本文來自微信公眾號(hào)“twt企業(yè)IT社區(qū)”。
面對(duì)新技術(shù),無法逃避,只有先行和后行,沒有不執(zhí)行。本文來自社區(qū)文章《論述金融機(jī)構(gòu)使用開源軟件的潛在風(fēng)險(xiǎn)》及對(duì)該文的評(píng)論交流,由社區(qū)會(huì)員分享,也歡迎大家參與探討。
朱向東中原銀行高級(jí)工程師:
當(dāng)今金融行業(yè)廣泛采用了開源軟件,以提高生產(chǎn)效率和降低成本。然而,在金融機(jī)構(gòu)生產(chǎn)環(huán)境中使用開源軟件也面臨許多潛在的風(fēng)險(xiǎn)問題。這些問題包括安全風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、維護(hù)風(fēng)險(xiǎn)和依賴風(fēng)險(xiǎn)。
首先,由于開源軟件的源代碼是公開的,黑客可以輕易地找到其中的漏洞和安全漏洞,從而對(duì)系統(tǒng)進(jìn)行攻擊和入侵,導(dǎo)致安全風(fēng)險(xiǎn)。
其次,開源軟件往往有許多不同的許可證,如果金融機(jī)構(gòu)不了解這些許可證的細(xì)節(jié),很可能會(huì)侵犯版權(quán)或者使用不當(dāng),從而面臨法律訴訟的風(fēng)險(xiǎn)。
此外,開源軟件的使用需要技術(shù)人員進(jìn)行定制和配置,如果金融機(jī)構(gòu)沒有足夠的技術(shù)能力和經(jīng)驗(yàn),很可能會(huì)出現(xiàn)配置不當(dāng)、操作錯(cuò)誤等風(fēng)險(xiǎn),導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失等問題,從而產(chǎn)生操作風(fēng)險(xiǎn)。同時(shí),開源軟件的維護(hù)需要技術(shù)人員進(jìn)行,如果這些人員離職或者轉(zhuǎn)崗,而新的技術(shù)人員沒有足夠的經(jīng)驗(yàn)和能力來維護(hù)這些系統(tǒng),金融機(jī)構(gòu)就會(huì)面臨無法維護(hù)的風(fēng)險(xiǎn)。
最后,開源軟件往往有很多依賴關(guān)系,如果其中一個(gè)依賴關(guān)系出現(xiàn)問題,整個(gè)系統(tǒng)都會(huì)受到影響,導(dǎo)致依賴風(fēng)險(xiǎn)。因此,金融機(jī)構(gòu)需要仔細(xì)考慮這些依賴關(guān)系,并采取相應(yīng)的措施來降低依賴風(fēng)險(xiǎn)。
綜上所述,金融機(jī)構(gòu)在生產(chǎn)環(huán)境中使用開源軟件,雖然能夠降低成本和提高效率,但也存在潛在的風(fēng)險(xiǎn)問題。其中,安全風(fēng)險(xiǎn)是最為突出的問題,因?yàn)殚_源軟件源代碼公開,容易被黑客攻擊和入侵。此外,開源軟件許可證的多樣性也可能導(dǎo)致金融機(jī)構(gòu)侵犯版權(quán)或使用不當(dāng),面臨法律風(fēng)險(xiǎn)。操作風(fēng)險(xiǎn)、維護(hù)風(fēng)險(xiǎn)、依賴風(fēng)險(xiǎn)也都是潛在的問題,需要金融機(jī)構(gòu)采取相應(yīng)的措施來降低這些風(fēng)險(xiǎn)的影響。因此,金融機(jī)構(gòu)必須充分認(rèn)識(shí)和評(píng)估開源軟件在生產(chǎn)環(huán)境中的風(fēng)險(xiǎn)問題,建立完善的安全策略、培訓(xùn)技術(shù)人員、建立有效的維護(hù)機(jī)制等,才能更好地利用開源軟件的優(yōu)勢。
jason2006xu昆侖銀行:
金融機(jī)構(gòu)使用開源軟件的潛在風(fēng)險(xiǎn)主要包括以下幾個(gè)方面:
1.安全風(fēng)險(xiǎn):開源軟件的代碼是公開的,這意味著黑客可以更容易地找到漏洞和安全漏洞。如果金融機(jī)構(gòu)使用的開源軟件存在安全漏洞,黑客可以利用這些漏洞來攻擊金融機(jī)構(gòu)的系統(tǒng),導(dǎo)致數(shù)據(jù)泄露、資金損失等問題。
