數字化時代下,開源技術已成為推動全球各行業數字化轉型和升級的重要力量。據中國開源軟件推進聯盟今年發布的《中國開源發展藍皮書》數據顯示:在日常的開發工作中,96%的開發者正在使用開源軟件,國內超八成的行業客戶都在軟件開發生產中使用到了開源技術,開源應用場景已經涵蓋金融、電信、政務、醫療等諸多行業,并成為行業技術創新的主導力量。具體到金融領域,據北京金融科技產業聯盟《2020金融機構開源軟件應用情況調研報告》顯示,90%的金融機構已應用或試用開源軟件。隨著開源技術的廣泛應用,行業內已經達成了積極擁抱開源、使用開源的共識。
2021年,中國人民銀行等五部門聯合發布了《關于規范金融業開源技術應用與發展的意見》,對金融機構安全可控、合規使用開源技術進行了指導和規范。整體從金融機構使用開源、自發開源、開源生態構建、構建標準和法律體系等4個方面提出了指導意見,并鼓勵“金融機構將開源技術應用作為提高核心技術自主可控能力的重要手段”、鼓勵“金融機構積極參與開源生態建設”和“開展開源項目合作,實現優勢互補、互利共贏、共同發展”。從政策層面為金融業安全規范應用開源技術、實現健康可持續發展指明了方向。
微眾銀行科技管理部
總經理 邱毅
開源技術崛起,安全治理面臨風險與挑戰
開源技術在飛速發展的同時,難以避免地面臨技術風險、管理風險、安全風險、合規風險等重要挑戰。例如在安全風險方面,根據Synopsys公司發布的《2023開源安全和風險分析(OSSRA)報告》,Black Duck審計服務團隊在2022年審計的17個行業的1703個代碼庫中,有96%的代碼庫包含開源代碼,76%為開源代碼庫,84%的代碼庫包含至少一個已知開源漏洞,檢查的代碼庫中有48%包含高風險漏洞。2021年12月,全球廣泛應用的組件Apache Log4j被曝出的史詩級漏洞,在全球科技、金融界引發軒然大波。其中,越南最大的加密交易平臺之一ONUS,就因其支付系統運行的Log4j版本存在漏洞而遭到黑客攻擊,繼而被黑客勒索,最終被公開銷售了近200萬客戶數據。
在金融行業,《OSSRA》報告亦顯示,2022年其審計的金融服務和金融科技領域中,開源代碼占比約70%。開源代碼占比的日趨增長,引發了金融業風險防范挑戰的與日俱增。而金融業作為關乎國計民生的基礎行業,須具備電信級高可用并進行嚴格的數據安全管理,其開源治理的安全性和合規性要求相對更高。
作為國內首家數字銀行,微眾銀行在成立之初,充分利用開源軟件和標準化硬件,搭建起國內首個新一代分布式銀行核心系統。對比主流銀行,微眾銀行的開源技術選擇更具多樣性和開放性,實施過程中的挑戰也更為多元化。目前微眾銀行使用的開源組件數量超過20000個,涉及云原生、數據庫、中間件、操作系統、人工智能、前端、應用框架等全領域的主流開源技術,開源軟件治理面臨更大的挑戰。
為此,微眾銀行通過設立開源管理辦公室、制定全生命周期的開源軟件管理制度及流程、打造全流程自動化管理平臺、持續推進主動開源、參與開源社區等主要舉措,探索出一條擁抱開源的多贏之路。
規范開源使用,打造全流程開源治理工具
在組織建設層面,2019年,微眾銀行宣布金融科技全面開源并設立開源管理辦公室。作為國內最早設立此類辦公室的金融機構之一,微眾銀行在組織架構、職能定位等方面深入研究和參考了國際開源基金會和各大開源項目社區,成立TOC團隊(Technical Oversight Committee,技術監督委員會),圍繞制定技術標準和規范、解決技術難題、推動內部開源、推動公共平臺建設等主要工作,以產品驅動、敏捷模式加強技術聯動。通過TOC在行內推動由技術驅動的決策機制,實現開放協同透明的氛圍,是微眾銀行在開源建設上的重要探索。
在制度流程層面,針對開源治理的復雜性,微眾銀行制定了全行應用開源軟件的全生命周期管理規范與流程,形成嚴謹的管理閉環。同時,在全行范圍不斷傳播開源文化,加強開源人才隊伍建設,推動不同開源技術社區的發展,從而有效提升內部工程師文化以及對各種開源軟件的掌控力。
在平臺建設層面,2019年底,微眾銀行已經完成了開源治理體系的搭建,實現了自動化的開源治理管理手段。后續,針對在執行過程中發現的痛點,即“掃描結果需人工二次核驗、問題處理的優先級不清晰”兩個問題,微眾銀行創新升級打造了一整套基于DevSecOps體系的開源治理平臺方案,實現建設“快、準、狠”的開源治理工具平臺系統(如圖1所示)。
