undefinedundefinedundefined 當前，開源已經成為全球軟件技術和產業創新的主導模式，在證券行業也是如此。隨著我國開源指導政策逐漸落地，相關企業投入持續加碼，開源項目數量日益增長，貢獻者人數規模不斷擴大，開源技術在證券行業中的應用也越加廣泛，在推動證券行業業務創新和數字化轉型方面發揮著積極作用，并取得了一系列成果。

與此同時，開源風險問題也不容忽視。開源軟件治理儼然成為行業考慮的重中之重。今年的 OSCAR 開源產業大會特別設立了證券行業開源治理分論壇，邀請產學研用各界專家圍繞證券行業開源治理問題建言獻策。

在大會開始前，我們有幸邀請到了國泰君安證券股份有限公司信息技術部總經理黃韋與大家聊一聊開源技術在證券行業的應用問題與成功實踐，并從組織設立、標準制定、平臺建設、生態打造等多維度，詳細分享了國泰君安證券的開源治理思路與成效，希望為證券行業開展開源治理工作提供價值參考。

以下是訪談實錄，略有刪減。

Q1

開源軟件在金融行業有著廣泛的應用，能和我們分享一下目前國泰君安證券開源軟件應用情況嗎？

國泰君安證券始終堅持自主研發和創新，科技賦能業務，提前布局前沿技術領域，把牢“科技制高點”，同時積極擁抱開源技術和開源生態，通過引入開源技術建設系統平臺，幫助公司提高敏捷開發效率，滿足金融客戶需求，加快海量數據處理，促進公司數字化轉型。

目前，公司組建技術團隊，研究和使用研究開源組件涉及 3000 余種，涵蓋了數據庫、中間件、大數據、AI、云計算等多種領域，如 MongoDB、Kafka、RocketMQ、Redis、Spark、ElasticSerach 等。

Q2

國泰君安證券在業內率先提出“開放證券”理念，采用 OpenStack 開源事實標準技術路線構建的金融云平臺正是其中的一項重要實踐，請和我們具體分享一下。

對云計算平臺的選擇，安全性和可靠性對證券行業而言至關重要。OpenStack 穩定開放的技術架構、健全龐大的生態體系，以及積極分享、開源開放的社區模式，能高效支持國泰君安證券穩定安全地開展創新業務，為用戶提供高質量的金融服務。

從 2016 年開始，國泰君安證券私有云基于開源 OpenStack 技術路線，在開發測試、同城災備、異地容災等場景構建了 IaaS 云底座。OpenStack 技術棧在靈活性、軟件自定義方面有著極大優勢，可以根據業務需求進行定制和優化。通過該技術方案，公司私有云實現了計算、存儲的存算分離架構部署，提高了云資源的利用率。

同時，隨著國內芯片行業的發展，OpenStack 在兼容性、自主掌控層面表現突出，公司私有云在行業內率先實現了鯤鵬、海光、飛騰等芯片云資源的多地多中心統一管理，實現了“一云多芯”，為用戶在無感知的情況下提供 IaaS 服務的自助申請，加速了業務系統的敏捷交付速度。

Q3

國泰君安證券今年也參與了中國信通院組織的開源治理能力成熟度評估，請您和我們介紹一下此次參與評估的情況？

國泰君安證券一直致力于開源技術研究與使用，近幾年更是持續投入資源用于公司內部開源治理體系建設。作為證券期貨業首批參與測評的公司，國泰君安證從組織機制、管理制度、風險管理、軟件測評、開發測試管理、運維管理、持續跟蹤、退出管理、存量管理、第三方軟件管理等維度，全方面對開源軟件治理體系進行了建設。

國泰君安證券成立開源治理組織架構并建立相關標準，為行業內制定并落實開源治理制度辦法和標準流程提供了有效參考；建立開源軟件治理技術平臺，以云原生為基座，實現開源治理整個過程管控實現敏捷化、自動化和系統化，實現同業開源建設的敏捷交付、智能發布、彈性伸縮，提高開源運營效能，提升開發人員的工作效率，也減少了企業支出，讓軟件開源治理得簡單、可行、安全，為行業開源治理體系提供新的建設思路，促進行業開源軟件治理生態發展；建立健全的開源技術基本功能、性能指標、安全性、社區成熟度、商業支持度、行業認可度等方面評估模型，為行業打造可實施可量化的軟件評估體系提供參考。

