当前,开源已经成为全球软件技术和产业创新的主导模式,在证券行业也是如此。随着我国开源指导政策逐渐落地,相关企业投入持续加码,开源项目数量日益增长,贡献者人数规模不断扩大,开源技术在证券行业中的应用也越加广泛,在推动证券行业业务创新和数字化转型方面发挥着积极作用,并取得了一系列成果。
与此同时,开源风险问题也不容忽视。开源软件治理俨然成为行业考虑的重中之重。今年的 OSCAR 开源产业大会特别设立了证券行业开源治理分论坛,邀请产学研用各界专家围绕证券行业开源治理问题建言献策。
在大会开始前,我们有幸邀请到了国泰君安证券股份有限公司信息技术部总经理黄韦与大家聊一聊开源技术在证券行业的应用问题与成功实践,并从组织设立、标准制定、平台建设、生态打造等多维度,详细分享了国泰君安证券的开源治理思路与成效,希望为证券行业开展开源治理工作提供价值参考。
以下是访谈实录,略有删减。
Q1 开源软件在金融行业有着广泛的应用,能和我们分享一下目前国泰君安证券开源软件应用情况吗?
国泰君安证券始终坚持自主研发和创新,科技赋能业务,提前布局前沿技术领域,把牢“科技制高点”,同时积极拥抱开源技术和开源生态,通过引入开源技术建设系统平台,帮助公司提高敏捷开发效率,满足金融客户需求,加快海量数据处理,促进公司数字化转型。
目前,公司组建技术团队,研究和使用研究开源组件涉及 3000 余种,涵盖了数据库、中间件、大数据、AI、云计算等多种领域,如 MongoDB、Kafka、RocketMQ、Redis、Spark、ElasticSerach 等。
Q2 国泰君安证券在业内率先提出“开放证券”理念,采用 OpenStack 开源事实标准技术路线构建的金融云平台正是其中的一项重要实践,请和我们具体分享一下。
对云计算平台的选择,安全性和可靠性对证券行业而言至关重要。OpenStack稳定开放的技术架构、健全庞大的生态体系,以及积极分享、开源开放的社区模式,能高效支持国泰君安证券稳定安全地开展创新业务,为用户提供高质量的金融服务。
从 2016 年开始,国泰君安证券私有云基于开源 OpenStack 技术路线,在开发测试、同城灾备、异地容灾等场景构建了 IaaS 云底座。OpenStack 技术栈在灵活性、软件自定义方面有着极大优势,可以根据业务需求进行定制和优化。通过该技术方案,公司私有云实现了计算、存储的存算分离架构部署,提高了云资源的利用率。
同时,随着国内芯片行业的发展,OpenStack在兼容性、自主掌控层面表现突出,公司私有云在行业内率先实现了鲲鹏、海光、飞腾等芯片云资源的多地多中心统一管理,实现了“一云多芯”,为用户在无感知的情况下提供 IaaS 服务的自助申请,加速了业务系统的敏捷交付速度。
Q3 国泰君安证券今年也参与了中国信通院组织的开源治理能力成熟度评估,请您和我们介绍一下此次参与评估的情况?
国泰君安证券一直致力于开源技术研究与使用,近几年更是持续投入资源用于公司内部开源治理体系建设。作为证券期货业首批参与测评的公司,国泰君安证从组织机制、管理制度、风险管理、软件测评、开发测试管理、运维管理、持续跟踪、退出管理、存量管理、第三方软件管理等维度,全方面对开源软件治理体系进行了建设。
国泰君安证券成立开源治理组织架构并建立相关标准,为行业内制定并落实开源治理制度办法和标准流程提供了有效参考;建立开源软件治理技术平台,以云原生为基座,实现开源治理整个过程管控实现敏捷化、自动化和系统化,实现同业开源建设的敏捷交付、智能发布、弹性伸缩,提高开源运营效能,提升开发人员的工作效率,也减少了企业支出,让软件开源治理得简单、可行、安全,为行业开源治理体系提供新的建设思路,促进行业开源软件治理生态发展;建立健全的开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面评估模型,为行业打造可实施可量化的软件评估体系提供参考。
此外,国泰君安证券打造了具有自主知识产权的开源软件全生命周期治理平台,避免受到外部的制约,为保障行业开源软件质量进行了有益尝试。
Q4 在此次评估之后,后续贵司在开源治理方面还会如何进行提升和优化?
