文 / 中信銀行數(shù)據(jù)中心? 李鑫

前 言

當(dāng)今IT環(huán)境的高速發(fā)展下，物聯(lián)網(wǎng)、大數(shù)據(jù)、5G、AI等科技主題都已經(jīng)深入應(yīng)用到各個(gè)行業(yè)領(lǐng)域，而這些主流技術(shù)采用了大量的開(kāi)源技術(shù)以及開(kāi)源生態(tài)產(chǎn)品。隨著金融行業(yè)的不斷深入探索，實(shí)現(xiàn)以科技賦能為主，優(yōu)化創(chuàng)新架構(gòu)的新一輪數(shù)字化轉(zhuǎn)型，勢(shì)必會(huì)借助開(kāi)源新科技手段進(jìn)行應(yīng)用、整合，形成自有技術(shù)體系。這就使得金融行業(yè)必須面臨原先由采用大型服務(wù)軟件廠(chǎng)商的閉源性商業(yè)軟件的管理模式，逐漸過(guò)渡改革到開(kāi)放、開(kāi)源的免費(fèi)軟件的思維管理模式。這種管理模式的改變挑戰(zhàn)很大，新的管理模式必須能夠在享受開(kāi)源軟件給我們帶來(lái)技術(shù)紅利的同時(shí)，可以應(yīng)對(duì)開(kāi)源軟件帶來(lái)的“副作用”，可以合理應(yīng)對(duì)開(kāi)源軟件在安全、代碼、政策等方面帶來(lái)的影響，最終確保系統(tǒng)運(yùn)行穩(wěn)定，提升終端用戶(hù)的使用感受。

謹(jǐn)慎引入選型

開(kāi)源軟件產(chǎn)品的特點(diǎn)屬于產(chǎn)品迭代快，技術(shù)更新快，版本發(fā)布快，因此開(kāi)源軟件的技術(shù)選型工作尤為重要。而針對(duì)選型要求目前也沒(méi)有統(tǒng)一的業(yè)界標(biāo)準(zhǔn)可以參考，對(duì)于金融行業(yè)，涉及的軟件使用產(chǎn)品一般有自身的技術(shù)路線(xiàn)要求，不能輕易進(jìn)行產(chǎn)品級(jí)別的替換，這就對(duì)開(kāi)源軟件產(chǎn)品前期的調(diào)研引入流程要求嚴(yán)格，一旦選擇有誤，后期替換的成本會(huì)加倍顯現(xiàn)。關(guān)于選型要求，建議從以下幾個(gè)層面進(jìn)行開(kāi)源軟件產(chǎn)品的引入選型考量。

1.識(shí)別開(kāi)源軟件許可協(xié)議

目前經(jīng)過(guò)OSI認(rèn)證的開(kāi)源協(xié)議有80余鐘，其中常用的開(kāi)源許可協(xié)議有：GPL、LGPL、BSD、MIT、Apache等。在進(jìn)行開(kāi)源軟件產(chǎn)品選型時(shí)，一定要優(yōu)先識(shí)別軟件的開(kāi)源許可協(xié)議。不同的協(xié)議，涉及的傳染性規(guī)定、知識(shí)產(chǎn)權(quán)、兼容性、排他性等有不同程度的要求，對(duì)軟件產(chǎn)品引入后的運(yùn)維使用、二次代碼開(kāi)發(fā)都有重要影響，需要優(yōu)先進(jìn)行識(shí)別。并且在引入后，也需要隨時(shí)進(jìn)行關(guān)注，有些開(kāi)源軟件產(chǎn)品會(huì)進(jìn)行開(kāi)源許可協(xié)議的修改，需要判斷修改內(nèi)容是否會(huì)對(duì)目前使用造成影響。

2.開(kāi)源軟件的功能、技術(shù)路線(xiàn)

待引入的開(kāi)源軟件產(chǎn)品使用的功能、技術(shù)路線(xiàn)必須符合該領(lǐng)域的技術(shù)主流發(fā)展方向，并且必須符合企業(yè)自身對(duì)于該領(lǐng)域的技術(shù)發(fā)展需求。不能因?yàn)槭煜ぁ⒂眠^(guò)就進(jìn)行引用，而要將目光放長(zhǎng)遠(yuǎn)，結(jié)合現(xiàn)有架構(gòu)匹配程度并考慮長(zhǎng)期選型要求，引入時(shí)就要考慮維護(hù)成本、成員角色分工、支持能力等問(wèn)題。要同時(shí)考慮遷移成本，引入后是否可以進(jìn)行平滑替換遷移，還是需要較大經(jīng)歷進(jìn)行重構(gòu)。

3.開(kāi)源軟件的社區(qū)活躍度

社區(qū)活躍度也直接體現(xiàn)了該開(kāi)源軟件的技術(shù)主流程度、使用群體情況、軟件版本更新頻率等。不同于閉源軟件，有廠(chǎng)商可以提供成體系化的技術(shù)支持，出現(xiàn)問(wèn)題可以及時(shí)有效地處理。針對(duì)于開(kāi)源軟件，更多的是要依靠自身解決問(wèn)題的能力以及向軟件社區(qū)反映發(fā)布問(wèn)題進(jìn)行解決。因此社區(qū)的成熟度是衡量開(kāi)源軟件是否引入的較為重要的指標(biāo)。

