来源包括但不限于金融机构、安全公司等上报的风险信息；从动态感知平台公开、国家漏洞库网站等获取的风险信息。通报范围为金融业主要使用的开源技术、产品。 （三）现状概述 联盟于2022年针对十余家具有代表性的全国性股份制商业银行，开展关于落实《意见》情况的线下研讨交流。从反馈信息结合2020年末联盟开展的“金融机构开源软件应用情况调查”结果来看，各机构均已建立了内部开源技术应用管理协调机制与规章制度，大多数机构已将开源技术发展纳入到了自身的信息技术发展规划。并且，不少金融机构已经从单向的获取逐渐转变为主动、双向的对外贡献，中信银行、微众银行等不同规模、不同性质的银行已主动或计划对外开源项目，大多数金融机构能够积极参加开源社区以及相关的社会组织活动。 1.生态合作 互联网银行方面，以微众银行、网商银行为代表的互联网银行主动拥抱开源技术，并且积极参与到开放原子开源基金会、开源中国Gitee、开源社、GitHub、Linux开源基金会、Apache软件基金会、CCF开源发展委员会等开源团体。与此同时，互联网银行积极也参与开源社区，并在业务系统中使用开源软件，不仅降低了业务开发成本，还丰富了开源社区的业务应用场景。此外，互联网银行也反哺社区，通过将内部孵化的产品进行开源，捐赠给开源社区，为开源社区提供了可以应用于金融场景的优秀开源产品。 在传统银行方面，从金融业参与较多的开源社区情况来看，传统商业银行对深化“数据”价值的需求集中，加入相关技术社区的积极性更高。例如，微众银行牵头的开源隐私计算FATE社区得到了中国银联、中国银行、建设银行、工商银行、农业银行、光大银行等机构的大力支持。金融机构与科技企业、科研院所、高等院校、科研院所等机构开展合作，将加强金融机构开源技术人才培养，促进开源技术迭代升级和成果转化。其中，工商银行、中国银行、招商银行、浦发银行、浙商银行等参与区块链跨链陆羽开源项目；工商银行等与科技企业合作开展MySQL数据库金融分支版本项目；光大银行与趣链科技合作开展区块链BaaS平台跨链子平台项目。 机构间围绕业务共性问题的解决、关键技术痛点的攻关，组成了金融业开源技术生态共建的雏形。在落实《意见》过程中，金融机构普遍增强了开源软件的应用治理意识及主动向开源生态贡献的积极性。 2.对外开源 金融机构作为开源技术产品的主要使用方，在基础平台、业务系统、前端渠道中应用了大量的开源技术，通过近年的开源技术应用实践，逐渐从单一的开源技术应用开始开源贡献输出。2021年4月，华为云、工商银行、浦发银行等机构联合发起的项目Karmada正式开源，为金融业机构建设跨云、跨数据中心的应用资源池提供详实有效的落地指导与帮助。浦发银行也陆续将其数据存储Piraeus项目和海量作业调度系统Harrier项目对外开源，支持各类异构计算平台海量计算作业的配置、管理和监控。中信银行在人民银行统筹推动