国泰君安证券公司内部开源治理体系建设的理念和方向与中国信通院开源治理能力成熟度测评思路不谋而合。健全的开源治理体系不仅保障了公司内部引入使用开源软件安全合规,规范了开源软件生命周期治理和控制风险,确保了信息系统安全运行,同时能够及时发现薄弱环节和安全隐患,避免供应链安全合规问题,有效防范信息安全事件发生,支撑业务发展。
后续国泰君安证券主要将从三个方面继续深耕开源治理相关工作:一是完善内部开源治理。开源软件治理是一个长期持续的过程,公司内需要集团公司组织架构、制度体系、技术平台等多方共同支持与协调,完成公司内部的开源治理和开源生态的建设。同时打造公司集团内部开源软件体系,实现自研软件的共享共治。二是促进同业开源能力共建。国泰君安证券将积极与产学研专家一起合作打磨开源治理的相关标准和公共服务平台建设,促进行业内软件供应链安全发展。三是协同打造开源生态。国泰君安证券将持续深入探索和研究开源技术,加强与开源社区合作及生态共建,配合行业侧、产业侧各机构共同打造行业通用架构的开源生态圈。
Q5 结合国泰君安证券在开源软件的应用实践,您认为,证券期货行业在开源治理方面遇到哪些挑战?
行业遇到的挑战主要包含软件供应链、软件管理、安全漏洞、技术运维、制度合规等 5 个方面。
在软件供应链上,行业缺少全量开源数据,传统软件供应链安全无法对开源软件来源进行分析判断,无法对开源代码中的来源风险、恶意代码引入风险、后门风险、断供风险进行统计;缺乏对突发的开源组件高风险等级安全漏洞的应急预案及处置措施;安全团队订阅的威胁情报信息繁杂,缺少专精开源组件的情报,导致信息差滞后;对中间件、数据库、K8S、Docker 云环境等真实生产环境中的开源软件风险进行检查能力有待加强。
在软件管理上,行业内缺少统一的软件全生命周期管理平台;开源组件历史积累过多,部分组件难以治理;应用的开源软件许可证多样化;外采产品中的开源组件成份未知,风险不可控等痛点;左侧安全缺少质量门禁,缺乏流程管控。
在安全漏洞上,行业内缺少有效漏洞、组件等公共信息通知渠道和共享机制;部分开源软件出现重大安全漏洞,对业务的影响较大,紧急修复难;系统左右两侧安全通道尚未打通,无法快速定位到问题组件影响范围。
在技术运维方面,部分开源软件的社区不够成熟、配套的文档不完善;技术难点不能及时解决,运维投入成本大;开源产品供给与服务保障能力欠缺等。
在制度合规上,开源相关组织架构、标准及评估体系不够健全;开源软件安全与合规风险日渐凸显,开源专项的安全与合规较弱;公司内部开源治理评估模型与方法不够成熟;开源组件治理持续跟踪体系需进一步落实等。
Q6 面对这些挑战,请您和我们分享一下国泰君安证券目前开源治理体系的建设情况?
