金融行业开源发展问题、前景及建议分析

金融行业开源要得到长足发展，必然面临开源领域普遍会遇到的开源许可证合规风险、供应链风 险、代码安全风险、自主创新风险和运维服务支持风险，各家金融机构也面临自身IT转型过程中的开 源发展问题与挑战。

1.金融行业开源发展的问题与挑战

开源许可证合规风险高

许可证合规性是金融机构引入、使用、治理开源软件面临的首要问题。同时，也需要保护金融机构自 身的知识产权免遭传染性许可证侵害。目前，国际公认的开源许可证91种，主流使用的许可证也有9 种（截至2020年12月19日，OSI），其中大多采用英文编写，只有木兰许可证采用中文编写。金融机 构需要有具备熟悉许可证特性与要求的法律法规团队支持，并建设在开源软件全生命周期内动态管 理、定期扫描，发挥监控、评估等能力。

缺少运维支持服务风险

开源软件相较闭源商业软件缺少完善的运维保障支持。对开源软件应用中出现的安全漏洞、隐私风 险，金融机构需要自行分析解决。此外，金融机构对开源软件二次开发的代码，因其针对金融特定场 景不具有通用性，在开源软件进行大版本升级后，金融机构仍需要重复开发、测试、上线。

开源商业模式运营公司的不可持续服务风险

开源软件独特的商业运营模式，使成功的开源软件几乎都由成熟商业组织推动，在无法为其商业模 式带来流量、关注度等回报，或开源软件的存在对其盈利造成影响时，开源软件将面临人员投入、资 金支持、代码贡献调整的风险。

缺少统一安全管理风险

金融行业普遍应用了成千上万的开源软件，开源软件之间的依赖关系趋于复杂，管理成本较高。开 源软件间安全漏洞、后门风险的连锁传播，须进行有效漏洞管理。

对外参与和对外开源程度不足

金融机构整体上在开源产业生态链中贡献度较低。传统银行科技团队面临的挑战更多，对外开源的 内部流程更复杂、孵化时间更长。

开源供应链风险层出不穷

随着软件供应链开源化趋势日益明显，供应链风险也随之愈发复杂和多样化，主要包括了断供风险 和攻击风险。

2.金融行业开源发展前景与趋势

和开源供给侧合作更加紧密

金融行业开源已广泛应用，开源软件方面的专业服务需求日益旺盛，和开源商业公司、开源技术服务 公司、开源软件安全服务公司、开源治理咨询公司的合作将更加紧密。

生态共建步伐进一步加快

金融行业在《意见》的指导下，在北京金融科技产业联盟开源专委会的组织下，通过FOST平台和 OFTP平台，将进一步分享开源技术应用经验，共享开源技术研究成果。通过各类团体，行业合作共建 步伐将进一步加快。

对外开源意义进一步普及

各类机构在开展生态共建的基础上，将进一步了解对外开源的意义并逐步熟悉对外开源能力建设方法。

3.金融行业开源发展建议

金融机构应合理制定开源规划

金融机构应在IT顶层规划设计，加强开源软件使用、开源治理、开源人才队伍建设方面的规划，实现开 源核心技术的自主可控。

金融机构应加强开源安全管理

金融机构应加强开源风险意识，提升开源工作认知度和参与度，建立统一安全管理机制，破除开源引入 障碍，规范开源全生命周期管理，推动适合开源的组织架构调整，指导金融机构建立开源办公室，配备 相应的开源法律合规团队，切实掌握开源使用规模、复杂度，对已存在的安全漏洞、许可证合规风险主 动防控处理。

金融机构应积极参与开源生态建设，加强开源社区互动

金融机构应走出以使用为主的单方模式，在贡献开源、主动开源、开源慈善捐赠等方面主动投入和布 局，加强与协会、联盟、基金会等社会组织合作，和开源社区互动，推动开源供给侧参与金融开源工作， 积极参加编制开源标准，促进金融行业开源生态可持续健康发展。