2.法律風(fēng)險(xiǎn):開源軟件通常使用開源許可證,這些許可證可能會(huì)對(duì)金融機(jī)構(gòu)的業(yè)務(wù)產(chǎn)生影響。例如,某些開源許可證可能要求金融機(jī)構(gòu)公開其使用的軟件的源代碼,這可能會(huì)泄露機(jī)構(gòu)的商業(yè)機(jī)密。
3.維護(hù)風(fēng)險(xiǎn):開源軟件通常由社區(qū)維護(hù),而不是由專業(yè)的軟件開發(fā)公司維護(hù)。這意味著金融機(jī)構(gòu)可能無法獲得及時(shí)的技術(shù)支持和維護(hù)服務(wù),這可能會(huì)導(dǎo)致軟件出現(xiàn)問題或無法正常運(yùn)行。
4.兼容性風(fēng)險(xiǎn):金融機(jī)構(gòu)使用的開源軟件可能與其現(xiàn)有的系統(tǒng)和軟件不兼容,這可能會(huì)導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰等問題。
綜上所述,金融機(jī)構(gòu)使用開源軟件需要謹(jǐn)慎,需要對(duì)開源軟件進(jìn)行充分的安全評(píng)估和風(fēng)險(xiǎn)評(píng)估,以確保其安全性和穩(wěn)定性。同時(shí),金融機(jī)構(gòu)需要遵守開源軟件的許可證要求,以避免法律風(fēng)險(xiǎn)。
jillme jollytech:
使用開源軟件是未來一段長時(shí)間可見的必然的方向,只有先行和后行,沒有不執(zhí)行的??萍碱I(lǐng)域的沖突日益加劇,國產(chǎn)化的應(yīng)用比例的提升,在沒有辦法全部軟件國產(chǎn)化之前,開源是一項(xiàng)必經(jīng)之路。
但是開源也有很多的問題,需要在應(yīng)用中重視:開源版本的兼容性,新版本不再支持舊版本。開源中存在的系統(tǒng)漏洞需要人工發(fā)現(xiàn)和維護(hù)。此外使用開源軟件也需要進(jìn)行事先評(píng)估,將風(fēng)險(xiǎn)降低到最小。還有我理解的是開源軟件使用,采用小步快跑的模式,先使用不重要的系統(tǒng),再使用重要的系統(tǒng)。還有在使用開源軟件的同時(shí),也需要培養(yǎng)能夠修改的人員或者有多個(gè)選擇替代品,做到開源閉源后,依舊可以使用。
lych370系統(tǒng)運(yùn)維工程師:
凡事都具有兩面性,船可載舟亦可覆舟,開源軟件既是風(fēng)險(xiǎn)也是挑戰(zhàn),面對(duì)當(dāng)前金融行業(yè)的降本增效大潮,擺脫國外軟件的依賴,伴隨著去IOE的大潮,開源軟件必然是一種趨勢和嘗試,如何去權(quán)衡風(fēng)險(xiǎn)和收益顯得尤為重要,
針對(duì)文章中提到的觀點(diǎn)進(jìn)行補(bǔ)充,開源軟件最大的問題是不確定性和缺少售后支持,如果有強(qiáng)大的技術(shù)團(tuán)隊(duì)的話可以考慮二次開發(fā),利用開源軟件的優(yōu)勢開發(fā)符合自己的產(chǎn)品,同時(shí)通過開發(fā)掌握產(chǎn)品的風(fēng)險(xiǎn)和問題,進(jìn)行優(yōu)化。另外既然不確定,那么初始階段金融企業(yè)完全可以選擇一些不是很重要的或者內(nèi)部使用的系統(tǒng)進(jìn)行嘗試,等用過一段時(shí)間穩(wěn)定后再考慮應(yīng)用在其他系統(tǒng)上,達(dá)到循序漸進(jìn)的效果。
我們每天總會(huì)面對(duì)新的技術(shù),無法總是逃避。
myciciy某金融科技公司:
《中國人民銀行辦公廳中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室秘書局工業(yè)和信息化部辦公廳中國銀行保險(xiǎn)監(jiān)督管理委員會(huì)辦公廳中國證券監(jiān)督管理委員會(huì)辦公廳關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》關(guān)于開源技術(shù)使用的內(nèi)容很全面且具體,很值得參考:
二、金融機(jī)構(gòu)在使用開源技術(shù)時(shí)應(yīng)遵循以下原則:
(一)堅(jiān)持安全可控。金融機(jī)構(gòu)應(yīng)當(dāng)把保障信息系統(tǒng)安全作為使用開源技術(shù)的底線,認(rèn)真開展事前技術(shù)評(píng)估和安全評(píng)估,堵塞安全漏洞,切實(shí)保證技術(shù)可持續(xù)和供應(yīng)鏈安全,提升信息系統(tǒng)業(yè)務(wù)連續(xù)性水平。
(二)堅(jiān)持合規(guī)使用。金融機(jī)構(gòu)應(yīng)當(dāng)遵循開源技術(shù)相關(guān)法律和許可要求,合規(guī)使用開源技術(shù),明確開源技術(shù)的使用范圍和使用的權(quán)利與義務(wù),保障開源技術(shù)作者或權(quán)利人的合法權(quán)益。
(三)堅(jiān)持問題導(dǎo)向。鼓勵(lì)金融機(jī)構(gòu)有針對(duì)性地選擇和使用開源技術(shù),建立開源技術(shù)使用問題發(fā)現(xiàn)、反饋、解決等閉環(huán)機(jī)制,推動(dòng)開源技術(shù)不斷迭代升級(jí)。
(四)堅(jiān)持開放創(chuàng)新。鼓勵(lì)金融機(jī)構(gòu)重視開源技術(shù)應(yīng)用與發(fā)展,積極參與國際國內(nèi)開源技術(shù)社區(qū)建設(shè),汲取先進(jìn)技術(shù),貢獻(xiàn)中國智慧,培育適合金融場景的開源產(chǎn)業(yè)鏈,提升開源技術(shù)話語權(quán)。
三、金融機(jī)構(gòu)可以將開源技術(shù)應(yīng)用納入自身信息化發(fā)展規(guī)劃,明確開源技術(shù)應(yīng)用目標(biāo),制定開源技術(shù)應(yīng)用工作方案并組織實(shí)施。
四、鼓勵(lì)金融機(jī)構(gòu)加強(qiáng)對(duì)開源技術(shù)應(yīng)用的組織管理和統(tǒng)籌協(xié)調(diào),成立由科技、法務(wù)、采購等部門組成的開源技術(shù)應(yīng)用協(xié)調(diào)機(jī)制,負(fù)責(zé)開源技術(shù)評(píng)估、選擇、應(yīng)用等工作,協(xié)調(diào)解決應(yīng)用中遇到的困難和問題。
五、鼓勵(lì)金融機(jī)構(gòu)建立健全開源技術(shù)應(yīng)用管理制度體系,規(guī)范開源技術(shù)的引入審批、技術(shù)評(píng)估、合規(guī)使用、漏洞檢測、更新維護(hù)、應(yīng)急處置、停用退出等行為。
六、金融機(jī)構(gòu)可以根據(jù)金融業(yè)務(wù)場景,選擇適宜的技術(shù)路線,制定合理的開源技術(shù)應(yīng)用策略,包括獨(dú)立完成開源技術(shù)應(yīng)用及運(yùn)維、引入第三方機(jī)構(gòu)的開源技術(shù)支持服務(wù)、采購開源技術(shù)提供商的商業(yè)軟件版本及服務(wù)等。
七、金融機(jī)構(gòu)可以根據(jù)開源技術(shù)使用情況,建立開源技術(shù)應(yīng)用臺(tái)賬,及時(shí)掌握開源許可證變更、漏洞、閉源、停服等變化情況,實(shí)行常態(tài)化管理,規(guī)避風(fēng)險(xiǎn)。
八、鼓勵(lì)金融機(jī)構(gòu)將開源技術(shù)應(yīng)用作為提高核心技術(shù)自主可控能力的重要手段,加強(qiáng)開源技術(shù)研究儲(chǔ)備,掌握開源技術(shù)核心,以應(yīng)用促提升,依托金融業(yè)豐富的業(yè)務(wù)場景促進(jìn)開源技術(shù)迭代升級(jí)。
九、推動(dòng)金融機(jī)構(gòu)建立健全對(duì)開源技術(shù)基本功能、性能指標(biāo)、安全性、社區(qū)成熟度、商業(yè)支持度、行業(yè)認(rèn)可度等方面的評(píng)估體系,對(duì)開源技術(shù)引入、使用、更新、退出等環(huán)節(jié)開展定期評(píng)估,在提升自身評(píng)估能力的同時(shí),可結(jié)合實(shí)際引入第三方評(píng)估服務(wù)。
