近年来开源技术在金融业得到广泛应用，开源以其“协同创新”的特性，在推动金融机构科技创新和数字化转型方面发挥着积极作用，成为业务创新和敏捷研发的重要推动力，但开源技术的应用也面临着安全漏洞、许可证合规、核心技术可控力不足等风险。

为提升金融行业开源技术整体应用水平，人民银行办公厅联合多部委发布《关于规范金融业开源技术应用与发展的意见》，旨在引导金融机构开源技术向健康可持续发展，为我国金融业开源生态发展，特别是健全开源技术应用管理体系提供了依据。工商银行从2007年开始使用开源软件，为满足开源软件应用需求，结合多年开源技术应用经验，通过调研国内开源规范以及各金融机构落地情况，不断完善工行企业级治理工具链，沉淀并打造了“安全、合规、敏捷、生态”的开源应用及治理体系。工商银行经过多年自身的技术积累，并充分利用开源社区的双向供给机制，在人工智能、云计算、分布式、区块链等重点技术领域进行了开源产品的广泛应用，助力借记卡、快捷支付等场景的数字化创新。注重开源技术研究，并利用产学研机制与厂商、高校等开源供应商深度合作，积极参与开源生态。

开源技术应用更加成熟规范

全球各行业开源技术应用逐渐加深，开源软件已成为新一代重要软件基础设施。开源技术在金融机构也被广泛使用，为金融科技创新和发展注入了巨大的活力，并大大提高了技术方向的灵活性。

1.打造融合开源技术的信息化发展规划

工商银行高度重视开源技术应用，为提升开源技术使用的自主可控、合规安全水平，建设了完备的开源软件管理体系，依托“统一管理、分层授权、工具驱动、配套完善”的工作思路，全面提升了开源软件管理能力，支撑全行系统IT架构建设发展。

一是建立全行统一的组织机制。为统筹决策重大事项，从管理层面规划、推动和实施企业开源工作。工商银行建立了日常工作协调小组机制，组建开源技术团队、安全团队、法务团队等专业化团队，负责开源技术评估、应用、运维、培训等工作。

二是完善开源治理管理制度。为保障安全生产，满足监管要求，不断夯实合规安全能力，工行在开源技术领域制定了一系列软件管理实施细则，覆盖全行各机构管理要求，包括软件管理、研发管理、安全管理等各领域的制度要求，明确规划、引入、使用、安全、更新、退出的全生命周期的管理。在研发管理领域从规划、需求、设计、开发、测试、生产等项目管理流程进行管控。在安全管理领域建立了安全漏洞发现、治理的持续管控机制。

2.建立融合开源技术的科技研发流程

一是统一选型阶段评估标准。工行结合行业开源选型实践及我行实际需求构建了一套完整的开源技术评估体系，对开源软件的必要性、知识产权风险、安全风险等方面进行全方位评估。其中必要性评估包括产品功能、性能、兼容性、架构布局合理性、开源项目生态情况等评估；知识产权风险包括著作权侵权、专利侵权、商标侵权、商业秘密被迫公开等；安全风险包括安全漏洞、恶意代码等。

二是项目研发流程与流水线深度集成。利用业界成熟的DevOps实践，工行建设了可靠的软件交付管控流程，统一交付流程、安全管控、代码扫描，防止第三方漏洞进入生产环境。在项目构建过程中进行开源使用情况监控，形成各软件的版本、许可证、安全漏洞等信息仓库，支撑风险排查的快速定位，有效防范不合规软件包使用。

3.形成基于开源技术自主创新的一系列科研成果

工商银行自主研发构建的分布式技术体系基于Dubbo、Kafka等39项业界主流开源技术，通过深度定制及自主研发，实现了性能、功能、稳定性方面的全面提升，实现了全面自主可控，并获得了2019人行科技发展奖一等奖。我行在金融同业开创性的基于Docker、Kubernetes自主研发PaaS云，通过源码级定制同业首创“一云多芯”，目前同业私有云启动最早、规模最大，覆盖业务类型最为全面，并获得人民银行科技发展一等奖、2021年亚洲银行家国际奖项最佳云计算项目。

开源治理体系更加完备可信

工行积极洞察业界先进的开源治理理念及工具，构建了“安全、合规、敏捷、生态”的开源应用及治理体系。从工具平台、使用台账、安全管控等多方面实现对开源软件全生命周期的管控。不断的与行业标准进行对标，通过中国信通院“企业可信开源治理成熟度”评估，标志着工行已具备了较成熟的治理体系。

