天天快看点丨金融业广泛应用开源技术加快创新和数字化转型专家表示,新技术创新应用需注重风险防范
数字化浪潮迭起,数字经济蓬勃发展,金融与新技术的融合正在加深。随着新一轮科技革命和产业变革深入推进,以5G、量子计算、区块链、物联网、边缘计算为代表的新一代信息技术开始在金融领域推广并应用,快速提升了金融机构的数字化治理能力,其中包括开源技术工具应用。
(资料图片)
去年10月,中国人民银行等五部门联合印发的《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)指出,开源技术是金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。
一方面,开源技术为金融机构的业务创新与数字化转型提供了有力的底层技术支撑;另一方面,因源代码开放,开源技术具有非常强的开放性和共享性,其在使用过程中的安全性需要引起重视。
《意见》也强调,近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战;金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。
就金融机构而言,金融安全始终是金融创新发展的“生命线”,如何在确保金融安全的前提下,加强包括开源技术在内的各类信息技术的创新应用与发展,是全行业需要持续探索并稳妥实践的重要课题。
发挥开源技术价值
为了更为灵活地与合作伙伴解决共性问题,打破路径依赖,金融机构积极尝试合作企业技术,搭建数字技术服务平台,大量开源技术的应用已是大势所趋。
中国信息通信研究院云计算与大数据研究所所长何宝宏表示,行业性开源近几年发展非常快,原来科技行业的开源较多,如今,交通、能源、金融等行业开始组建起垂直行业的开源社区,“很多大型金融机构的开源数量至少有两三千个以上的项目。”何宝宏说。
受益于开源技术成本相对较低,技术迭代速度快、灵活度高等特点,实务中,开源技术以多种形式渗透到金融行业操作系统、中间件、数据库、存储、网络、云计算、人工智能等技术领域之中。有关报告显示,全球98%的金融机构正在使用由开源技术衍生的产品,包括使用含有开源组件或代码的商业软件、购买开源软件的商业发行版、直接使用社区版开源软件等。
谈及开源技术对金融机构数字化转型的价值,业内专家表示,金融机构业务规模庞大、系统逻辑复杂,开源软件相较于传统闭源软件,采用开放、敏捷、高效的协作开发模式,聚集大量优秀开发人员,保障了开源技术的快速迭代与优化,帮助金融机构构建敏捷高效的IT系统、提高生产效率。金融机构更有战略性、广泛地使用开源技术,可以在系统开发效率与成本方面占得先机。
复杂风险相伴相生
开源技术应用不可避免地会存在安全问题。在开源生态中,开源技术的高开放性、共享性伴随着高透明度,因此,金融机构应用开源技术同样也面临着诸多风险,包括安全漏洞风险、数据泄露风险、开发运维风险、知识产权风险、管理风险等。
据记者了解,在经过审计的代码库中,97%的金融服务和金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
业内人士坦言,开源软件一旦出现恶意代码引起的病毒、漏洞、后门等问题,将造成数据与信息泄露,直接对金融机构带来严重影响。
中国信通院云计算与大数据研究所与浦发银行联合发布的《金融行业开源生态深度研究报告》显示,金融机构目前主要从管理机制、风险管控、介质来源等方面开展开源治理工作,但超过四成金融机构只针对开源软件进行治理,只有两成金融机构开展开源软件、开源组件与开源工具的全量化管理。开源组件数量庞大,且变动频繁无法进行一对一管控,这就促使金融机构必须采取不同的策略来解决软件和组件的治理问题。
多举措筑牢安全“防护网”
开源技术提供商在上游对于技术漏洞的把控至关重要。某开源企业的技术研发人员告诉《金融时报》记者,开源系统的构建对环境的要求极其严苛,有的甚至需要在一个极其封闭的网络环境里,确保没有任何侵入。
此外,安全策略对于防范风险也是十分必要的。一方面,在开放和共享环境下,开源软件用户须制定严格的安全策略,在开源软件从前期开发到后期运营的过程中都能够提供安全解决方案。
在安全领域,上游的开源技术提供商也进行了相关实践。例如,全球开源软件企业SUSE和开源平台openEuler共同参与了国际安全社区联动,联动内容包括了对开源软件上游社区漏洞的感知,安全启动技术在国内的适配等。
专家表示,对金融机构来说,在使用开源软件时应特别注意将保障信息系统安全作为使用开源技术的底线;完善开源技术应用管理制度,对于开源技术的引入、评估、使用、更新、处置、停用等各个环节进行严格规范,确保金融机构对开源软件选型、使用、运维、退出等方面进行全生命周期管理。
《意见》第七条提出,金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。