4.軟件安全性

在引入前，需要了解所需引入軟件是否有因重大安全漏洞而被攻擊的事件，在近期版本當(dāng)中是否有被修復(fù)。針對(duì)密碼、用戶(hù)信息等敏感內(nèi)容，是否設(shè)置加密處理。最好結(jié)合開(kāi)源軟件漏洞掃描平臺(tái)以及開(kāi)源軟件代碼掃描工具進(jìn)行全面掃描梳理，根據(jù)掃描結(jié)果進(jìn)行全盤(pán)分析。

增強(qiáng)管理體系

基于開(kāi)源軟件的定義，不僅僅涉及成型獨(dú)立，可以單獨(dú)部署的軟件產(chǎn)品，還包括細(xì)粒度更高的、融入到應(yīng)用代碼當(dāng)中的開(kāi)源功能組件、開(kāi)源框架等，并且基于敏捷迭代開(kāi)發(fā)，使得運(yùn)維和開(kāi)發(fā)部門(mén)聯(lián)系越發(fā)緊密。因此，對(duì)于開(kāi)源軟件的管理體系和維度，一定要比閉源軟件更加精細(xì)，更加主動(dòng)，形成全生命周期流程管理，嚴(yán)格把控引入、集成和使用。

1.制訂開(kāi)源管理制度要求

針對(duì)開(kāi)源軟件管理，一定要形成統(tǒng)一的管理辦法，務(wù)必考慮到開(kāi)源軟件的各個(gè)生命周期的工作內(nèi)容。包括但不限于軟件定義分類(lèi)、各部門(mén)職能詳細(xì)分工、引入管理、使用管理、代碼二次開(kāi)發(fā)管理、運(yùn)維支持管理、版本管理、退出管理、風(fēng)險(xiǎn)管理等。最好可以有獨(dú)立的部門(mén)進(jìn)行統(tǒng)一調(diào)度，組織考核，各執(zhí)行部門(mén)分配專(zhuān)人負(fù)責(zé)開(kāi)源軟件的治理工作，定期上報(bào)工作成果。在制訂管理辦法的過(guò)程當(dāng)中，除了規(guī)定說(shuō)明外，最好設(shè)置一些使用限制要求，做到管理可控（見(jiàn)圖1）。例如，限制同一功能的開(kāi)源軟件引入數(shù)量，便于有效控制開(kāi)源軟件在使用過(guò)程中過(guò)于分散，不利于運(yùn)維管理的情況。

圖1 開(kāi)源軟件治理能力成熟度模型

2.建立開(kāi)發(fā)運(yùn)維體系

需要建立適應(yīng)開(kāi)源軟件管理的開(kāi)發(fā)運(yùn)維體系。該體系需要從開(kāi)源軟件引入、制品庫(kù)的管理、制訂相關(guān)技術(shù)規(guī)范、開(kāi)發(fā)代碼要求、運(yùn)維使用、監(jiān)控覆蓋、技術(shù)支持等方面開(kāi)展。需要定期對(duì)已使用的開(kāi)源軟件進(jìn)行跟蹤，考察使用情況以及產(chǎn)品、社區(qū)最新?tīng)顟B(tài)，對(duì)于存在風(fēng)險(xiǎn)的軟件必須及時(shí)整改甚至退出。定期進(jìn)行開(kāi)發(fā)規(guī)范要求審查，包括應(yīng)用代碼開(kāi)發(fā)以及開(kāi)源軟件產(chǎn)品二次開(kāi)發(fā)，組織開(kāi)發(fā)代碼以及組件掃描，確保代碼級(jí)別安全合規(guī)。定期執(zhí)行開(kāi)源軟件產(chǎn)品安全漏洞掃描，及時(shí)修復(fù)安全漏洞，確保產(chǎn)品級(jí)別安全合規(guī)。定期組織軟件版本統(tǒng)計(jì)，合理設(shè)計(jì)符合企業(yè)需求的升級(jí)計(jì)劃時(shí)間要求，即不能升級(jí)頻次過(guò)高，給運(yùn)維工作增加負(fù)擔(dān)，也不能頻次過(guò)低，導(dǎo)致使用版本存在安全隱患。定期組織培訓(xùn)，交流，在軟件引入時(shí)，根據(jù)使用情況指定軟件掌握能力等級(jí)。

注意管控風(fēng)險(xiǎn)