此外，國泰君安證券打造了具有自主知識產權的開源軟件全生命周期治理平臺，避免受到外部的制約，為保障行業開源軟件質量進行了有益嘗試。

Q4

在此次評估之后，后續貴司在開源治理方面還會如何進行提升和優化？

國泰君安證券公司內部開源治理體系建設的理念和方向與中國信通院開源治理能力成熟度測評思路不謀而合。健全的開源治理體系不僅保障了公司內部引入使用開源軟件安全合規，規范了開源軟件生命周期治理和控制風險，確保了信息系統安全運行，同時能夠及時發現薄弱環節和安全隱患，避免供應鏈安全合規問題，有效防范信息安全事件發生，支撐業務發展。

后續國泰君安證券主要將從三個方面繼續深耕開源治理相關工作：一是完善內部開源治理。開源軟件治理是一個長期持續的過程，公司內需要集團公司組織架構、制度體系、技術平臺等多方共同支持與協調，完成公司內部的開源治理和開源生態的建設。同時打造公司集團內部開源軟件體系，實現自研軟件的共享共治。二是促進同業開源能力共建。國泰君安證券將積極與產學研專家一起合作打磨開源治理的相關標準和公共服務平臺建設，促進行業內軟件供應鏈安全發展。三是協同打造開源生態。國泰君安證券將持續深入探索和研究開源技術，加強與開源社區合作及生態共建，配合行業側、產業側各機構共同打造行業通用架構的開源生態圈。

Q5

結合國泰君安證券在開源軟件的應用實踐，您認為，證券期貨行業在開源治理方面遇到哪些挑戰？

行業遇到的挑戰主要包含軟件供應鏈、軟件管理、安全漏洞、技術運維、制度合規等 5 個方面。

在軟件供應鏈上，行業缺少全量開源數據，傳統軟件供應鏈安全無法對開源軟件來源進行分析判斷，無法對開源代碼中的來源風險、惡意代碼引入風險、后門風險、斷供風險進行統計；缺乏對突發的開源組件高風險等級安全漏洞的應急預案及處置措施；安全團隊訂閱的威脅情報信息繁雜，缺少專精開源組件的情報，導致信息差滯后；對中間件、數據庫、K8S、Docker 云環境等真實生產環境中的開源軟件風險進行檢查能力有待加強。

在軟件管理上，行業內缺少統一的軟件全生命周期管理平臺；開源組件歷史積累過多，部分組件難以治理；應用的開源軟件許可證多樣化；外采產品中的開源組件成份未知，風險不可控等痛點；左側安全缺少質量門禁，缺乏流程管控。

在安全漏洞上，行業內缺少有效漏洞、組件等公共信息通知渠道和共享機制；部分開源軟件出現重大安全漏洞，對業務的影響較大，緊急修復難；系統左右兩側安全通道尚未打通，無法快速定位到問題組件影響范圍。

在技術運維方面，部分開源軟件的社區不夠成熟、配套的文檔不完善；技術難點不能及時解決，運維投入成本大；開源產品供給與服務保障能力欠缺等。

在制度合規上，開源相關組織架構、標準及評估體系不夠健全；開源軟件安全與合規風險日漸凸顯，開源專項的安全與合規較弱；公司內部開源治理評估模型與方法不夠成熟；開源組件治理持續跟蹤體系需進一步落實等。

Q6

面對這些挑戰，請您和我們分享一下國泰君安證券目前開源治理體系的建設情況？

國泰君安證券以開源組織架構作支撐，以制度規范為指引，以技術平臺作抓手構建了整個公司的開源軟件治理體系，旨在打造以軟件供應鏈安全為基礎的自動閉環治理機制，其涵蓋了組織制度、治理平臺、閉環管控、檢測能力等維度。

