您当前的位置:首页 > 电脑百科 > 程序开发 > 开源程序 > 百科

金融机构使用开源软件,有哪些潜在风险?

时间:2023-08-14 16:03:01  来源:IT168企业级  作者:

面对新技术,无法逃避,只有先行和后行,没有不执行。本文来自社区文章《论述金融机构使用开源软件的潜在风险》及对该文的评论交流,由社区同行分享,也欢迎大家参与探讨。

@朱向东 中原银行 高级工程师:

当今金融行业广泛采用了开源软件,以提高生产效率和降低成本。然而,在金融机构生产环境中使用开源软件也面临许多潜在的风险问题。这些问题包括安全风险、法律风险、操作风险、维护风险和依赖风险。

首先,由于开源软件的源代码是公开的,黑客可以轻易地找到其中的漏洞和安全漏洞,从而对系统进行攻击和入侵,导致安全风险。

其次,开源软件往往有许多不同的许可证,如果金融机构不了解这些许可证的细节,很可能会侵犯版权或者使用不当,从而面临法律诉讼的风险。

此外,开源软件的使用需要技术人员进行定制和配置,如果金融机构没有足够的技术能力和经验,很可能会出现配置不当、操作错误等风险,导致系统崩溃、数据丢失等问题,从而产生操作风险。同时,开源软件的维护需要技术人员进行,如果这些人员离职或者转岗,而新的技术人员没有足够的经验和能力来维护这些系统,金融机构就会面临无法维护的风险。

最后,开源软件往往有很多依赖关系,如果其中一个依赖关系出现问题,整个系统都会受到影响,导致依赖风险。因此,金融机构需要仔细考虑这些依赖关系,并采取相应的措施来降低依赖风险。

综上所述,金融机构在生产环境中使用开源软件,虽然能够降低成本和提高效率,但也存在潜在的风险问题。其中,安全风险是最为突出的问题,因为开源软件源代码公开,容易被黑客攻击和入侵。此外,开源软件许可证的多样性也可能导致金融机构侵犯版权或使用不当,面临法律风险。操作风险、维护风险、依赖风险也都是潜在的问题,需要金融机构采取相应的措施来降低这些风险的影响。因此,金融机构必须充分认识和评估开源软件在生产环境中的风险问题,建立完善的安全策略、培训技术人员、建立有效的维护机制等,才能更好地利用开源软件的优势。

@jason2006xu 昆仑银行:

金融机构使用开源软件的潜在风险主要包括以下几个方面:

1. 安全风险:开源软件的代码是公开的,这意味着黑客可以更容易地找到漏洞和安全漏洞。如果金融机构使用的开源软件存在安全漏洞,黑客可以利用这些漏洞来攻击金融机构的系统,导致数据泄露、资金损失等问题。

2. 法律风险:开源软件通常使用开源许可证,这些许可证可能会对金融机构的业务产生影响。例如,某些开源许可证可能要求金融机构公开其使用的软件的源代码,这可能会泄露机构的商业机密。

3. 维护风险:开源软件通常由社区维护,而不是由专业的软件开发公司维护。这意味着金融机构可能无法获得及时的技术支持和维护服务,这可能会导致软件出现问题或无法正常运行。

4. 兼容性风险:金融机构使用的开源软件可能与其现有的系统和软件不兼容,这可能会导致数据丢失、系统崩溃等问题。

综上所述,金融机构使用开源软件需要谨慎,需要对开源软件进行充分的安全评估和风险评估,以确保其安全性和稳定性。同时,金融机构需要遵守开源软件的许可证要求,以避免法律风险。

@jillme jollytech:

使用开源软件是未来一段长时间可见的必然的方向,只有先行和后行,没有不执行的。科技领域的冲突日益加剧,国产化的应用比例的提升,在没有办法全部软件国产化之前,开源是一项必经之路。

但是开源也有很多的问题,需要在应用中重视:开源版本的兼容性,新版本不再支持旧版本。开源中存在的系统漏洞需要人工发现和维护。此外使用开源软件也需要进行事先评估,将风险降低到最小。还有我理解的是开源软件使用,采用小步快跑的模式,先使用不重要的系统,再使用重要的系统。还有在使用开源软件的同时,也需要培养能够修改的人员或者有多个选择替代品,做到开源闭源后,依旧可以使用。

@lych370 系统运维工程师:

凡事都具有两面性,船可载舟亦可覆舟,开源软件既是风险也是挑战,面对当前金融行业的降本增效大潮,摆脱国外软件的依赖,伴随着去IOE的大潮,开源软件必然是一种趋势和尝试,如何去权衡风险和收益显得尤为重要,