圖1 基于DevSecOps體系的全流程開源治理工具
快:對全行開源軟件應用的感知快,能夠實時洞察行內開源軟件的應用情況,包括新增軟件、新增漏洞及各類開源軟件的變化等。準:提高對開源軟件成分分析的準確度,確保掃描結果準確無異議,同時對全行視角的資產、風險和問題的定位更精準。狠:建立符合微眾銀行內部要求的漏洞和風險處置的基線原則,必要時自動進行流程阻斷,保證相關問題得到及時有效處理。
此外,微眾銀行引入專業的開源治理平臺,包括開源資產分布可視化、軟件資產跟蹤定位、已知漏洞查找定位、新漏洞自檢與預警、豐富的知識庫、開放API等基本功能,將該平臺與研發流程體系的相關系統深度集成,實現了完全依托系統的自動化、智能化管控手段。具體而言,在引入階段,通過系統登記的開源黑名單以及對各類安全合規策略的管理,自動判斷是否可以引入新的外部開源軟件;在代碼編寫階段,通過IDE插件工具,方便開發人員自主掃描系統的組件依賴關系,并根據治理策略及時給予各種提醒和幫助,促使開發人員及時處理和修復問題;在構建或測試移交階段,平臺支持集成過程中自動觸發依賴掃描,并根據設定的規則自動執行各種策略。平臺實現支持敏捷開發的同時,盡可能將安全左移,并通過各種閉環的流程管理,確保所有開發活動的有效管控、快速響應,從而大幅度降低應用開源的風險。
持續對外開源,以生態建設反哺開源治理
除不斷完善全行內部的開源治理體系外,微眾銀行也深刻認識到開源軟件的生產特性,要想最大范圍地發揮開源軟件的價值,核心是不斷提高自身技術能力。只有通過更深入地主動參與開源生態建設,采取“上游優先”等策略,成為開源軟件供應鏈生態建設的一份子,才能真正做到持續的“安全可控”,同時達到保持技術領先、促進業務創新的目的。對于金融機構,在參與上游開源社區以及建設開源項目的過程中,可以打造核心團隊的技術影響力和競爭力,提升開源軟件質量,并降低長期使用的成本和風險。技術影響力的提升會進一步帶來更多技術人員的認同,保持“影響力—人才”的良性循環,從而吸引更多優質人才加入。此外,機構的行業影響力也能夠提升員工歸屬感和認同感,為推行工程師文化提供支持。
微眾銀行在全行范圍積極倡導開源文化,每月至少組織一場開源相關的運營活動,傳播開源文化、開源知識,推動員工在不同開源技術社區積極做貢獻,增強員工對開源的理解與認可。對于踐行開源文化表現突出的員工或團隊,微眾銀行還配套了完備的激勵體系,“榮譽+物質”的雙效激勵,大大激發了員工投身開源的驅動力。在開源文化的影響下,目前,微眾銀行超五成的科技員工關注開源、擁有GitHub賬號,超二成的科技員工積極參與社區貢獻。
微眾銀行積極開展內部開源文化建設
微眾銀行也積極探索對外開源以及社區建設,力爭成為中國金融業在開源生態建設方面的排頭兵。截至2023年二季度末,微眾銀行已對外開源項目35個,覆蓋AI、區塊鏈、云計算、大數據等多個技術領域(如圖2所示),累計獲得Star超過39000個,Fork超過14400個。其中不乏包括FATE(聯邦學習領域最大的技術開源社區之一)、FISCO BCOS(國內最活躍的國產開源聯盟鏈底層平臺,已匯聚超4000家企業及機構、逾9萬名社區成員,超300個項目在生產環境穩定運行)、Apache EventMesh(國內金融業首個進入ASF孵化器的開源項目)、Apache Link is(全球首個由銀行機構主導畢業的Apache項目)等一大批開源項目與社區。微眾銀行通過建立開放、透明、共識、技術導向的開源社區治理模式,促進了相關領域的技術發展與創新。
圖2 微眾銀行對外開源項目
作為技術創新與發展的重要手段,開源已經成為不可逆轉的技術趨勢之一。如何更高效和安全的最大化程度利用開源的價值,是所有金融機構都面臨的巨大挑戰。同時,如何通過擁抱開源更進一步提升技術核心競爭力,也是所有機構需要思考的課題。微眾銀行期望在不斷提升自身的開源應用和治理水平的同時,與所有同行一起攜手共進,為金融業開源新生態的發展貢獻力量。
文 / 微眾銀行科技管理部總經理 邱毅
微眾銀行科技管理部項目及架構管理專家 鐘燕清
