证券行业开源治理白皮书

前 言 开源生态迅速发展，开源已经成为当前主流的协作模式。2021年3月，开源首次被列入国家“十四五”规划。同年11月，中国人民银行等五部委联合发布《关于规范金融业开源技术应用与发展的意见》，明确提出 “安全可控、合规使用、问题导向、开放创新”的开源使用原则。整体来看，我国对开源的重视程度已经提高到国家战略层面，开源指导政策正在逐步落地。 开源技术在金融业各领域已得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥积极作用。证券业是金融业的重要组成主体之一，与银行类金融机构相比，证券机构研发能力较弱，主要通过采购商业解决方案构建信息系统，其中可能包含大量开源软件，由此带来的开源风险与治理问题已引起业内广泛关注。 《证券行业开源治理白皮书》首先梳理我国开源整体发展趋势，进一步调研我国证券行业开源软件使用现状，分析证券机构使用开源软件的主要风险点，提出证券行业开源治理体系构建建议和开源治理方案，展望证券行业开源治理发展趋势，为规范证券机构合理应用开源技术，提高应用水平和可控能力提供重要参考。 本白皮书编写单位为：恒生电子股份有限公司、中国信息通信研究院云计算与大数据研究所、安信证券股份有限公司、东北证券股份有限公司、光大证券股份有限公司、广发证券股份有限公司、国信证券股份有限公司、华安证券股份有限公司、南京证券股份有限责任公司、西南证券股份有限责任公司、兴业证券股份有限公 mNwOmMsPtOsRxOpRrPoQmM8O9R6MsQoOtRnPjMoOnPeRmMuM6MoPoRvPpMzRMYoMzQ 司、浙商证券股份有限公司、招商证券股份有限公司、中银国际证券股份有限公司。 目 录 一、开源产业蓬勃发展，使用开源软件的机遇与风险并存 ................. 1 （一）开源指导政策逐渐落地 ..................................... 1 （二）开源生态快速发展壮大 ..................................... 2 （三）开源风险问题不容忽视 ..................................... 4 （四）开源治理模式初步建立 ..................................... 6 二、我国证券行业开源应用广泛，但风险防控能力相对薄弱 ............... 8 三、开源治理体系助力证券机构规避风险，保障开源软件合规使用 ........ 13 （一）建立企业开源治理规范 .................................... 13 （二）打造开源治理落地方案 .................................... 17 四、证券行业开源治理发展趋势 ..................................... 21 （一）开源指导政策：推动金融行业开源软件管理意识提升 .......... 21 （二）开源软件使用：从分散管理走向规范化、体系化管理 .......... 21 （三）开源治理体系：从头部机构试点走向行业机构落地 ............ 21 （四）开源治理模式：以“开源”治理“开源”的新模式萌芽 ........ 22 图 目 录 图1 Gitee近四年开源项目数量及增长率 ........................... 2 图2 Gitee近四年开源贡献者数量 ................................. 3 图3 Gitee近四年开源企业数量 ................................... 3 图4我国开源软件应用比例 ....................................... 4 图5证券行业开源软件引入途径 ................................... 8 图6证券行业开源治理体系建设情况 ............................... 9 图7证券行业开源治理平台建设现状 ............................... 9 图8证券行业开源知识产权治理现状 .............................. 10 图9证券行业开源运维情况 ...................................... 10 图10证券行业信息技术投入及占营业收入比重 ..................... 11 图11 2020年银行业信息技术资金投入及占比 ...................... 11 图12证券行业对开源供应商管理现状 ............................. 12 图13开源治理方案 ............................................. 18 1 一、开源产业蓬勃发展，使用开源软件的机遇与风险并存 （一）开源指导政策逐渐落地 我国政策不断加码，支持开源生态发展。我国政策层面高度关注开源发展，从国家层面鼓励产业加大开源投入。2021年3月，开源首次被列入“十四五”规划，“支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务”。开源已上升至国家战略层面，是政府未来工作的重点。 2021年10月，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》。