十、支持金融機(jī)構(gòu)對(duì)開源技術(shù)版權(quán)、專利、商標(biāo)、聲明等進(jìn)行事前合規(guī)審查,通過審查開源許可證遵從性和兼容性、梳理開源技術(shù)間依賴性等,避免法律糾紛??筛鶕?jù)需要引入第三方合規(guī)審查服務(wù)。
十一、支持金融機(jī)構(gòu)制定應(yīng)急處置預(yù)案,應(yīng)對(duì)開源技術(shù)潛在漏洞、后門及閉源、停服等突發(fā)情況。通過規(guī)劃備選方案、限制使用場景、儲(chǔ)備核心技術(shù)人才等措施降低風(fēng)險(xiǎn)。及時(shí)更新應(yīng)急處置預(yù)案,定期開展演練,保證應(yīng)急處置預(yù)案的有效性。
十二、支持金融機(jī)構(gòu)加強(qiáng)開源技術(shù)供應(yīng)鏈管理,保障開源技術(shù)產(chǎn)品和服務(wù)質(zhì)量,通過合同或協(xié)議條款,明確開源技術(shù)提供商義務(wù)和責(zé)任,并要求開源技術(shù)提供商對(duì)其提供的開源技術(shù)進(jìn)行技術(shù)評(píng)估、合規(guī)審查等。
十三、鼓勵(lì)金融機(jī)構(gòu)積極參與開源生態(tài)建設(shè),依法合規(guī)分享開源技術(shù)應(yīng)用經(jīng)驗(yàn),共享開源技術(shù)研究成果。通過主動(dòng)開源、貢獻(xiàn)代碼解決行業(yè)共性問題,提升開源技術(shù)整體應(yīng)用水平。鼓勵(lì)金融機(jī)構(gòu)之間開展開源項(xiàng)目合作,實(shí)現(xiàn)優(yōu)勢互補(bǔ)、互利共贏、共同發(fā)展。
十四、鼓勵(lì)金融機(jī)構(gòu)與科技企業(yè)、高等院校、科研院所、中介服務(wù)等機(jī)構(gòu)加強(qiáng)交流合作,基于市場化原則開展開源技術(shù)聯(lián)合研發(fā)和運(yùn)營,加強(qiáng)開源技術(shù)人才培養(yǎng),推進(jìn)開源技術(shù)迭代升級(jí),促進(jìn)開源技術(shù)成果轉(zhuǎn)化。
十五、支持金融機(jī)構(gòu)加入合法合規(guī)的開源社區(qū)、開源基金會(huì)等開源社會(huì)組織,參與開源技術(shù)規(guī)劃設(shè)計(jì)、研發(fā)決策、社區(qū)運(yùn)營等活動(dòng)。開源社會(huì)組織發(fā)揮自律作用,研究出臺(tái)自律公約,規(guī)范開源技術(shù)參與機(jī)構(gòu)行為,保障開源技術(shù)貢獻(xiàn)者合法權(quán)益。發(fā)揮橋梁紐帶作用,建立穩(wěn)定、高效的交流分享機(jī)制,定期開展開源技術(shù)交流、產(chǎn)金對(duì)接、應(yīng)用推廣等活動(dòng)。
十六、鼓勵(lì)開源技術(shù)提供商加快提升技術(shù)創(chuàng)新能力,切實(shí)掌握開源技術(shù)核心代碼,形成自主知識(shí)產(chǎn)權(quán),夯實(shí)產(chǎn)業(yè)支撐能力。在提供基于開源技術(shù)的商業(yè)軟件或服務(wù)時(shí),遵循開源許可協(xié)議和相關(guān)法律法規(guī)要求,明確開源技術(shù)的使用范圍和使用的權(quán)利與義務(wù),保障用戶合法權(quán)益。探索自主開源生態(tài),重點(diǎn)在操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件領(lǐng)域和云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)領(lǐng)域加快生態(tài)建設(shè),利用開源模式加速推動(dòng)信息技術(shù)創(chuàng)新發(fā)展。