面對新技術(shù),無法逃避,只有先行和后行,沒有不執(zhí)行。本文來自社區(qū)文章《論述金融機(jī)構(gòu)使用開源軟件的潛在風(fēng)險》及對該文的評論交流,由社區(qū)同行分享,也歡迎大家參與探討。
@朱向東 中原銀行 高級工程師:
當(dāng)今金融行業(yè)廣泛采用了開源軟件,以提高生產(chǎn)效率和降低成本。然而,在金融機(jī)構(gòu)生產(chǎn)環(huán)境中使用開源軟件也面臨許多潛在的風(fēng)險問題。這些問題包括安全風(fēng)險、法律風(fēng)險、操作風(fēng)險、維護(hù)風(fēng)險和依賴風(fēng)險。
首先,由于開源軟件的源代碼是公開的,黑客可以輕易地找到其中的漏洞和安全漏洞,從而對系統(tǒng)進(jìn)行攻擊和入侵,導(dǎo)致安全風(fēng)險。
其次,開源軟件往往有許多不同的許可證,如果金融機(jī)構(gòu)不了解這些許可證的細(xì)節(jié),很可能會侵犯版權(quán)或者使用不當(dāng),從而面臨法律訴訟的風(fēng)險。
此外,開源軟件的使用需要技術(shù)人員進(jìn)行定制和配置,如果金融機(jī)構(gòu)沒有足夠的技術(shù)能力和經(jīng)驗(yàn),很可能會出現(xiàn)配置不當(dāng)、操作錯誤等風(fēng)險,導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失等問題,從而產(chǎn)生操作風(fēng)險。同時,開源軟件的維護(hù)需要技術(shù)人員進(jìn)行,如果這些人員離職或者轉(zhuǎn)崗,而新的技術(shù)人員沒有足夠的經(jīng)驗(yàn)和能力來維護(hù)這些系統(tǒng),金融機(jī)構(gòu)就會面臨無法維護(hù)的風(fēng)險。
最后,開源軟件往往有很多依賴關(guān)系,如果其中一個依賴關(guān)系出現(xiàn)問題,整個系統(tǒng)都會受到影響,導(dǎo)致依賴風(fēng)險。因此,金融機(jī)構(gòu)需要仔細(xì)考慮這些依賴關(guān)系,并采取相應(yīng)的措施來降低依賴風(fēng)險。
綜上所述,金融機(jī)構(gòu)在生產(chǎn)環(huán)境中使用開源軟件,雖然能夠降低成本和提高效率,但也存在潛在的風(fēng)險問題。其中,安全風(fēng)險是最為突出的問題,因?yàn)殚_源軟件源代碼公開,容易被黑客攻擊和入侵。此外,開源軟件許可證的多樣性也可能導(dǎo)致金融機(jī)構(gòu)侵犯版權(quán)或使用不當(dāng),面臨法律風(fēng)險。操作風(fēng)險、維護(hù)風(fēng)險、依賴風(fēng)險也都是潛在的問題,需要金融機(jī)構(gòu)采取相應(yīng)的措施來降低這些風(fēng)險的影響。因此,金融機(jī)構(gòu)必須充分認(rèn)識和評估開源軟件在生產(chǎn)環(huán)境中的風(fēng)險問題,建立完善的安全策略、培訓(xùn)技術(shù)人員、建立有效的維護(hù)機(jī)制等,才能更好地利用開源軟件的優(yōu)勢。
@jason2006xu 昆侖銀行:
金融機(jī)構(gòu)使用開源軟件的潛在風(fēng)險主要包括以下幾個方面:
1. 安全風(fēng)險:開源軟件的代碼是公開的,這意味著黑客可以更容易地找到漏洞和安全漏洞。如果金融機(jī)構(gòu)使用的開源軟件存在安全漏洞,黑客可以利用這些漏洞來攻擊金融機(jī)構(gòu)的系統(tǒng),導(dǎo)致數(shù)據(jù)泄露、資金損失等問題。
