文 / 证券期货业开源技术应用与风险管理指南研究课题组
开源作为数字时代的新型协作模式,为新一代信息技术的迭代升级和融合发展注入强大活力,有力促进了数字经济的创新、开放、共享和可持续发展。据中国信通院发布的《证券行业开源治理白皮书》统计,证券期货行业超过90%的企业使用开源技术,97%的金融服务及金融科技行业的代码库中包含开源代码。开源技术在证券行业已得到广泛应用,在推动关键技术发展和加速数字化转型等方面发挥重要作用。但证券机构使用开源技术仍然面临安全、供应链、合规等多方面的风险,对证券机构信息安全构成严峻挑战。
2021年10月,中国人民银行等五部门联合重磅发布了《关于规范金融业开源技术应用与发展的意见》,明确了“安全可控、合规使用、问题导向、开放创新”的开源使用原则,为证券机构开展开源治理工作指明了方向。2023年6月,中国证券业协会发布《证券公司网络和信息安全三年提升计划(2023-2025)》,提出“加强开源软件治理,防范安全风险”的任务要求。本文结合国家政策和行业规范要求,探索建立证券行业开源治理标准体系,总结证券机构开源治理实践经验,并在两者的基础上展望证券行业开源治理发展方向。
标准引领行业开源治理体系构建
开源软件在证券行业数字化转型中的关键作用催生出行业开源治理标准化需求。在此背景下,中国信息通信研究院作为牵头单位,联合华泰证券、国泰君安证券、西南证券、易方达基金四家机构,聚焦证券行业开源治理痛点,共同承担证标委2022年标准研究课题《证券期货业开源技术应用与风险管理指南研究》,形成了《证券期货业开源风险管理能力成熟度模型》(下文简称模型)等标准草案成果,从过程维度和能力维度出发构建证券机构开源软件治理能力的三级成熟度评价框架。
1.过程维度——覆盖开源软件全生命周期。模型过程维度从开源软件生命周期维度出发,明确了企业进行开源软件治理时应关注的过程环节。模型结合证券行业特点,将需纳入管理体系的开源软件分为三类:新引入开源软件、存量开源软件、第三方软件,针对不同软件来源提出定制化管理规范。
模型面向开源软件实际应用全过程,形成了开发、安全、运维、合规等多重主体共同参与的治理体系。在引入阶段,模型从测评选型入手,设置了项目活跃、行业认可、软件质量、软件安全和服务支持等多个考察维度,充分保证开源软件引入的合理性和安全性;在使用阶段,模型从技术应用配套机制、研发过程各阶段、软件运维管理支持和定期健康跟踪评估入手,提出了针对开源软件使用全过程的开源风险管理规范;在退出阶段,模型明确开源软件退出机制和退出流程,指导企业以制度为依托,有规划地实现开源软件退出操作。
2.能力维度——明确企业配套管理能力。模型的能力维度从企业管理能力维度出发,明确了企业进行开源软件治理时应具备的配套能力。在组织机制层面,要求企业建立开源治理组织架构,具备明确的开源软件管理职责分工;在管理制度方面,要求企业制定开源软件管理制度,对开源软件的引入、使用、更新、退出等全流程管理提出明确规定;在风险管理层面,要求企业明确开源软件风险管理机制,实现对风险的识别、处置、记录、沟通。
3.成熟度级别——引领企业治理水平提升。模型在充分综合7个过程环节和3个能力要素具体要求的基础上,将开源治理能力划分为三个成熟度级别:基础级(1级)、增强级(2级)、先进级(3级)。
基础级是指证券机构仅在实际工作过程中执行了开源软件治理的部分工作,尚未形成可重复执行的制度流程和配套管理机制,相关人员的职责分工尚不明确;增强级要求证券机构构建可重复执行的流程制度,具备明确的组织责任划分,能够实现有序的统筹管理并借助工具实现一定程度的自动化管理;先进级则需要证券机构实现自动化管理和平台化治理,能够持续评估本企业组织能力和管理过程的有效性,并持续提升改进。
实践探索行业开源治理路径方向
随着证券行业数字化转型的持续加速和信息安全受重视程度不断提高,部分证券机构在开源治理方面已开展先行实践,积累了宝贵的探索经验,总结起来包括以下几个方面。
1.组织架构保障开源治理有效推进。开源治理在实际落地过程中需要科学的组织架构提供坚强支持。诸多证券机构的实践证明,实现高效的开源治理需要多元主体的共同参与,要搭建覆盖开源软件全生命周期的治理体系,企业必须具备能够实现跨部门统筹与协调的牵头组织,以保障来自开发、安全、运维、法务等团队的参与者能够有序协作,在开源治理方面形成有效合力。
2.安全左移实现开源风险源头治理。安全左移作为DevSecOps的基本原则已对证券行业信息安全管理产生重要影响,在开源治理体系搭建的过程中也体现了这一理念。开源软件全生命周期治理要求从系统设计初期就将风险防控作为核心目标,强调搭建敏捷安全体系,采取预防性安全策略,通过建立引入审核机制,引入IDE安全插件、开展软件成分分析及制品安全检测等手段提前识别和消除潜在开源风险,做到开源风险的源头治理。
3.自动化工具提高开源治理效能。部分证券机构搭建企业开源治理平台,将SCA工具与代码版本管理系统、构建工具、持续集成系统、缺陷跟踪系统等无缝对接,实现了软件资产可视化、存量软件及时更新、开源威胁持续监控、开源风险快速响应、开源漏洞跟踪治理等功能,显著提升了企业开源治理效能。
思考与展望
随着开源生态的蓬勃发展以及优秀开源项目的持续涌现,开源软件的使用与管理已深刻融入软件研发应用全过程。尽管已有部分证券机构开展了一些开源治理工作,积累了实践经验,但证券行业整体的开源治理水平仍有待持续提升。对此笔者有如下建议。
1.完善行业开源治理标准体系。结合证券行业特点及开源技术应用现状,鼓励证券机构、科研单位、供应商等相关主体参与行业标准制定工作。进一步完善《证券期货业开源风险管理能力成熟度模型》等标准草案,探索构建覆盖企业开源管理能力、开源项目选型、开源治理平台建设等多维度的开源标准体系,为证券机构开展开源治理工作提供科学指引。
2.推进行业开源治理实践经验分享。通过标准研讨、案例征集等方式总结行业开源治理先进经验,支持先行企业开展开源治理知识经验分享活动,搭建行业级开源技术应用与知识共享平台,丰富证券机构之间的交流渠道,建立产学研用多方参与的交流合作机制,促进行业开源治理能力水平的整体提升。
3.推动行业开源应用生态繁荣发展。鼓励证券机构深入理解开源、应用开源,促进开源理念在证券行业的落地生根,以开源模式加速数字化转型。支持有能力的证券机构结合自身技术发展情况积极参与开源生态建设,迈出从开源使用到成果共享的坚实一步,通过贡献开源解决共性问题,推动行业关键技术发展突破。
课题组成员:中国信息通信研究院(郭雪、武倩聿、贾明川),华泰证券股份有限公司(江旺、庄飞、陈燕娇),国泰君安证券股份有限公司(俞枫、黄韦、刘传友、张忍),西南证券股份有限公司(华明、陈洪、朱逢华、蔡玉宝、陈炜、陈学),易方达基金管理有限公司(唐永鹏、李明、戴路、刘卓)
(此文刊发于《金融电子化》2024年4月下半月刊)