开源实践联盟通信 2021年 04月10日

开源治理有方,让安全和风险可控

文/郝伟静
对于企业来说,想要玩好开源,也是需要讲究开源之法,有据可依。如果使用不当,会把风险引入企业,并且对业务造成一定损害。因此企业必须探索出一条规范使用和管控好开源技术的道路,让开源价值最大化。

器有尺度,物有准绳,不以规矩,不成方圆。对于企业来说,想要玩好开源,也是需要讲究开源之法,有据可依。开源是把双刃剑,一方面,开源代码公开透明,容易获取,能有效降低企业初期投入成本;另一方面,如果使用不当,会把风险引入企业,并且对业务造成一定损害。因此企业必须探索出一条规范使用和管控好开源技术的道路,让开源价值最大化。

近年来,开源治理渐渐走进人们的视野,并逐渐成为开源领域的一个热点话题。比如,2018年信通院推出《开源治理白皮书》,2019年进一步推出《金融行业开源治理白皮书》,去年信通院还推出了开源治理培训计划等等。

那么,何谓开源治理?为什么要开源治理?怎么做到开源治理?这些都是企业在拥抱开源之前需要进行的灵魂三问。

开源背后蕴藏风险

被奉为开源运动《圣经》的《大教堂与集市》一书中,作者把开源比作热闹的集市,开放且来去自由,它欢迎任何一行开源代码在这里流通,也不拒绝任何一家企业在这里收获开源成果。

经过多年的发展,开源热度持续攀升,越来越多的公司在拥抱开源,并使用开源。《开源治理白皮书》指出,开源项目呈指数级增长,到2026年全球预计超3亿;与此同时,我国企业内部已经应用开源软件的比例,已经达到86.7%,正在引入开源软件的企业占10.6%,呈现主动开源趋势。开源软件更是百花齐放,借着云计算、大数据、人工智能等东风,各种DevOps平台、新一代系统都应用了开源软件。

相比较闭源的商用软件,开源代码公开带来的好处显而易见,而对引入、使用和管理开源软件的过程中出现的风险却关注甚少。《金融行业开源治理白皮书》指出,引入开源的用户往往成为开源软件使用的风险落脚点。在开源生态中,金融机构往往以最终用户的角色出现,难免存在潜在的风险问题。总的来看,这些风险主要有运维和技术风险、管理风险、安全和数据风险、合规和知识产权风险四个方面。

首先,运维和技术风险。开源软件的开发和运维往往需要金融机构自己来负责,开发难度更大,人才的数量和质量跟不上,消耗企业更多资源。

其次,管理风险。商业软件大部分不会主动说明产品中是否有开源代码,用户很可能被动引入开源代码;金融用户如果没有对源代码扫描,通常也并不清楚企业开发者是否使用了开源代码片段以及引入了多少开源代码;大量级的开源软件和代码规模给代码合规性检查带来了不小的挑战。基于上面三点,金融企业想要统计完全准确的开源软件数目和使用情况存在一定困难。

此外,安全和数据风险。由于开源软件是由多人协作完成,且开源许可证具有复杂性的特点,很容易造成开源软件存在恶意代码、病毒或造成隐私泄露等问题。开源软件的安全缺陷密度较高,金融企业对安全漏洞应予以重视。

最后,合规和知识产权风险。每一个开源软件,都需要遵守开源许可证上规定的要求,但很多情况下,金融企业无法明确得知该软件是否遵守;开源软件上游供应链涉及众多开源基金会、开源产品、服务企业等等,存在很大不确定性,影响开源许可证的使用方式,企业很可能因为许可证变化而影响后续开源软件的使用;开源背后的知识产权问题相对专业,如果不准确掌握知识,很可能会埋下很大的风险隐患。

实际上,出于安全要求,我国一些传统行业用户也已经开始探索开源的治理,尤其在金融行业,由于对开源技术的应用比较广泛,在治理方面觉醒得也比较早。比如,浦发银行就在去年成立了创新实验室,进行开源方面的研究和使用规范工作。同样,中国农业银行、中信银行、中国太平洋保险等企业也有类似举措。

治理开源宜早不宜晚

开源有需求,有挑战,也有解决之道。面对这一系列痛点,国家、金融企业和第三方机构应共同采取措施,催生开源治理新范式,使开源产业健康有序发展。

不久前正式发布的“十四五”规划纲要明确指出,支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务。这从整体上提高了国家或行业层面对开源的重视程度;产业界可以通过白皮书或书籍灌输开源理念,解读开源许可证要求,组织相关演讲与培训;金融机构可以通过调查问卷等形式了解行业情况,摸清现状,形成调研报告以供参考。

光靠单方的力量,很难推动自身开源技术的应用和治理快速成长,这时可以联合多家金融机构,形成行业运作、交流、共治平台,例如,在2018年10月12日,浦发银行和中国信通院共同发起金融行业开源技术应用社区,目前超过30家成员单位,每隔1-2个月社区就会发起研讨会,整合优势资源和技术成果共享开源经验,共同推动金融行业开源生态健康发展。

前文提到,企业想要玩好开源,也是需要讲究开源之法,梳理开源治理规范,推动相关标准制定迫在眉睫。第三方机构可以通过标准化的手段来树立规范,例如,信通院联合30多家金融企业和科技公司,制定《开源治理能力评价方法》,从“申请-审批-使用”全流程帮助企业建立自上而下的开源治理体系。

同时,一些开源领先的企业(如红帽)也推出了开源治理的方法论以及开源治理的相关资讯服务,把它们在开源软件的管理经验传授给市场,对开源市场的繁荣起到了很好的促进作用。

对于企业来说,需要构建一套适合自身情况的开源治理体系,涉及组织架构、管理制度、软件选型、使用规范、风险管理、二次开发、持续跟踪、社区反馈、退出机制九个方面。除此以外,企业还可以建立内部开源治理支撑平台,完成对开源软件的引入评估、使用评估、安全漏洞评估等,实现开源软件全生命周期的跟踪和记录。

小结

正如春耕种,夏生成,秋收割,冬储藏,开源的正确引入和规范管理,也要遵守一系列规则,开源治理不仅能够做到风险可防可控,保障金融机构充分满足合规要求,更能以开源新技术的应用促进金融机构向数字化、智能化方向转型。

《数字化转型方略》杂志 《数字化转型方略》杂志