freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一文读懂《关于规范金融业开源技术应用与发展的意见》
2021-10-22 14:11:11

数字经济的浪潮下,开源技术已成为全球软件技术和产业创新的主导模式,是新一代信息技术发展的基础和动力,广泛应用于各行各业,在企业科技创新和数字化转型方面发挥着积极的作用。

金融行业就是其中的典型代表之一。开源技术的出现和应用,催生了金融行业的剧烈变革,单一式的银行系统正在转向模块化的开源生态,为金融科技的发展和创新注入了巨大的活力,也让金融行业具备更高的灵活性。

但不可否认的是,开源技术也给金融行业带来了安全可控、供应链安全等诸多挑战。越来越多的开源技术和开源软件的应用,打破了金融行业原有的体系,知识产权及合规风险、安全风险、运维和技术风险等不断上升。

为了解决这一矛盾,2021年10月20日,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)。

《意见》全文共计二十条内容。本文对《意见》解读一二,提炼核心信息,以便大家更好地理解。

注:《意见》中的开源技术,是指“金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。”

鼓励金融机构继续应用开源技术

开源技术给金融行业带来了巨大的变化,因此《意见》明确提出,金融行业不必因为害怕开源技术潜在的安全风险而不敢迈出临门的一脚,企业可以根据自身发展需要,继续应用开源技术。

根据《意见》第三条,“金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。”可以说,开源技术将被正式成为金融机构信息化发展不可或缺的一部分,金融机构为此需要制定相应的目标和预案。

还有第四条,“鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。

这意味着,在开源技术应用过程中所遇到的困难,应该由多个部分统筹协调处理,而不仅仅是开发者的任务。金融机构应组织多方的力量,更好地解决开源技术在应用过程中所遇到的困难。

而第六条则提出,“金融机构可以根据金融业务场景,选择适宜的技术路线,”而不必局限于以往单一式、封闭式的IT系统。为了满足自身业务的需要,金融机构还可以“引入第三方机构的支持,采购各类商业版开源软件等,”以此加强金融机构的科技能力,为用户提供更好、更便捷的金融服务。

第八条更是进一步提出,要将开源技术作为金融机构“提高核心自主可控能力的重要手段”,无疑是在大力鼓励金融机构广泛应用开源技术,同时还要“加强开源技术研究储备,掌握开源技术核心”,因此在开源技术方面,金融机构不仅不能停滞不前,还要加大技术和资金投入,不断强化自身在开源技术上的储备和应用,最终“依托金融业丰富的业务场景促进开源技术迭代升级。

建立更加完善的开源技术使用规范

值得注意的是,《意见》鼓励使用开源技术,不代表金融机构可以随心所欲的使用开源技术。相反,《意见》花费了大量的篇幅,来叙述企业应在“安全的前提下,使用开源技术”,为此,机构必须建立完善的开源技术使用规范,并严格执行这些规范。

这是《意见》中的重点内容,应引起金融机构的高度重视。

《意见》一开始就开宗明义:金融机构在使用开源技术时应遵循“坚持安全可控”、“坚持合规使用”、“坚持问题导向”、“坚持开放创新”四大原则,“把保障信息系统安全作为使用开源技术的底线。

换句话说,开源技术的使用必须建立在安全的前提下,这是必要条件。为了满足这一前提条件,金融机构必须加强以下方面的工作:

《意见》第五条提出,“鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。

这意味着,金融机构在使用开源技术之前,应先一步建立起开源技术管理制度,所有开源技术的应用都必须按照这一套流程进行,降低开源技术使用的结构性风险。

第七条进一步加强了这一观点:“金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。

针对开源技术普遍存在的专利风险,《意见》第十条提出,“支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。”尽可量通过前期的审核,将专利风险消灭在萌芽之中。

而针对开源技术风险应急响应,《意见》第十一条提出,“支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。

最后,针对当下日益严峻的供应链安全问题,《意见》第十二条提出,“支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。

大力创新、发展自己的开源生态

同时,在安全使用开源技术的基础上,《意见》提出了“大力创新、发展开源生态”的目标,促进金融机构开源技术的技术实力和储备,并最终促进我国数字经济提供支撑。

其中第十三天提出,“鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。

这里不仅仅提出金融机构自身要开展开源生态建设项目,同时还鼓励整个金融行业主动开源,以行业的力量解决行业开源生态建设的难题,加强彼此合作,自然优势互补,实现共同发展。

而第十四条提出,除了行业之间的交流外,金融机构还应和“科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。

其中需要注意的是,开源技术联合研发和运营需基于市场化原则,这也将给开源技术生态的发展注入新的活力。

《意见》第十五条提出“支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。”该法规进一步强化了金融机构在开源社区中的作用,积极参与开源技术的建设。同时,金融机构还要“发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。”

《意见》第十六条则是鼓励开源技术提供商,“加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。

同时,《意见》也为探索自主开源技术点明了方向,即“重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。

结语

人民银行联合五部门发布《意见》,对于开源技术在金融行业的应用和发展,有着重要的作用。

作为一个历史悠久且长期封闭的行业,近年来金融行业虽然已经开始应用开源技术,但究竟该要不要大用,该如何使用,以及未来该如何发展,一直未曾有过明确的说法,使得很多金融机构卡在了临门一脚上。

随着《意见》的出台,这些问题终于有了较为明确的答案。

《意见》鼓励金融机构在安全的底线下,大力应用开源技术,并鼓励他们以奉献的精神,打造一个良好的自主开源技术生态,为金融行业的发展提供下一代技术支撑。

下一步,人民银行、中央网信办、工业和信息化部、银保监会、证监会将继续协同联动,推进《意见》中的各项工作部署落实落地,切实提升金融业开源技术应用水平。

《关于规范金融业开源技术应用与发展的意见》原文链接:http://www.pbc.gov.cn/zhengwugongkai/4081330/4081344/4081395/4081686/4364505/index.html

# 网络安全 # 开源 # 金融科技
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录