针对文章中提到的观点进行补充,开源软件最大的问题是不确定性和缺少售后支持,如果有强大的技术团队的话可以考虑二次开发,利用开源软件的优势开发符合自己的产品,同时通过开发掌握产品的风险和问题,进行优化。另外既然不确定,那么初始阶段金融企业完全可以选择一些不是很重要的或者内部使用的系统进行尝试,等用过一段时间稳定后再考虑应用在其他系统上,达到循序渐进的效果。

我们每天总会面对新的技术,无法总是逃避。

@myciciy 某金融科技公司:

《中国人民银行办公厅 中央网络安全和信息化委员会办公室秘书局 工业和信息化部办公厅 中国银行保险监督管理委员会办公厅 中国证券监督管理委员会办公厅关于规范金融业开源技术应用与发展的意见 》关于开源技术使用的内容很全面且具体,很值得参考:

二、金融机构在使用开源技术时应遵循以下原则:

(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。

(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。

(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。

(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。

三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。

四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。

五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。

六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。

七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。

八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级。

九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。

十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。

十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。

十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。

十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。

十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。

十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。

十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。



Tags:开源软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
金融机构使用开源软件,有哪些潜在风险?
面对新技术,无法逃避,只有先行和后行,没有不执行。本文来自社区文章《论述金融机构使用开源软件的潜在风险》及对该文的评论交流,由社区同行分享,也欢迎大家参与探讨。@朱向东 中...【详细内容】
2023-08-14  Search: 开源软件  点击:(279)  评论:(0)  加入收藏
关于开源软件的 7 个误解
不要通过软件许可证来判断程序当谈到自由开源软件(FOSS)时,许多人发现自己陷入了误解和误解的海洋中。这是不幸的,因为自由和开源软件是软件生态系统的关键组成部分,并提供巨大的...【详细内容】
2023-07-22  Search: 开源软件  点击:(204)  评论:(0)  加入收藏
Linux恶意软件兴起:保护开源软件(OSS)的9个技巧
“Linux是市场上最安全的操作系统”;多年来,这一直是开源平台的最佳卖点之一。然而,与任何有关技术的事物一样,被犯罪分子瞄准只是时间问题。每个操作系统、软件和服务都是如此...【详细内容】
2022-09-23  Search: 开源软件  点击:(394)  评论:(0)  加入收藏
ATW组织高调攻击!由境外黑客组织攻击引发的开源软件安全思考
前言开源软件在助力企业数字化转型的过程中起到了至关重要的作用,然而开源软件的广泛应用却由于安全意识的不足和缺失大大增加了风险暴露面,使用默认配置、允许未授权访问、权...【详细内容】
2022-04-06  Search: 开源软件  点击:(443)  评论:(0)  加入收藏
2021年年度最佳开源软件
Svelte https://svelte.dev/Svelte 是一种全新的构建用户界面的方法。传统框架如 React 和 Vue 在浏览器中需要做大量的工作,而 Svelte 将这些工作放到构建应用程序的编译阶...【详细内容】
2021-11-09  Search: 开源软件  点击:(719)  评论:(0)  加入收藏
TVMosaic社区服务器,由DVBLogic发布的开源软件
最近,DVBLogic发布了一款跨平台开源软件叫做TVMosaic 社区服务器,而这个“TVMosaic”背后也有一些挺复杂的故事。 TVMosaic的前身是 DVBLink, DVBLink 是一个可将电脑或NAS变成PVR的软件,PVR即Personal Video Recorder 个...【详细内容】
2021-10-09  Search: 开源软件  点击:(493)  评论:(0)  加入收藏
最受IT公司欢迎的30款开源软件
所谓开源,就是把软件的源代码开放出来,大家都能看到源代码,大家可以一起研究源代码并对软件的进行优化和改进。越来越多的IT公司对开源持开放态度,一方面有了优秀的开源项目,就不...【详细内容】
