版权声明 本白皮书版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本白皮书文字或者观点的， 应注明来源。违反上述声明者，本院将追究其相关法律责任。 编写说明 编写单位：中国信息通信研究院、上海浦东发展银行股份有限公司、中国农业 银行股份有限公司、中信银行股份有限公司、中国太平洋保险(集团)股份有限公 司、上海银行股份有限公司、中国人寿保险股份有限公司、上海农村商业银行股 份有限公司、 编写人： 栗蔚、郭雪、武倩聿、万化、杨欣捷、彭颖、叶馥郁、赖强、李玉 省、陈建锋、邓琼、张文若、郑位威、裴玉平、苏福江、倪焰 目 录 一、 开源技术迅猛发展推动企业引入开源 ............................. 1 1、 开源已在多个重要领域成为主流 ............................... 1 2、 企业用户引入开源技术不可避免 ............................... 2 二、 金融行业采用开源技术已成趋势 ................................. 6 1、 开源技术是构建信息系统的重要选择 ........................... 6 2、 选择开源技术对金融机构意义重大 ............................. 8 三、 引入开源的风险日益凸显不容忽视 .............................. 11 1、 缺乏技术能力是企业用户的重要痛点 .......................... 11 2、 是否引入开源软件难以完全准确统计 .......................... 12 3、 开源软件隐含的安全风险较为显著 ............................ 13 4、 使用过程中是否遵守开源约定未知 ............................ 14 5、 开源软件上游供应链存在不确定性 ............................ 14 6、 开源软件的知识产权风险易被忽略 ............................ 15 四、 金融行业开源治理建议 ....................................... 16 1、 推广产业开源科普，树立开源风险意识 ........................ 16 2、 建立金融开源社区，增进同业交流沟通 ........................ 17 3、 梳理开源治理规范，推动相关标准制定 ........................ 18 4、 建设开源治理体系，规范开源软件引入 ........................ 19 附录 金融机构开源治理实践案例 .................................... 23 中国农业银行.................................................. 23 上海浦东发展银行.............................................. 26 中信银行开源.................................................. 30 中国太平洋保险（集团）........................................ 32 前 言 近几年开源技术快速发展，金融行业在构建信息系统过程中不可 避免涉及开源技术的引入和使用。开源一方面可以突破技术壁垒推动 金融机构技术创新和业务发展，另一方面也不可避免的带来知识产权、 信息安全等一系列问题。金融作为涉及关乎国民经济的关键行业，面 临与其他行业相比更为严苛的监管要求。如何在遵循开源义务要求的 前提下规范地使用开源技术，从而最大化减少使用开源带来的风险， 是金融机构构建信息系统过程中必然面临的问题。 《金融行业开源治理白皮书》首先介绍企业用户引入开源技术的 背景，阐述开源技术对金融行业的重要意义，重点梳理引入开源可能 导致的风险，并对金融行业在开源治理方面可以采取的措施给出了建 议，最后附录了参与白皮书撰写企业的开源治理实践案例。 金融行业开源治理白皮书 一、 开源技术迅猛发展推动企业引入开源 近几年开源技术快速发展，在云计算、移动互联网、大数据 等领域逐渐形成技术主流。开源技术正在渗透软件领域的方方面 面，企业用户已经越来越难以规避开源的引入。与此同时，开源 的迅猛发展也推动企业从购买闭源商业软件转向关注和使用开 源软件。整体而言，不论企业是否接受，开源已经从事实上成为 了一种不可阻挡的趋势。 1、 开源已在多个重要领域成为主流 开源推动软件生产模式向多人协作方向发展。相比于闭源软 件封闭式的开发模式，开源软件开放式的生产模式推动更多人参 与到软件的创造之中。最初，大多数自由和开源软件项目的贡献 者通过电子邮件或私有的版本控制系统（如 Subversion 或 BitKeeper）进行协作。诞生于 2008 年的 GitHub 改变了这一情 况，GitHub 提供使用 Git 进行版本控制的软件源代码托管服务， 使更多开发者能够更方便地参与开源项目，进一步推动开源软件 生产效率和生产质量的提升。