1.打造企业级软件治理平台

为加强引入管控，工行通过建设软件成分分析、安全扫描、项目测试的一体化引入平台，有效提升开源软件引入质量。与项目研发测试平台集成，触发开源软件非功能性验证，及时发现使用风险，保障项目稳定投产。建设软件安全管控平台，提升软件成分和漏洞检测能力，实现组件引入登记和漏洞修复的安全管理闭环，顺利通过中国信通院DevSecOps首批认证，并获得优秀案例和领军企业称号，为软件生命周期安全左移提供有效支撑。

2.实现开源软件全生命周期管理

开源台账是开源治理完整视图的重要组成，有助于企业掌握自身开源应用情况，是开源软件风险可追溯可管控的重要基础。依托专业工具持续监控开源软件使用，对企业内部已有的存量开源软件进行盘点统计，形成了全面准确的开源软件台账，支持风险信息订阅，可自动化触发风险处置，有效支撑开源软件全链路管控。

3.守牢安全合规底线

开源软件合规、安全、供应链等风险正在成为阻碍企业应用开源技术的最大阻力，通过建立开源软件风险管理机制，及时识别各类风险点并有效应对，保障开源软件使用安全、可控、合规。

一是应对许可证风险。工商银行通过建立开源法务团队，对开源技术使用中的违约风险和知识产权风险提供风险预警，包括开源许可证审查及合规咨询、合规培训，并持续关注各软件的开源许可证变化，规避法律风险，保障开源技术的合法使用。

二是应对安全漏洞风险。工商银行建立安全准入规则，严把准入关，有效防范源头安全。将安全漏洞纳入集中治理管控，定期开展制品库漏洞检查，收集业界主流漏洞站点的漏洞舆情，有效组织漏洞治理排查。

三是应对供应链安全。建立了较为完善的供应链安全管理制度规范，明确了供应链安全要求，并通过开发或引入相关安全管理检查工具强化供应链安全防范能力，提升供应链安全管理水平。建立了涉及供应链产品引入审核、测评和运行监控各个环节的技术检测和管控措施，通过应用不同的安全技术构造全方位的技术管控体系，充分保障供应链安全性。

开源领域生态更加开放共享

开源生态发展迅速，“十四五”规划首次把开源纳入顶层设计，国内建立了开放原子开源基金会，开源生态呈现产业化发展趋势。随着开源项目社区、开源基金会、代码协作平台等开源社区业态的不断发展，我行在开源社区产业链中也扮演着贡献者和使用者的双重角色。

1.助力金融生态发展

我行紧跟开源生态热点，在云计算、分布式等方向进行了有效尝试，利用我行丰富的实践经验反哺社区，选取我行有深度应用经验的软件产品探索对外开源，带动行业协作解决行业痛点问题，建立金融机构对外开源的新路径。

同时，工行的社区贡献也逐步获得行业认可，在由中国信息通信研究院、中国通信标准化协会联合主办的“2021 OSCAR开源产业大会”上，我行“云原生多集群管理Karmada项目”和“工银磐石-分布式服务”入选“开源项目及开源社区”和“开源技术创新”两项尖峰案例，对我行在云计算及微服务开源社区技术创新方面所做出贡献给予高度肯定。

工行作为头部企业深度参与云原生多集群管理项目Karmada社区的开发和管理工作，深度参与Apache基金会Dubbo项目社区贡献，参与Dubbo社区规划，引领社区发展方向。

2.促进开源标准建设

依托我行丰富的业务场景实践经验促进开源技术迭代升级，联合各金融机构、公司、科研院所等共同开展开源领域工作，形成行业合力、发挥行业力量。

牵头编制《金融技术产品开源项目管理指南》团体标准，为金融界对外开源提供参考指引，加入《金融行业开源软件评测规范》国家标准工作组，将金融行业经验提升为国家级标准。

3.加大开源人才储备

伴随着开源技术的使用及开源社区事务的广泛参与，我行沉淀了一系列开源软件技术经验，培养了一批开源技术人才，形成了生态滋养贡献者，贡献者反哺生态的正向循环。后续还将加大外部社区型人才培育力度，培养一批懂社区运营、了解社区生态的外部社区型人才，从输入与输出两个方向打通企业内部与外部社区的大循环生态。

结    语

工商银行后续将以《意见》为指引，遵循“安全可控、合规使用、问题导向、开放创新”基本原则，加强开源治理与协同创新，通过“安全、合规、敏捷、生态”的开源治理精神，推动开源标准化应用，提升科技创新和数字化转型能力。