国泰君安证券以开源组织架构作支撑,以制度规范为指引,以技术平台作抓手构建了整个公司的开源软件治理体系,旨在打造以软件供应链安全为基础的自动闭环治理机制,其涵盖了组织制度、治理平台、闭环管控、检测能力等维度。
一是建立配置公司级别的开源治理委员会、开源治理工作组、开源组件管理维护团队、安全合规风控团队等组织机构,促进开源治理工作积极有序的开展。
二是制定落实公司开源治理管理制度和标准流程,包括制定并发布公司级别的开源治理管理制度、开源软件引入/退出流程、使用流程、定期评估流程、审批流程、制品进阶流程,以满足开源治理要求,规范开源软件生命周期的治理,控制风险,保障信息系统的安全能运行。同时确立安全合规负责人持续跟踪机制,避免发生供应链安全合规问题,为行业内制定并落实开源治理制度办法和标准流程提供有效参考。
三是建设全栈信创开源软件治理技术平台。平台提供开源软件全生命周期治理能力,实现开源软件引入、检测、升级、退出等整个流程的自动化管理,确保介质来源可控,确保安全风险的及时识别和规避;平台升华开源软件检测能力,整合多种产业侧安全合规检测工具,加强开源软件成分分析、安全漏洞影响分析、安全漏洞修复、知识产权冲突检测水平,从运行态和编译态维度,对运维研发两侧进行探测,定期扫描,记录软件依赖关系,快速定位影响范围,实现治理的闭环流程,提高治理效率;平台提供软件供应链分析能力,以软件成分检测、漏洞检测、许可证检测为基础,对软件漏洞、许可证风险进行追踪,快速定位危险软件;平台建立集团统一制品库,通过严格的进阶流程,高质量的门禁控制,定期的漏洞扫描修复,实现对制品、公共组件的统一管控与应用;平台建立内部公共信息库,包括组件库管理、漏洞库管理、许可证库管理等,同时对接行业开源信息门户和公共漏洞库,与行业数据进行共享共治。
四是构建开源软件评估体系。从基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面建立开源软件评估模型,同时对开源软件技术引入、使用、更新、退出等环节开展定期评估,持续跟踪,生成开源软件综合质量报告。
五是积极探索内部开源社区。研究制定公司内部开源社区章程规范,打造内部开源社区运营管理平台,覆盖项目的对内源发布、审批、申请、开源代码定期扫描、开源许可证使用登记、运行维护、操作说明等功能,为公司内部开源项目全生命周期提供一站式管理,便于开源贡献者版本迭代,同时也利于使用者应用实践,使得公司项目实现共享共治。
Q7 请分享一下国泰君安证券与信通院此前已建立的合作有哪些?
国泰君安证券和中国信通院在课题、标准、活动等方面有诸多合作,包括:国泰君安证券参加中国信通院牵头的证券期货业标准研究课题《证券期货业开源技术应用与风险管理指南》;国泰君安证券与中国信通院共同完成《证券期货业开源风险管理能力成熟度模型》、《证券期货业开源项目选型参考框架》、《证券期货业开源技术管理平台能力要求》、《证券期货业商业软件开源风险评价方法》等标准初稿的撰写与研讨;国泰君安证券参与了中国信通院组织的开源治理能力成熟度评估、首届 IPV6 技术应用创新大赛、2021 云安全守卫者计划、第四届“绽放杯”5G 应用征集大赛智慧金融专题赛等。此外,国泰君安证券已加入中国信通院成立的数据库应用创新实验室,共同研究数据库应用。
随着证券行业数字化转型的深入,开源技术的运用已成大势所趋,我们在拥抱开源的同时,也需要关注引入风险,持续优化开源技术治理体系,以高效运用开源技术助力数字化转型。在今年的 2023 OSCAR 开源产业大会证券行业开源治理分论坛,国泰君安证券将结合证券行业内公司开源治理的痛点,分享国泰君安证券在企业开源治理中组织制度和平台化建设的探索与落地。
采访的最后,黄韦老师也向广大开源参与者发出邀请:开源治理,可信开源,欢迎业内各位同仁参加 2023年OSCAR 开源产业大会,共建开源生态,共治开源安全,共享开源盛宴。
9 月 21 日,我们不见不散。
本届 OSCAR 开源产业大会将于 2023 年 9 月 21 日举办。诚邀各行业专家、产业精英共同探讨企业开源合规治理之道,一同推动各行业的开源生态建设。