中國(guó)人民銀行在《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021)》中，要求“做好新技術(shù)金融應(yīng)用風(fēng)險(xiǎn)防范”，要求正確把握金融科技創(chuàng)新與安全的關(guān)系。因此，我們需要嚴(yán)格貫徹落實(shí)安全風(fēng)險(xiǎn)管控，保護(hù)好產(chǎn)品安全、用戶(hù)安全以及數(shù)據(jù)安全。同時(shí)，當(dāng)今發(fā)布的部分開(kāi)源軟件在安全風(fēng)險(xiǎn)方面確實(shí)存在薄弱環(huán)節(jié)，在《金融行業(yè)開(kāi)源治理白皮書(shū)》當(dāng)中也提到，開(kāi)源軟件隱含的安全風(fēng)險(xiǎn)較為顯著。利用開(kāi)源軟件漏洞進(jìn)行敏感信息盜取的真實(shí)案例數(shù)不勝數(shù)，需要全面提高安全風(fēng)險(xiǎn)防控水平，并將其作為頭等工作落實(shí)狠抓。

在執(zhí)行方面，可以利用第三方開(kāi)源軟件掃描工具，針對(duì)開(kāi)源軟件或者開(kāi)源組件進(jìn)行產(chǎn)品以及源代碼層級(jí)的漏洞掃描，對(duì)于已掃描出的CVE漏洞需要及時(shí)提供修復(fù)方法；同時(shí)結(jié)合滲透工具進(jìn)行攔截和獲取http信息進(jìn)行篩選檢查，防止目錄遍歷、SQL注入、頁(yè)面劫持等安全缺陷。針對(duì)端口隔離、用戶(hù)文件權(quán)限、密碼加密等需要在運(yùn)維規(guī)范當(dāng)中進(jìn)行體現(xiàn)。針對(duì)應(yīng)用代碼進(jìn)行定期安全審計(jì)，不斷篩選代碼，修補(bǔ)漏洞。

增加交流、培養(yǎng)專(zhuān)項(xiàng)

由于開(kāi)源軟件的源代碼處于公開(kāi)狀態(tài)，開(kāi)發(fā)使用者可以輕松獲取，并且在協(xié)議允許的情況下，進(jìn)行二次開(kāi)發(fā)改造，對(duì)于企業(yè)而言，相比較其他閉源類(lèi)產(chǎn)品，更能促進(jìn)整體軟件架構(gòu)的多樣性、靈活性和創(chuàng)新性，更能深入自主掌控所使用的軟件產(chǎn)品，不強(qiáng)依賴(lài)于產(chǎn)品供應(yīng)商，增加了對(duì)支持廠(chǎng)商的選擇性。但與此同時(shí)，針對(duì)不同開(kāi)源技術(shù)的掌握，對(duì)企業(yè)自身提出了更高的要求，不僅僅停留在使用層面，需要更深層次地學(xué)習(xí)掌握。遇到使用問(wèn)題不能再向原廠(chǎng)申請(qǐng)支持，更多依靠自身的技術(shù)能力。企業(yè)內(nèi)部可以成立開(kāi)源部門(mén)或者小組，定期組織培訓(xùn)、交流，技術(shù)維護(hù)人員學(xué)習(xí)了解開(kāi)源軟件的制度規(guī)范，運(yùn)維開(kāi)發(fā)團(tuán)隊(duì)一起進(jìn)行某一開(kāi)源軟件的知識(shí)分享。企業(yè)外部需要更多機(jī)會(huì)參與行業(yè)內(nèi)、企業(yè)間組織的溝通交流，通過(guò)分享會(huì)或者開(kāi)源標(biāo)準(zhǔn)制訂的專(zhuān)項(xiàng)研討會(huì)，了解整個(gè)行業(yè)內(nèi)開(kāi)源軟件的引入方向、使用情況等。同時(shí)在運(yùn)維、二次開(kāi)發(fā)過(guò)程中，可以針對(duì)發(fā)現(xiàn)的問(wèn)題向公共社區(qū)進(jìn)行代碼提交、問(wèn)題交流等社區(qū)貢獻(xiàn)，增加社區(qū)活躍度，也是提高自身在該軟件方向知名度、吸引開(kāi)源人才的有效途徑。

結(jié) 束 語(yǔ)

隨著開(kāi)源技術(shù)的不斷深入發(fā)展，迭代更新，開(kāi)源軟件的品質(zhì)不斷提升，其已經(jīng)成為金融行業(yè)軟件生態(tài)系統(tǒng)當(dāng)中不可或缺的一部分。通過(guò)對(duì)開(kāi)源軟件的自主掌控，可以有效地幫助企業(yè)實(shí)現(xiàn)降本增效，風(fēng)險(xiǎn)可控，系統(tǒng)可用程度更高，實(shí)現(xiàn)了IT架構(gòu)的全面升級(jí)。但與此同時(shí)，針對(duì)金融行業(yè)要求IT環(huán)境高穩(wěn)定性、高安全性的使用特點(diǎn)，我們也要對(duì)其靈活性、開(kāi)放性加以嚴(yán)格管控，降低不確定性，保證“可高用、低風(fēng)險(xiǎn)”，真正做到為我所用，使其順應(yīng)業(yè)務(wù)的發(fā)展，助推企業(yè)的智能創(chuàng)新。

（欄目編輯：張麗霞）