金融机构在开源技术治理与发展有何挑战？

随着越来越多的开源技术引入， 金融机构在开源技术治理与发展上面临着以下问题与挑战。

1. 概念认知不足

随着近年来信息化快速发展，开源这一概念已经不再局限为 开源软件，《意见》首次提出的“开源技术”是指“金融机构从 代码托管平台、技术社区、开源机构官方网站等渠道获取的，或 通过合作研发、商业采购等方式引入的开源代码、开源组件，开 源软件和基于开源技术的云服务等”。联盟在开源软件的应用数 量的交流中发现，同量级商业银行之间反馈的开源软件及组件的 应用量级差异约三百余倍，说明不少机构仅仅将主动引入开源社 区公开或发布的版本视为开源软件，有配套付费服务、或基于开 源软件开发的商业版、间接采购引入和依赖包引入的开源软件/ 代码均未被视为开源软件。由于机构之间对于开源软件的界定、 统计方式和治理范围存在巨大差异，也就导致了遗漏在“开源技 术”范围之外的开源软件可能处于管理盲区，如果发生安全合规 风险，会导致更高的处理难度及成本。

2. 内涵理解不深

在联盟 2020 年《金融机构开源软件应用情况调查报告》中 发现，不少机构在顶层科技战略的设计上尚未认识到参与开源生 态对助力自身的开发效率、技术实力、模式创新的积极作用，也 就造成了内部管理不配套、开源文化缺失、人员及精力不足的状 况。在《意见》发布前，鲜见以机构为责任主体承担社区成员角 色，对开源社区的贡献往往属于开发者的个人行为，并非持续性 的机构行为；代码质量的提升、安全漏洞的修复往往要依靠上游 社区新陈代谢。仅少数机构认为自身要提高回报社区的能力，绝 大部分机构依然侧重于关注软件的技术研发维护能力，缺乏主动 参与开源工作和贡献开源生态的意识和动力，导致金融机构面对 开源软件缺陷与问题时大多处于被动的局面，未能形成良好的产 用双方技术共建能力。

近两年来，随着《意见》发布和开源文化在金融业的推广， 不少商业银行也逐渐加入了开源操作系统、隐私计算框架等大型 开源社区，但除了少数头部商业银行科技实力雄厚，能够投入较 大开发资源，更多的金融机构主要以需求意见提出者的角色进行 贡献，因此金融机构整体上在开源产业生态链中贡献度较低。

3. 主动开源不畅

由于商业银行普遍未建立自上而下的对外开源战略，对外开 源意愿多来自于开源产业或同业相关动作的启发，内部又缺乏针 对性的激励及多部门密切配合的对外开源工作机制，导致参与社 区或对外开源大多由科技团队“单打独斗”、自下而上推动。而 开源能否形成收益或商誉提升，可能是商业银行评价项目成功与 否的首要标准，由科技团队主导完成一套效果量化、投入产出比 分析、内部立项、采购等“非技术性”工作的难度较大。同时， 商业银行对外开源的态度更加审慎，对代码质量、运营规则等准 备阶段工作质量要求更高，给科技团队提出了更高的开源门槛。 因此，与科技公司对外开源的效率相比，传统商业银行科技团队 面的挑战更多，对外开源的内部流程更复杂、孵化时间更长。

4. 法规宣导不足

主动对外开源方面，与 2020 年相比，金融机构对外开源意 愿与能力得到增强，但存在忽视许可证兼容性、强互惠型许可证 理解偏颇的情况。在联盟组织编写金融行业开源技术系列标准工 作过程中也发现，起草人以技术序列专家为主，机构间对法律合 规有关的术语释义、许可证审查事项等条款更难达成一致共识。 根据交流调研，将法律合规风险纳入开源软件引入评估障碍的商 业银行数量倍增，但其中仅 1 家机构安排了开源合规主题研讨活 动，其他开源主题培训基本为技术能力、应用能力、管理能力提 升类培训及活动。

从制度执行方式与频率来看，与技术安全审查相比，金融机 构在法律合规审查规范、完善程度与执行力度上相对较弱；且该部分机构也均表示过自身亟待补足法律合规风险应对能力，反应 出了金融机构目前对开源软件存在的法律合规风险认知得到大 幅提升，但对于提升法律合规风险应对能力的需求还未得到有效 满足。

5. 安全风险挑战

对银行业而言，数据安全、隐私保护、系统稳定是重中之重； 使用开源软件虽然在一定程度上会给企业带来成本上的节约，但 是伴随而来的是安全屏障更加脆弱、数据隐私泄露风险不断加剧。 在目前引入开源软件的企业中，大多数都遭受过开源代码投毒或 者恶意攻击事件，而开源软件往往不会经历太多实际的业务性测 试，遇到问题时可能无法得到及时的修复，解决风险需花费大量 的时间。对于银行业来说，特别是对于很多中小银行来说，内部 开源技术治理还不够成熟，缺乏配套的专业人员和工具，即便遇 到恶意攻击事件的概率很低，如果发生也将为银行带来不可逆的 损失。