2020-06-13  Search: 开源软件  点击:(404)  评论:(0)  加入收藏
在 Linux 上使用开源软件创建 SDN
使用开源路由协议栈 Quagga,使你的 Linux 系统成为一台路由器。 来源:https://linux.cn/article-12199-1.html 作者:M Umer 译者:messon007网络路由协议分为两大类:内部网关协议...【详细内容】
2020-05-09  Search: 开源软件  点击:(293)  评论:(0)  加入收藏
开源软件明明是免费的,华为、思科们到底在怕什么?
在全世界搞IT的程序员中间广泛流传着一句谚语:“开源使用一时爽,版本发布火葬场。”不明就里的吃瓜群众们可能会问,开源软件到底有什么毒,让程序员们连秃顶都不怕,却唯独对它心...【详细内容】
2020-03-26  Search: 开源软件  点击:(539)  评论:(0)  加入收藏
伟大创业想法,只差一人编程?全网最全的开源软件了解一下
一、大数据1. Hadoop Apache 主持的这个项目是最广为人知的大数据工具。众多公司为 Hadoop 提供相关产品或商业支持,包括亚马逊网络服务、Cloudera、Hortonworks、IBM、Pivot...【详细内容】
2020-03-14  Search: 开源软件  点击:(369)  评论:(0)  加入收藏
▌简易百科推荐
GitHub顶流"Web OS"——运行于浏览器的桌面操作系统、用户超100万、原生jQuery和JS编写
Puter 是近日在 GitHub 上最受欢迎的一款开源项目,正式开源还没到一周 ——star 数就已接近 7k。作者表示这个项目已开发 3 年,并获得了超过 100 万用户。根据介绍,P...【详细内容】
2024-03-10  OSC开源社区    Tags:GitHub   点击:(17)  评论:(0)  加入收藏
一文读懂 AutoGPT 开源 AI Agents
Hello folks,我是 Luga,今天我们继续来聊一下人工智能(AI)生态领域相关的技术 - AutoGPT AI Agents ,本文将聚焦在针对不同类型的 AutoGPT 技术进行解析,使得大家能够了解不同 A...【详细内容】
2023-11-27  架构驿站  微信公众号  Tags:AI Agents   点击:(252)  评论:(0)  加入收藏
了解一下开源许可协议
开源许可协议开源许可协议是指允许软件源代码公开、免费获取、使用、修改和分发的许可协议。开源许可协议的目的是促进软件的自由共享和协作,使得开发者可以共同改进和创造新...【详细内容】
2023-11-18  沐雨花飞蝶  微信公众号  Tags:开源   点击:(216)  评论:(0)  加入收藏
七个很实用的开源项目,我们一起学学吧!
本周特推的两个项目都是异常实用的项目,一个接棒上周的视频重制项目 video-retalking 这次则是直接将视频替换成另外一个语种;另外一个则是解决日志阅读问题的 tailspin,让你在...【详细内容】
2023-11-06  HelloGitHub  微信公众号  Tags:开源   点击:(384)  评论:(0)  加入收藏
八个适合程序员接私活赚钱的开源项目
智慧团购一套基于Spring Cloud和Vue.js的社区团购配送系统,经过真实的用户检验且完善的社区团购配送系统,社区团购配送系统包含管理台、集团总店(商家PC端)、城市合伙人、区域...【详细内容】
2023-10-13  前端充电宝  微信公众号  Tags:开源项目   点击:(272)  评论:(0)  加入收藏
八个优秀开源DevOps工具
DevOps(Development和Operations)是一组软件工程过程最佳实践,并非工具,旨在将制造世界的精益概念应用于软件世界。维基百科给出的定义是:“DevOps是一种重视软件开发人员(Dev)和IT...【详细内容】
2023-10-10  andflow  微信公众号  Tags:DevOps   点击:(291)  评论:(0)  加入收藏
开源存在风险的根本原因
漏洞仍然是可以预防的几乎所有(96%)的漏洞仍然是可以避免的。2023年本可以避免21亿次具有已知漏洞的OSS下载,因为有了更好的修复版本——与2022年的百分比完全相同...【详细内容】
2023-10-09     企业网D1Net  Tags:开源   点击:(299)  评论:(0)  加入收藏
中国14岁初中生,开源Windows 12网页版,star数近2k
出品 | OSC开源社区(ID:oschina2013)前几天在网上冲浪,发现名为「Windows 12 网页版」的开源项目——在网页端实现了Windows 12 的交互和 UI。项目亮点: 精美的 UI 设...【详细内容】
2023-09-07    OSC开源社区  Tags:开源   点击:(249)  评论:(0)  加入收藏
苹果开源FastViT:快速卷积Transformer的混合视觉架构
苹果此前在论文《FastViT: A Fast Hybrid Vision Transformer using Structural Reparameterization》中提出的 FastViT 架构已正式开源。论文地址:https://arxiv.org/pdf/23...【详细内容】
2023-08-16  OSC开源社区    Tags:FastViT   点击:(318)  评论:(0)  加入收藏
金融机构使用开源软件,有哪些潜在风险?
面对新技术,无法逃避,只有先行和后行,没有不执行。本文来自社区文章《论述金融机构使用开源软件的潜在风险》及对该文的评论交流,由社区同行分享,也欢迎大家参与探讨。@朱向东 中...【详细内容】
2023-08-14    IT168企业级  Tags:开源软件   点击:(279)  评论:(0)  加入收藏
站内最新
站内热门
站内头条