金融机构开源软件应用情况调查报告

金融机构开源软件应用情况调研报告（2020 年）The Research Report on the Application of Open Source Software in Financial Institution（2020）北京金融科技产业联盟2021 年 03 月《金融机构开源软件应用情况调研报告（2020）》编委会名单主编  潘润红执 行 主 编  涂晓军编委会成员（按姓氏拼音排序）       蔡仕志  韩  韬  胡达川  吕伊蒙       聂丽琴  杨欣捷编写组（按姓氏拼音排序）       郭  林  何东杰  胡达川  李  寻       李昕颖  刘  阳  龙  凯  彭  颖       王  硕  薛松源  岳松颂参 编 单 位  北京金融科技产业联盟       中国银联股份有限公司       中国工商银行股份有限公司       中国农业银行股份有限公司       上海浦东发展银行股份有限公司       网联清算有限公司       中国平安保险（集团）股份有限公司·1·目  录摘  要……………………………………………………1一、概  述………………………………………………7（一）调研目的  ……………………………………7（二）名词释义  ……………………………………7二、调研方法及样本……………………………………9（一）调研方法  ……………………………………9（二）样本数据来源  ………………………………9（三）调研问卷框架  …………………………… 10（四）样本属性及分布  ………………………… 10三、调研结果分析…………………………………… 12（一）总体应用情况  …………………………… 12（二）内部治理情况  …………………………… 15（三）开源能力情况  …………………………… 19金融机构开源软件应用情况调研្ॷ喍2020 年喎  ·2·（四）生态贡献情况  …………………………… 23（五）技术产品应用情况  ……………………… 25编后语………………………………………………… 29  摘  要·1·摘  要2020 年 8 月，习近平总书记在经济社会领域专家座谈会上指出，以科技创新催生新发展动能，实现高质量发展，必须实现依靠创新驱动的内涵型增长，大力提升自主创新能力，尽快突破关键核心技术。在中国人民银行科技司指导下，北京金融科技产业联盟就金融机构开源软件应用基本情况开展全国性调研工作。本次报告主要基于 143 家金融机构有效问卷分析所得。开源软件类型繁多数量庞大，金融机构应用的开源软件可多达上千种。调研数据显示，90% 被调研金融机构已广泛应用和试用开源软件，其中，5% 的机构已将开源软件作为主要软件来源，26% 的机构（股份制商业银行为主）已有一定规模应用。金融机构选用开源软件的首要原因是开源软件产品及方案选型丰富、有效避免技术垄断、采购成本低。但仍对开源软件缺乏服务支持、安全及稳定性低等问题有所顾虑。金融机构开源软件应用情况调研្ॷ喍2020 年喎  ·2·在内部治理方面，金融机构已开始关注应用开源软件的法律合规风险，超半数的机构对采购的第三方软件、服务制定了针对性的协议条款进行约束，并对使用中的开源软件许可证、漏洞等方面进行定期扫描。但是，7 成以上的金融机构仅通过采购外部法律服务和通过成立兼职法律团队应对合规风险；仅有 6% 的机构成立了专职法律法规团队应对开源合规风险。金融机构已建立“开源管理办公室”或类似专职管理团队的不足 2 成，且团队规模较小，普遍在 10 人以内。在开源能力方面，金融机构的开源软件研发维护团队规模明显不匹配开源软件的应用规模。近 5 成机构的团队规模在 1-50 人，100 人以上的仅占 4%。国有商业银行及民营银行更加重视团队建设与人员投入。调研中，金融机构普遍能够进行开源软件缺陷处置，仍有 7 成机构认为自身亟待补足解决技术故障及防控法律法规风险的能力。金融机构对开源软件源代码的把控方面缺乏信心，对应用中不满足需求的开源软件，70% 以上的机构选择替换其他开源软件或闭源商业软件。在生态贡献方面，金融机构普遍认可开源模式，  摘  要·3·但对开源生态贡献整体较低，9 成机构以使用为主，几乎没有对外开源计划，已对外开源项目的机构寥寥无几。人员缺乏、精力不足及内部战略或管理要求制约了对外开源。在技术产品应用情况方面，金融机构应用的开源技术产品主要集中在 Web 服务器（Nginx、Tomcat）、数 据 库（MySQL、Redis）、 中 间 件（Kafka）、 开 发 工具（Eclipse）、操作系统（CentOS、Redhat）、大数据（Hadoop、Spark）等方面。其中，Web 服务器、中间件、操作系统产品选型更为集中，数据库、大数据等产品选型则相对多样。金融机构应用开源技术产品的场景主要集中在外围前置类系统、信息管理及办公类系统，在核心业务类系统上也有一定应用。近 5 成机构的外围前置类系统应用开源技术产品，近 25% 的机构在信息管理及办公类系统中应用开源技术产品，核心业务类系统使用开源产品的比例较低，仅占 1 成。结合以上调研分析，本报告建议：一是充分认识开源价值，合理制定开源规划。全面推动开源科普，增强金融机构上下开源风险意识，提升开源工作金融机构开源软件应用情况调研្ॷ喍2020 年喎  ·4·认知度和参与度。国外科技公司通过提早规划、主动构建开源、引导事实标准，已形成由其主导开源框架的市场格局。国内金融机构和科技企业应尽快制定开源关键技术的中远期发展规划和顶层设计，在操作系统、数据库、中间件、云计算等基础软件方面主动布局，避免造成新的技术垄断被动局面，形成软件行业的“卡脖子”问题。二是强化机构开源治理，评估开源应用现状。金融领域联盟、协会应配合有关机构尽快制定开源工作衍生的管理、安全等方面相关办法和指导文件，建立统一安全管理机制，破除开源引入障碍，规范开源全生命周期管理，推动适合开源的组织架构调整，指导金融机构建立开源办公室，配备相应的开源法律合规团队。同时，金融机构要对自身应用开源的情况深入摸底排查风险点，真实掌握开源使用规模、复杂度，主动对已存在的安全漏洞、许可证合规风险进行防控处理。三是提升自身开源能力，加大人才队伍建设。金融机构亟待提高开源技术产品故障解决能力、法律法规风险防范能力等；加大开源理论研究、人才培养，  摘  要·5·标准制定等工作，切实提高人员、资金等投入力度；定期开展全面安全扫描。开源软件研发维护团队规模较小，专业人才队伍缺乏已成为制约机构开源工作开展的短板，金融机构在注重金融科技人员投入的同时，适量引进法律法规、质量管理、社区互动等方面人才。四是参与开源生态建设，加强开源社区互动。金融机构要走出以使用为主的单方模式，在贡献开源、主动开源、开源捐赠等方面要主动投入和布局，加强与联盟、协会、基金会等社会组织合作。金融领域联盟、协会可以积极发挥平台优势，推动开源社区互动，引导产业机构参与金融开源工作，编制开源标准，组织交流、研讨活动，建立开源服务平台等工作，出台约束性自律公约，指导金融机构合规应用开源技术、主动反馈社区。打造使用、贡献、服