2. 法律風(fēng)險:開源軟件通常使用開源許可證,這些許可證可能會對金融機(jī)構(gòu)的業(yè)務(wù)產(chǎn)生影響。例如,某些開源許可證可能要求金融機(jī)構(gòu)公開其使用的軟件的源代碼,這可能會泄露機(jī)構(gòu)的商業(yè)機(jī)密。
3. 維護(hù)風(fēng)險:開源軟件通常由社區(qū)維護(hù),而不是由專業(yè)的軟件開發(fā)公司維護(hù)。這意味著金融機(jī)構(gòu)可能無法獲得及時的技術(shù)支持和維護(hù)服務(wù),這可能會導(dǎo)致軟件出現(xiàn)問題或無法正常運(yùn)行。
4. 兼容性風(fēng)險:金融機(jī)構(gòu)使用的開源軟件可能與其現(xiàn)有的系統(tǒng)和軟件不兼容,這可能會導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰等問題。
綜上所述,金融機(jī)構(gòu)使用開源軟件需要謹(jǐn)慎,需要對開源軟件進(jìn)行充分的安全評估和風(fēng)險評估,以確保其安全性和穩(wěn)定性。同時,金融機(jī)構(gòu)需要遵守開源軟件的許可證要求,以避免法律風(fēng)險。
@jillme jollytech:
使用開源軟件是未來一段長時間可見的必然的方向,只有先行和后行,沒有不執(zhí)行的。科技領(lǐng)域的沖突日益加劇,國產(chǎn)化的應(yīng)用比例的提升,在沒有辦法全部軟件國產(chǎn)化之前,開源是一項必經(jīng)之路。
但是開源也有很多的問題,需要在應(yīng)用中重視:開源版本的兼容性,新版本不再支持舊版本。開源中存在的系統(tǒng)漏洞需要人工發(fā)現(xiàn)和維護(hù)。此外使用開源軟件也需要進(jìn)行事先評估,將風(fēng)險降低到最小。還有我理解的是開源軟件使用,采用小步快跑的模式,先使用不重要的系統(tǒng),再使用重要的系統(tǒng)。還有在使用開源軟件的同時,也需要培養(yǎng)能夠修改的人員或者有多個選擇替代品,做到開源閉源后,依舊可以使用。
@lych370 系統(tǒng)運(yùn)維工程師:
凡事都具有兩面性,船可載舟亦可覆舟,開源軟件既是風(fēng)險也是挑戰(zhàn),面對當(dāng)前金融行業(yè)的降本增效大潮,擺脫國外軟件的依賴,伴隨著去IOE的大潮,開源軟件必然是一種趨勢和嘗試,如何去權(quán)衡風(fēng)險和收益顯得尤為重要,
針對文章中提到的觀點(diǎn)進(jìn)行補(bǔ)充,開源軟件最大的問題是不確定性和缺少售后支持,如果有強(qiáng)大的技術(shù)團(tuán)隊的話可以考慮二次開發(fā),利用開源軟件的優(yōu)勢開發(fā)符合自己的產(chǎn)品,同時通過開發(fā)掌握產(chǎn)品的風(fēng)險和問題,進(jìn)行優(yōu)化。另外既然不確定,那么初始階段金融企業(yè)完全可以選擇一些不是很重要的或者內(nèi)部使用的系統(tǒng)進(jìn)行嘗試,等用過一段時間穩(wěn)定后再考慮應(yīng)用在其他系統(tǒng)上,達(dá)到循序漸進(jìn)的效果。
我們每天總會面對新的技術(shù),無法總是逃避。
@myciciy 某金融科技公司:
《中國人民銀行辦公廳 中央網(wǎng)絡(luò)安全和信息化委員會辦公室秘書局 工業(yè)和信息化部辦公廳 中國銀行保險監(jiān)督管理委員會辦公廳 中國證券監(jiān)督管理委員會辦公廳關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見 》關(guān)于開源技術(shù)使用的內(nèi)容很全面且具體,很值得參考:
二、金融機(jī)構(gòu)在使用開源技術(shù)時應(yīng)遵循以下原則:
(一)堅持安全可控。金融機(jī)構(gòu)應(yīng)當(dāng)把保障信息系統(tǒng)安全作為使用開源技術(shù)的底線,認(rèn)真開展事前技術(shù)評估和安全評估,堵塞安全漏洞,切實(shí)保證技術(shù)可持續(xù)和供應(yīng)鏈安全,提升信息系統(tǒng)業(yè)務(wù)連續(xù)性水平。
(二)堅持合規(guī)使用。金融機(jī)構(gòu)應(yīng)當(dāng)遵循開源技術(shù)相關(guān)法律和許可要求,合規(guī)使用開源技術(shù),明確開源技術(shù)的使用范圍和使用的權(quán)利與義務(wù),保障開源技術(shù)作者或權(quán)利人的合法權(quán)益。
(三)堅持問題導(dǎo)向。鼓勵金融機(jī)構(gòu)有針對性地選擇和使用開源技術(shù),建立開源技術(shù)使用問題發(fā)現(xiàn)、反饋、解決等閉環(huán)機(jī)制,推動開源技術(shù)不斷迭代升級。
(四)堅持開放創(chuàng)新。鼓勵金融機(jī)構(gòu)重視開源技術(shù)應(yīng)用與發(fā)展,積極參與國際國內(nèi)開源技術(shù)社區(qū)建設(shè),汲取先進(jìn)技術(shù),貢獻(xiàn)中國智慧,培育適合金融場景的開源產(chǎn)業(yè)鏈,提升開源技術(shù)話語權(quán)。
三、金融機(jī)構(gòu)可以將開源技術(shù)應(yīng)用納入自身信息化發(fā)展規(guī)劃,明確開源技術(shù)應(yīng)用目標(biāo),制定開源技術(shù)應(yīng)用工作方案并組織實(shí)施。
四、鼓勵金融機(jī)構(gòu)加強(qiáng)對開源技術(shù)應(yīng)用的組織管理和統(tǒng)籌協(xié)調(diào),成立由科技、法務(wù)、采購等部門組成的開源技術(shù)應(yīng)用協(xié)調(diào)機(jī)制,負(fù)責(zé)開源技術(shù)評估、選擇、應(yīng)用等工作,協(xié)調(diào)解決應(yīng)用中遇到的困難和問題。
五、鼓勵金融機(jī)構(gòu)建立健全開源技術(shù)應(yīng)用管理制度體系,規(guī)范開源技術(shù)的引入審批、技術(shù)評估、合規(guī)使用、漏洞檢測、更新維護(hù)、應(yīng)急處置、停用退出等行為。
六、金融機(jī)構(gòu)可以根據(jù)金融業(yè)務(wù)場景,選擇適宜的技術(shù)路線,制定合理的開源技術(shù)應(yīng)用策略,包括獨(dú)立完成開源技術(shù)應(yīng)用及運(yùn)維、引入第三方機(jī)構(gòu)的開源技術(shù)支持服務(wù)、采購開源技術(shù)提供商的商業(yè)軟件版本及服務(wù)等。
七、金融機(jī)構(gòu)可以根據(jù)開源技術(shù)使用情況,建立開源技術(shù)應(yīng)用臺賬,及時掌握開源許可證變更、漏洞、閉源、停服等變化情況,實(shí)行常態(tài)化管理,規(guī)避風(fēng)險。
八、鼓勵金融機(jī)構(gòu)將開源技術(shù)應(yīng)用作為提高核心技術(shù)自主可控能力的重要手段,加強(qiáng)開源技術(shù)研究儲備,掌握開源技術(shù)核心,以應(yīng)用促提升,依托金融業(yè)豐富的業(yè)務(wù)場景促進(jìn)開源技術(shù)迭代升級。
九、推動金融機(jī)構(gòu)建立健全對開源技術(shù)基本功能、性能指標(biāo)、安全性、社區(qū)成熟度、商業(yè)支持度、行業(yè)認(rèn)可度等方面的評估體系,對開源技術(shù)引入、使用、更新、退出等環(huán)節(jié)開展定期評估,在提升自身評估能力的同時,可結(jié)合實(shí)際引入第三方評估服務(wù)。
