近年来,随着证券机构科技实力的增强,对开源技术的使用逐渐增多,如何开展开源治理成为业内广泛关注的话题。2021年10月,中国人民银行等五部委联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称“意见”),明确了“安全合规”的开源使用原则,为金融机构开展开源治理工作指明了方向。在指导政策与现实应用的双重驱动下,证券机构亟需筑牢开源风险防范机制,构建开源治理体系。
开源作为一种开放的、无边界的新型协作模式,已成为证券行业数字化转型的关键助力。据中国信通院发布的《证券行业开源治理白皮书》统计,证券期货行业超过90%企业使用开源技术。证券期货业开源应用具有明显行业特点,采用外包和采购等引入方式较多导致开源供应链风险较大,同时行业强监管特点导致证券机构开源合规和安全需求高。与此同时,部分证券机构开源管理流程体系尚不完善,开源技术使用把控不规范,面临着诸多痛点问题,亟需围绕开源软件全生命周期构建治理体系,化解开源应用风险。
证券行业开源治理面临的痛点问题
组织制度建设滞后
1、缺乏开源治理委员会等开源治理专门组织,目前管理依托于传统信息技术管理组织架构实现;
2、缺乏企业级正式流程制度,开源治理工作推进缺乏制度依据;
3、开源治理涉及诸多部门,跨部门协作存在困难。
管理流程相对粗糙
1、管理环节零散割裂,尚未形成全生命周期管理体系;
2、存量开源软件数量庞大,未形成清晰的管理台账;
3、尚未建立开源软件分级分类管理机制,管理主体责任未能真正落实。
安全风险难以化解
1、开源软件引入流程尚不规范,未形成安全可控的统一代码仓库;
2、存量开源软件的安全管理责任、安全处置机制不明确,安全风险响应不及时;
3、开源许可证信息模糊,存在潜在的知识产权风险隐患;
4、左右两侧安全通道阻隔,风险处置环节尚未打通。
证券机构开源治理体系构建路径
组织制度完善开源治理顶层设计
开源治理在实际落地过程中需要科学的组织架构与完善的管理制度提供坚强支持。开源治理过程涉及到开发、架构、安全、测试、运维等多方主体共同参与,必然需要有具备跨部门统筹协调能力的组织进行治理的顶层设计、科学合理的制度实现治理的有章可循,二者共同形成完善治理机制推进整个治理过程落到实处。业内实践也表明,一套合理的开源治理机制通常由多个职能部门共同组成的开源治理小组和覆盖开源软件应用全流程的管理规章共同构成,为开源治理提供组织制度保障。
安全左移实现开源风险源头防范
引入方式多样、软件来源复杂一直是证券机构进行开源治理过程中面对的痛点问题,为此需要将安全左移原则贯彻到开源治理过程中。安全左移强调安全活动在开发阶段即提前介入,在开源治理中具体表现为通过围绕开源风险的威胁建模、开源软件的引入审批、开发环节的IDE安全插件辅助、SCA工具扫描等手段提前识别开源风险,做到“早发现、早治理”,从而实现开源风险的源头管控。
工具平台打通开源治理流程节点
针对开源软件全生命周期的开源治理体系的实践涉及同源管理、统一引入、可信开源仓库建设、交付验收检测等多种管理手段,需要应用制品库、SCA工具、缺陷跟踪系统等多种工具。通过打造集成诸多功能于一体的企业级开源软件治理平台能够有效提升开源治理工程能力,实现开源软件的自动化治理,为证券机构安全合规应用开源软件提供关键支撑。
中国信通院积极推进证券行业开源治理相关工作
课题研究
2023年,中国信通院作为牵头单位,联合华泰证券、国泰君安证券、西南证券、易方达基金四家机构,聚焦证券行业开源治理痛点,依托全国金融标准化技术委员会证券分技术委员会2022年标准研究课题《证券期货业开源技术应用与风险管理指南研究》,共同开展相关标准研究工作,形成了《证券期货业开源风险管理能力成熟度模型》等标准草案成果。
证券期货业开源风险管理能力成熟度模型
经证标委批准,2023年度证券期货业标准研究课题结题评审工作已完成,由中国信息通信研究院牵头承担的《BZKT-2022-051证券期货业开源技术应用与风险管理指南研究》获评优秀课题!
咨询评估
2019年,中国信通院启动国内首个开源治理成熟度评估,评估开展六年以来,已有中国农业银行、中国工商银行、中国建设银行等11家金融机构和中移信息等3家运营商通过评估。2023年,中国信通院在课题研究成果的基础上,开展首批【证券期货业开源治理能力成熟度】咨询评估工作。目前,上海证券交易所开源治理能力提升咨询服务正在开展,国泰君安证券股份有限公司和国金证券股份有限公司已通过开源治理能力成熟度评估。目前,第二批咨询评估报名已启动,欢迎感兴趣的证券机构参与。