GitHub 的出现改变了开源软件的 协作模式，开发者不再需要先获得开发者社区的权限才能参与开 源项目，这种多人协作的软件生产模式大大推动了开源软件市场 的发展壮大。 1 开源软件已经逐步形成强大的生态链条。21 世纪之前，软件 世界以闭源为主， “闭源”与“收费”成为软件市场的主流， IBM、 甲骨文、EMC 为核心的软硬件产品是金融行业用户的主要选择。 90 年代末，开源软件从对商业软件的模仿开始兴起，如： Linux （对应微软的 Windows 操作系统）、OpenOffice（对应微软的 Office） 、FuseESB（对应 IBM ESB 和 Oracle ESB）等等。从 00 年代到现在，开源软件在市场上已经逐步与闭源软件平分秋色。 近年来，随着 IT 产业逐渐向服务化转型，开源已经成为 ICT 产 业发展的重要趋势，在移动互联网、云计算、大数据、人工智能 等诸多重要领域成为主流技术形态，如：移动互联网领域的 Android，云计算领域的 OpenStack、Kubernetes(k8s)，大数据 领域的 Hadoop，人工智能领域的 Tensorflow 等。以上领域的技 术更新迭代速度较快，企业用户在选择相关领域技术时，可能存 在没有商业产品可供选择，只能被迫采用开源技术的现象。 2、 企业用户引入开源技术不可避免 随着开源技术快速形成生态，企业用户引入开源技术已成大 势所趋。一方面，开源技术已经在大数据、云计算等重要领域形 成技术主流，开源软件覆盖软件生态的诸多方面；另一方面开源 代码规模正在飞速增长，截至 2018 年 9 月，开源代码托管平台 GitHub 上已经有 9600 多万个库，相比去年也增长了 40% 以 上。 2 由此可见，开源软件已经成为软件生态的重要且不可替代的 组成部分，不论管理者是否知悉，企业内部在很大概率上都已经 引入了开源相关的技术，具体有以下三种引入形式： 1) 所购买或使用的商业软件，隐含开源组件或代码 在开源软件兴起之前，大多数企业一般会选择购买商业软件， 因为这种购买行为对于企业而言是“公对公”的，大企业内部一 般都有规范的采购流程，企业负责人也认为商业软件的售后有所 保障。 然而，并不是购买了商业软件就意味着不用关心开源。实际 上，很多商业软件是基于开源做二次开发后以闭源形式提供给用 户的，但用户一般只知道自己购买了商业软件，而对其中可能涉 及的开源风险一无所知。 如果用户没有特殊要求，商业软件供应商一般不会说明是否 涉及开源软件，而用户一般不能直接接触到软件的源代码。因此， 用户很可能被动的就引入了开源软件，即使想遵守开源规则也无 从下手。虽然企业用户确实购买了商业软件，但商业软件中却有 可能包含开源的成分，用户很可能在不知情的情况下使用了开源 而不自知。从这个角度来说，很多时候并不是企业用户主动选择 了开源，而是被动使用了开源之后才意识到了解开源的重要性。 2) 购买基于开源软件的商业版本 很多时候企业觉得自己购买了商业软件，然而实际上却往往 是开源的商业版或者是发行版。目前已知的 Linux 发行版就有 3 300 多种，其中就有比较成功的商业发行版如：redhat、SUSe、 Ubuntu 等；全球范围内基于 OpenStack 提供支持和服务的企业 超过 150 家， 根据 OpenStack 基金 会发起 的第 11 次全球 OpenStack 用户调查显示，华为、红帽、 EasyStack（易捷行云） 是 2018 年排名前三甲的 OpenStack 软件供应商；大数据领域的 Hadoop 除了 Apache 的版本之外，华为发行版、Intel 发行版、 Cloudera 发行版和 DKhadoop 发行版均有广泛应用，其中很多发 行版都是收费的商业软件。 基于开源的商业版通常有两种情况，一种是双许可证，一种 是依商业许可重新发行。 所谓的双许可证是指其软件是基于开源许可证的，但是还有 不同的许可条款。用户可以无偿使用无须付费的、开源的版本， 这仍然属于商业版本的一部分，若用户有进一步的需求，诸如商 业的技术支持和服务则需要另行付费。作为全球领先的数据库软 件，MySQL 产品采取了开源许可与私有许可的双重许可模式。 MySQL 公司对产品代码拥有完整的著作权(copyright)。在开源 许可之下，软件的源代码完全公开，任何人都可以下载 MySQL 软 件来使用、修改和传播。如果某商业客户希望在其商业软件中集 成 MySQL 并保持原有软件的私有性，那么必须选择私有许可，即 向 MySQL 公司支付一定的许可费。采用混合许可的优点在于通过 许可协议差异化来最大化产品网络外部性带来的收益。 而依商业许可重新发行则是指一些宽松的许可证，如 Apache、 4 BSD 等，是允许以商业且闭源的方式二次发行的。这其中最为著 名的例子就是苹果公司的 MacOSX 操作系统，其内核是使用的 BSD Unix，但是其二次发行也是顺理成章。这样的方式，也是我们本 土常见的方式，比如 OpenStack 采用是非常宽松的 Apache 协议， 再次商业发行，包括自己修改的、新增的代码是可以不开源的。 3) 直接使用社区版开源软件 目前，开源软件已经覆盖了软件生态的诸多方面，操作系统 有 Linux 以开源形