一是建立配置公司級別的開源治理委員會、開源治理工作組、開源組件管理維護團隊、安全合規風控團隊等組織機構，促進開源治理工作積極有序的開展。

二是制定落實公司開源治理管理制度和標準流程，包括制定并發布公司級別的開源治理管理制度、開源軟件引入 / 退出流程、使用流程、定期評估流程、審批流程、制品進階流程，以滿足開源治理要求，規范開源軟件生命周期的治理，控制風險，保障信息系統的安全能運行。同時確立安全合規負責人持續跟蹤機制，避免發生供應鏈安全合規問題，為行業內制定并落實開源治理制度辦法和標準流程提供有效參考。

三是建設全棧信創開源軟件治理技術平臺。平臺提供開源軟件全生命周期治理能力，實現開源軟件引入、檢測、升級、退出等整個流程的自動化管理，確保介質來源可控，確保安全風險的及時識別和規避；平臺升華開源軟件檢測能力，整合多種產業側安全合規檢測工具，加強開源軟件成分分析、安全漏洞影響分析、安全漏洞修復、知識產權沖突檢測水平，從運行態和編譯態維度，對運維研發兩側進行探測，定期掃描，記錄軟件依賴關系，快速定位影響范圍，實現治理的閉環流程，提高治理效率；平臺提供軟件供應鏈分析能力，以軟件成分檢測、漏洞檢測、許可證檢測為基礎，對軟件漏洞、許可證風險進行追蹤，快速定位危險軟件；平臺建立集團統一制品庫，通過嚴格的進階流程，高質量的門禁控制，定期的漏洞掃描修復，實現對制品、公共組件的統一管控與應用；平臺建立內部公共信息庫，包括組件庫管理、漏洞庫管理、許可證庫管理等，同時對接行業開源信息門戶和公共漏洞庫，與行業數據進行共享共治。

四是構建開源軟件評估體系。從基本功能、性能指標、安全性、社區成熟度、商業支持度、行業認可度等方面建立開源軟件評估模型，同時對開源軟件技術引入、使用、更新、退出等環節開展定期評估，持續跟蹤，生成開源軟件綜合質量報告。

五是積極探索內部開源社區。研究制定公司內部開源社區章程規范，打造內部開源社區運營管理平臺，覆蓋項目的對內源發布、審批、申請、開源代碼定期掃描、開源許可證使用登記、運行維護、操作說明等功能，為公司內部開源項目全生命周期提供一站式管理，便于開源貢獻者版本迭代，同時也利于使用者應用實踐，使得公司項目實現共享共治。

Q7

請分享一下國泰君安證券與信通院此前已建立的合作有哪些？

國泰君安證券和中國信通院在課題、標準、活動等方面有諸多合作，包括：國泰君安證券參加中國信通院牽頭的證券期貨業標準研究課題《證券期貨業開源技術應用與風險管理指南》；國泰君安證券與中國信通院共同完成《證券期貨業開源風險管理能力成熟度模型》、《證券期貨業開源項目選型參考框架》、《證券期貨業開源技術管理平臺能力要求》、《證券期貨業商業軟件開源風險評價方法》等標準初稿的撰寫與研討；國泰君安證券參與了中國信通院組織的開源治理能力成熟度評估、首屆 IPV6 技術應用創新大賽、2021 云安全守衛者計劃、第四屆“綻放杯”5G 應用征集大賽智慧金融專題賽等。此外，國泰君安證券已加入中國信通院成立的數據庫應用創新實驗室，共同研究數據庫應用。

隨著證券行業數字化轉型的深入，開源技術的運用已成大勢所趨，我們在擁抱開源的同時，也需要關注引入風險，持續優化開源技術治理體系，以高效運用開源技術助力數字化轉型。在今年的 2023 OSCAR 開源產業大會證券行業開源治理分論壇，國泰君安證券將結合證券行業內公司開源治理的痛點，分享國泰君安證券在企業開源治理中組織制度和平臺化建設的探索與落地。

采訪的最后，黃韋老師也向廣大開源參與者發出邀請：開源治理，可信開源，歡迎業內各位同仁參加 2023 年 OSCAR 開源產業大會，共建開源生態，共治開源安全，共享開源盛宴。

9 月 21 日，我們不見不散。

本屆 OSCAR 開源產業大會將于 2023 年 9 月 21 日舉辦。誠邀各行業專家、產業精英共同探討企業開源合規治理之道，一同推動各行業的開源生態建設。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，早報網所有文章均包含本聲明。