十、支持金融機(jī)構(gòu)對開源技術(shù)版權(quán)、專利、商標(biāo)、聲明等進(jìn)行事前合規(guī)審查,通過審查開源許可證遵從性和兼容性、梳理開源技術(shù)間依賴性等,避免法律糾紛。可根據(jù)需要引入第三方合規(guī)審查服務(wù)。
十一、支持金融機(jī)構(gòu)制定應(yīng)急處置預(yù)案,應(yīng)對開源技術(shù)潛在漏洞、后門及閉源、停服等突發(fā)情況。通過規(guī)劃備選方案、限制使用場景、儲備核心技術(shù)人才等措施降低風(fēng)險。及時更新應(yīng)急處置預(yù)案,定期開展演練,保證應(yīng)急處置預(yù)案的有效性。
十二、支持金融機(jī)構(gòu)加強(qiáng)開源技術(shù)供應(yīng)鏈管理,保障開源技術(shù)產(chǎn)品和服務(wù)質(zhì)量,通過合同或協(xié)議條款,明確開源技術(shù)提供商義務(wù)和責(zé)任,并要求開源技術(shù)提供商對其提供的開源技術(shù)進(jìn)行技術(shù)評估、合規(guī)審查等。
十三、鼓勵金融機(jī)構(gòu)積極參與開源生態(tài)建設(shè),依法合規(guī)分享開源技術(shù)應(yīng)用經(jīng)驗(yàn),共享開源技術(shù)研究成果。通過主動開源、貢獻(xiàn)代碼解決行業(yè)共性問題,提升開源技術(shù)整體應(yīng)用水平。鼓勵金融機(jī)構(gòu)之間開展開源項目合作,實(shí)現(xiàn)優(yōu)勢互補(bǔ)、互利共贏、共同發(fā)展。
十四、鼓勵金融機(jī)構(gòu)與科技企業(yè)、高等院校、科研院所、中介服務(wù)等機(jī)構(gòu)加強(qiáng)交流合作,基于市場化原則開展開源技術(shù)聯(lián)合研發(fā)和運(yùn)營,加強(qiáng)開源技術(shù)人才培養(yǎng),推進(jìn)開源技術(shù)迭代升級,促進(jìn)開源技術(shù)成果轉(zhuǎn)化。
十五、支持金融機(jī)構(gòu)加入合法合規(guī)的開源社區(qū)、開源基金會等開源社會組織,參與開源技術(shù)規(guī)劃設(shè)計、研發(fā)決策、社區(qū)運(yùn)營等活動。開源社會組織發(fā)揮自律作用,研究出臺自律公約,規(guī)范開源技術(shù)參與機(jī)構(gòu)行為,保障開源技術(shù)貢獻(xiàn)者合法權(quán)益。發(fā)揮橋梁紐帶作用,建立穩(wěn)定、高效的交流分享機(jī)制,定期開展開源技術(shù)交流、產(chǎn)金對接、應(yīng)用推廣等活動。
十六、鼓勵開源技術(shù)提供商加快提升技術(shù)創(chuàng)新能力,切實(shí)掌握開源技術(shù)核心代碼,形成自主知識產(chǎn)權(quán),夯實(shí)產(chǎn)業(yè)支撐能力。在提供基于開源技術(shù)的商業(yè)軟件或服務(wù)時,遵循開源許可協(xié)議和相關(guān)法律法規(guī)要求,明確開源技術(shù)的使用范圍和使用的權(quán)利與義務(wù),保障用戶合法權(quán)益。探索自主開源生態(tài),重點(diǎn)在操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件領(lǐng)域和云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)領(lǐng)域加快生態(tài)建設(shè),利用開源模式加速推動信息技術(shù)創(chuàng)新發(fā)展。
