恒生电子与中国信通院联合发布《证券行业开源治理白皮书》,证券开源治理势在必行
发表于 2022-01-25 17:46:49

1月19日,恒生电子与中国信通院联合发布国内首部聚焦证券行业开源治理的《证券行业开源治理白皮书》(以下简称“白皮书”)。安信证券、东北证券、光大证券、广发证券、国信证券、华安证券、南京证券、西南证券、兴业证券、浙商证券、招商证券、中银国际证券等机构共同参与编写。

据介绍,白皮书通过梳理我国开源整体发展趋势,针对我国证券行业开源软件使用现状进行调研,同时在分析开源主要风险点的基础上,提出证券行业开源治理体系构建建议和开源治理方案,为规范证券机构合理应用开源技术,提高应用水平和可控能力提供重要参考。

证券行业开源软件使用存在潜在风险

当前,开源已上升至国家战略层面。2021年11月,工信部在《“十四五”软件和信息技术服务业发展规划》中突出强调开源在驱动软件产业发展的重要作用,提出“繁荣国内开源生态”的重点任务。

与此同时,我国的开源生态快速发展。根据信通院调研显示,2021年我国已经使用开源技术的企业占比为88.2%,其中超过90%的中国金融机构已经引入开源软件。作为金融业的重要主体,证券行业对开源技术的使用逐渐增加,通过自研、外包合作开发、采购等多种形式在信息系统中引入大量开源软件。

证券机构在享受成本降低、技术迭代速度加速等便利的同时,也面临着开源安全漏洞风险、数据泄露风险、知识产权风险和管理风险。在证券行业开源使用调研中,有超过72%的企业表示暂无开源治理流程系统,约73%的企业目前暂无开源治理平台但计划未来将该平台建设纳入规划。但从总体来看,我国金融机构对开源软件管理问题的重视程度逐步提升,正在朝着专业化方向发展。

构建开源治理落地方案,为开源保驾护航

据白皮书分析,证券公司在开源技术使用上主要分为外购商用软件涉及到开源技术以及自身研发过程中使用开源技术两种情况。白皮书分别针对两种典型引入场景,提出切实可行的开源治理体系建设方案。

在外购商业业务系统场景下,外购软件的开源组件存在数据不清、风险不明、影响不定、修复不易、来源不一等痛点,可能会将开源安全合规风险引入到证券机构。对于以上痛点,机构搭建开源治理平台可以将各个业务系统的开源组件台账、软件资产拓扑、安全漏洞、合规风险、风险通知、修复方案等功能整合起来,通过安全合规风险扫描工具来实现三方开源组件公开安全漏洞、框架漏洞的发现。

外购软件开源治理方案,来源:恒生电子,2021年12月

对于如何做好软件开源治理,恒生电子有着丰富的平台建设和治理经验。恒生Light云的核心基座—云原生PaaS平台Light-CORE,对于重量级开源中间件(如消息队列、注册中心、配置中心、负载均衡、数据库等)提供统一组件服务。

恒生电子专业中间件维护团队会将开源组件源代码进行场景化适配编译,通过安全漏洞扫描、安全测试后制作成组件化标准服务,统一上架至Light-CORE平台,做到组件服务开箱即用,对于出现公开漏洞的开源组件,也会提供持续同步更新服务。此外,Light-CORE也提供系列规范和资源能力,规范方面包括组件规范、部署规范、监控规范等,通过这些规范和标准的支撑,让全过程更加可靠。

对于需要使用开源技术做开发的场景,机构的开源治理平台可集成DevOps研发运维一体化平台,以满足软件全生命周期开源技术的治理。

开源治理方案,来源:恒生电子,2021年12月

作为云原生的重要部分之一,DevOps是企业在进行云原生转型中的关键技术,也是各大云服务技术厂商深耕探索,企业级产品服务不断涌现的领域。针对专业金融软件研发流程管理,恒生电子结合20多年金融软件研发管理实践经验以及云原生DevOps理念,自主研发一站式、企业级的效能平台Light-DevOps,范围涵盖需求管理、项目管理、敏捷开发管理、开发套件、元数据管理、持续集成、持续部署、持续测试、持续交付、持续运维、持续反馈等,以实现软件研发全过程高质量持续交付。

除开源治理方案外,白皮书还就建设开源治理组织架构、建立科学成熟的开源软件管理与使用规章制度、建立开源供应商准入机制和使用规则、开源软件交付物风险确认等治理建议进行了详细阐述。


 「免责声明」:以上页面展示信息的目的在于传播更多信息,与本网站立场无关。我们不保证该信息(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担,以上网页呈现的图片均为网友自发上传,如发生图片侵权行为与我们无关。若发现疑似图片侵权行为可发送举报邮件至 ac@csdn.net,CSDN 能力认证,清晰定义软件工程师能力模型,面向开发者、技术爱好者、在校大学生等群体,通过机试(真人露脸、全程录屏、限时提交)测出应试者的真能力,筛选合格软件人才,建立应聘者与企业之间的信任关系,详情点击:ac.csdn.net

 

CSDN官方微信
扫描二维码,向CSDN吐槽
微信号:CSDNnews
微博关注
【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及文中陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件有任何怀疑或质疑,请立即与CSDN联系,我们将迅速给您回应并做处理。】