面对新技术,无法逃避,只有先行和后行,没有不执行。本文来自社区文章《论述金融机构使用开源软件的潜在风险》及对该文的评论交流,由社区同行分享,也欢迎大家参与探讨。
@朱向东 中原银行 高级工程师:
当今金融行业广泛采用了开源软件,以提高生产效率和降低成本。然而,在金融机构生产环境中使用开源软件也面临许多潜在的风险问题。这些问题包括安全风险、法律风险、操作风险、维护风险和依赖风险。
首先,由于开源软件的源代码是公开的,黑客可以轻易地找到其中的漏洞和安全漏洞,从而对系统进行攻击和入侵,导致安全风险。
其次,开源软件往往有许多不同的许可证,如果金融机构不了解这些许可证的细节,很可能会侵犯版权或者使用不当,从而面临法律诉讼的风险。
此外,开源软件的使用需要技术人员进行定制和配置,如果金融机构没有足够的技术能力和经验,很可能会出现配置不当、操作错误等风险,导致系统崩溃、数据丢失等问题,从而产生操作风险。同时,开源软件的维护需要技术人员进行,如果这些人员离职或者转岗,而新的技术人员没有足够的经验和能力来维护这些系统,金融机构就会面临无法维护的风险。
最后,开源软件往往有很多依赖关系,如果其中一个依赖关系出现问题,整个系统都会受到影响,导致依赖风险。因此,金融机构需要仔细考虑这些依赖关系,并采取相应的措施来降低依赖风险。
综上所述,金融机构在生产环境中使用开源软件,虽然能够降低成本和提高效率,但也存在潜在的风险问题。其中,安全风险是最为突出的问题,因为开源软件源代码公开,容易被黑客攻击和入侵。此外,开源软件许可证的多样性也可能导致金融机构侵犯版权或使用不当,面临法律风险。操作风险、维护风险、依赖风险也都是潜在的问题,需要金融机构采取相应的措施来降低这些风险的影响。因此,金融机构必须充分认识和评估开源软件在生产环境中的风险问题,建立完善的安全策略、培训技术人员、建立有效的维护机制等,才能更好地利用开源软件的优势。
@jason2006xu 昆仑银行:
金融机构使用开源软件的潜在风险主要包括以下几个方面:
1. 安全风险:开源软件的代码是公开的,这意味着黑客可以更容易地找到漏洞和安全漏洞。如果金融机构使用的开源软件存在安全漏洞,黑客可以利用这些漏洞来攻击金融机构的系统,导致数据泄露、资金损失等问题。
2. 法律风险:开源软件通常使用开源许可证,这些许可证可能会对金融机构的业务产生影响。例如,某些开源许可证可能要求金融机构公开其使用的软件的源代码,这可能会泄露机构的商业机密。
3. 维护风险:开源软件通常由社区维护,而不是由专业的软件开发公司维护。这意味着金融机构可能无法获得及时的技术支持和维护服务,这可能会导致软件出现问题或无法正常运行。
4. 兼容性风险:金融机构使用的开源软件可能与其现有的系统和软件不兼容,这可能会导致数据丢失、系统崩溃等问题。
综上所述,金融机构使用开源软件需要谨慎,需要对开源软件进行充分的安全评估和风险评估,以确保其安全性和稳定性。同时,金融机构需要遵守开源软件的许可证要求,以避免法律风险。
@jillme jollytech:
使用开源软件是未来一段长时间可见的必然的方向,只有先行和后行,没有不执行的。科技领域的冲突日益加剧,国产化的应用比例的提升,在没有办法全部软件国产化之前,开源是一项必经之路。
但是开源也有很多的问题,需要在应用中重视:开源版本的兼容性,新版本不再支持旧版本。开源中存在的系统漏洞需要人工发现和维护。此外使用开源软件也需要进行事先评估,将风险降低到最小。还有我理解的是开源软件使用,采用小步快跑的模式,先使用不重要的系统,再使用重要的系统。还有在使用开源软件的同时,也需要培养能够修改的人员或者有多个选择替代品,做到开源闭源后,依旧可以使用。
@lych370 系统运维工程师:
凡事都具有两面性,船可载舟亦可覆舟,开源软件既是风险也是挑战,面对当前金融行业的降本增效大潮,摆脱国外软件的依赖,伴随着去IOE的大潮,开源软件必然是一种趋势和尝试,如何去权衡风险和收益显得尤为重要,
针对文章中提到的观点进行补充,开源软件最大的问题是不确定性和缺少售后支持,如果有强大的技术团队的话可以考虑二次开发,利用开源软件的优势开发符合自己的产品,同时通过开发掌握产品的风险和问题,进行优化。另外既然不确定,那么初始阶段金融企业完全可以选择一些不是很重要的或者内部使用的系统进行尝试,等用过一段时间稳定后再考虑应用在其他系统上,达到循序渐进的效果。
我们每天总会面对新的技术,无法总是逃避。
@myciciy 某金融科技公司:
《中国人民银行办公厅 中央网络安全和信息化委员会办公室秘书局 工业和信息化部办公厅 中国银行保险监督管理委员会办公厅 中国证券监督管理委员会办公厅关于规范金融业开源技术应用与发展的意见 》关于开源技术使用的内容很全面且具体,很值得参考:
二、金融机构在使用开源技术时应遵循以下原则:
(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。
(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。
(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。
(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。
三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。
四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。
五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。
六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。
七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。
八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级。
九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。
十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。
十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。
十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。
十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。
十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。
十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。
十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。