文件重点提到金融机构在使用开源技术时应遵循“安全可控、合规使用、问题导向、开放创新”四大基本原则，一是鼓励金融机构将开源技术应用纳入自身信息化发展规划，建立健全开源技术应用管理制度体系等；二是鼓励金融机构积极参与开源生态建设，加强产学研交流合作力度，加入开源社会组织等；三是鼓励完善金融机构开源技术应用指导政策，探索建立开源技术公共服务平台，加强开源技术及应用标准化建设等。 2021年11月，工业和信息化部印发《“十四五”软件和信息技术服务业发展规划》，提出到2025年建设2-3个有国际影响力的开源社区。文件突出强调开源在驱动软件产业创新发展、赋能数字中国建设的重要作用，提出“繁荣国内开源生态”的重点任务，设置 2 “开源生态培育”专项行动，统筹推进建设高水平基金会。面向重点领域打造优秀开源项目，深化开源技术应用，夯实开源基础设施，普及开源文化，完善开源治理机制和治理规则，加强开源国际合作，推动形成众研众用众创的开源软件生态。 （二）开源生态快速发展壮大 我国开源项目数量爆发式增长。Gitee2020年度报告数据指出1，2020年Gitee平台开源代码库增长率达157%，开源项目数量达到1500万，是2013年至2018年Gitee平台开源项目的总和。开源项目分布数量前三的领域分别为程序开发（占比24.29%）、Web应用开发（占比17.75）与移动开发（占比10.15%）。 来源：Gitee，2020 图1 Gitee近四年开源项目数量及增长率 我国开源贡献者人数规模快速扩大。我国开源贡献者数量快速增长，在全球贡献者中的占比不断攀升。GitHub 2021年调研报告显示，中国在GitHub的贡献者数量增长迅速，贡献者人数达到755万 1 https://gitee.com/gitee-2020-report/ 30052058315000%50%100%150%200%020040060080010001200140016002017年2018年2019年2020年项目数（万） 3 人，仅次于美国。在过去一年，中国贡献者数量增长16%，增长速度为全球最快。2020年，Gitee平台上参与开源的贡献者数量增长了50%，达到了600万，其中38%是首次参与开源。 来源：Gitee，2020 图2 Gitee近四年开源贡献者数量 企业逐渐重视对外开源贡献。根据Open Source Contributor Index公布的2021年11月全球开源厂商GitHub开源贡献排名2，华为、腾讯、阿里分别位列11、14、16位，华为活跃开发者人数为1059，参与社区数为2703。根据Gitee2020年度报告显示，2020年Gitee企业用户达到18万，相较于2019年的10万家企业，增长率达到80%。 来源：Gitee，2020 图3 Gitee近四年开源企业数量 2 https://opensourceindex.io 2003004006000%10%20%30%40%50%60%01002003004005006007002017年2018年2019年2020年开源贡献者数（万）增长率2510180%50%100%150%200%051015202017年2018年2019年2020年企业数（万）增长率 4 我国企业开源软件应用比例逐年提升。近年来，我国企业对开源技术的接受程度越来越高，使用开源技术已成主流。根据中国信通院调查显示，2021年我国已经使用开源技术的企业占比为88.2%，暂未计划使用开源技术的企业占比仅为2.1%。 来源：中国信息通信研究院 图4我国开源软件应用比例 （三）开源风险问题不容忽视 企业在享受开源引入带来的成本降低、技术迭代速度加快等便利的同时，也面临着安全漏洞风险、数据泄露风险、知识产权风险和管理风险。 开源软件的漏洞和缺陷问题威胁系统安全运行。根据新思科技发布的《2021开源安全与风险分析报告》显示，84%的开源代码库至少含有一个漏洞，近三年漏洞比例逐年增高，60%的已审核代码库中包含高风险漏洞。所有经过审计的营销科技类公司的代码库都包含开源，其中95%的营销科技代码库存在开源漏洞。97％的金融服务/金融科技行业代码库包含开源代码，其中超过60％的代码库存在漏洞。 开源软件因其共享特性可能导致数据泄露风险。开源代码在拥有互操作性、无歧视性和透明性的同时，也存在着数据安全隐患。88.2%9.5%2.1%已经使用有计划使用暂时没有计划使用 5 开源软件很多配置信息会涉及到账号密码，如果不对代码所携带的信息进行检查、评估和加密处理，一旦开发者出现疏忽没能及时处理这些敏感数据，可能会造成大量的用户信息随着代码的共享而泄露。 开源软件知识产权风险问题相对专业和复杂。由于软件本身在受到知识产权保护时存在一定权利竞合而带来的专业性和复杂性。软件源代码可能同时存在多种权利类型：源代码可以作为计算机软件作品受到著作权保护，源代码实现的功能形成新的技术方案可以申请专利受到专利权保护，开源前如果源代码符合商业秘密保护要求可以受到反不正当竞争法保护。这就要求对开源软件知识产权问题进行多维度的综合分析。根据新思科技《2021开源安全与风险分析报告》统计，超过90％经审计的代码库中含有许可证冲突、自定义许可证或根本没有许可证的开源组件；2020年审计的代码库中，65%包含存在许可证冲突的开源组件，通常涉及“GNU通用公共许可证”；26%的代码库采用了没有许可证或定制许可证的开源代码。这三种问题可能导致侵权和其他法律风险，通常需要进行审慎评估。 企业对开源软件的管理能力有待加强。企业若想更有效率的使用开源软件，必须配备专业的软件管理与运维团队对开源软件进行需求响应和日常维护治理。大多数开源软件由于迭代频率快，且往往不存在专业的第三方技术支持，导致企业内部工作人员需要不断跟踪软件的版本迭代、规避潜在风险，进而大幅度