“中国金融业开源技术应用与发展论坛”圆桌对话

2021年10月，中国人民银行等联合发布了《关于规范金融业开源技术应用与发展的意见》，为金融业合理应用开源技术，提高应用水平和自主可控能力，促进开源技术健康可持续发展指明方向。近年来，开源技术在金融业各领域得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥着积极作用，但也面临安全可控等诸多挑战，在近期举办的“中国金融业开源技术应用于发展论坛”圆桌对话上，来自中国工商银行、中信银行、浦发银行、微众银行、网商银行的专家，就金融业拥抱开源的必要性、应用及发展现状、治理策略及未来展望等内容进行了深入交流与探讨，为金融机构积极拥抱开源、建设更好的金融开源生态建言献策。

主持人

北京国家金融科技认证中心实验中心负责人 李博文

对话嘉宾

中国工商银行软件开发中心架构二部总经理 朱道彬

中信银行软件开发中心总工办副处长 孙炎森

浦发银行创新研究中心技术主管 杨欣捷

微众银行开源管理办公室主任 钟燕清

网商银行技术架构师 于永恒

金融业拥抱开源的初心是什么？从实践来看，开源技术对金融数字化转型有何影响？

工商银行近年来积极拥抱开源，已引入了数万个开源产品和组件，开源技术已经渗透到工商银行各层技术栈和应用系统中。当前，各商业银行都在开展数字化转型工作，在系统架构转型方面共同面临着两项重点和难点工作：核心系统重构和金融创新工作。这两项重大转型工程，涉及基础硬件设施、容器云、技术平台、数据库、中间件等全技术栈的支撑建设，难度极高、挑战极大。商业银行作为需求方，看到产业侧也在争分夺秒地和我们同步建设，很多领域的闭源产品的产品成熟度尚无法满足银行侧的需求，此时拥抱开源可能是银行唯一的选择。例如工商银行自主研发为主的分布式技术平台“磐石”，在引入dubbo、redis、kafka等众多优质开源项目的基础上二次开发，构建出包括注册中心、日志中心、分布式消息、分布式批量、开发框架等在内的完整的分布式技术平台，以支撑应用系统的架构转型工作。所以开源是数字化转型不可或缺的重要技术手段。

数字化转型是由大数据、云计算、5G、AI等新技术触发的企业内部的变革。这种变革会推动企业来重新定义自身的业务模式、业务流程、运营模式以及客户体验。而数字化转型背景下的金融业，一直致力于为客户提供全方位无处不在的金融服务，实现这一目标，技术的支撑必不可少，而转型过程中使用的很多的技术都来源于对开源技术的孵化。总的看来，使用开源的重要性和必要性，业界已达成共识。

为更好地支撑整个银行的数字化转型，持续提升对外面客服务能力及内部的精细化管理水平，中信积极拥抱开源，采用中台化的理念推进架构转型。中信银行在云原生背景下，依托开源技术形成了一套完整的金融级技术中台体系，覆盖了中间件、开发平台框架、关键组件，以及基础技术服务。比如：基于Reactor Netty 的自研金融级RPC组件、基于Seata打造的金融级分布式事务服务、基于Spring Batch研发的高性能批处理框架等等。

为促进国内开源生态的健康和发展，除了开源软件使用的视角，中信银行也在对外开源的视角进行积极的探索。2021年9月，中信银行在人民银行科技司的指导下，联合北京金融科技产业联盟，依托银联OFTP平台开源了生僻字开源项目，目前已经有多家机构成为了这个平台的用户，并且有多家机构依托于生僻字开源项目和中信的专家支持，积极探索生僻字项目在本机构落地，充分体现了对外开源的重要价值和示范作用。同时，生僻字开源项目的推出也伴随着《金融服务 生僻字处理指南》《银行营业网点生僻字客户服务指南》等一系列行业标准的形成和推广，开源项目与行业标准形成了相互促进的发展合力。

浦发银行于2016年全面把容器技术运用到支付系统，于2017年全面拥抱Hadoop技术栈，将其应用在大数据平台。所以浦发银行拥抱开源的初心，应该是：不得不。我们要做数字化转型，一定是拥抱开源，这不是一个选择而是一个必然的结果。

开源软件本身的特质优于传统的商业软件。一是开放和可修改，开源提供了一个更好满足业务场景的可能性；二是快速分发和快速获取，相比用传统的方法做一个项目，需要经过漫长的选型过程，往往按月来计算，而使用开源软件，能大大地缩短时间周期，从而能快速地服务业务；三是开源社区的融入，提升了整个银行的科技感，甚至成为获取人才的有效途径。

过去30年新技术的发展，几乎全都是以开源软件作为技术创新的核心底座去推动的。微众银行成立于2014年，本身定位是互联网银行，需要为互联网的长尾用户提供服务，就必须要依靠大规模、高并发的分布式系统，这些系统全部需要自主可控且需要成本很低，因此充分利用开源技术是我们唯一的选择，拥抱开源也就成为了一个必然的选择。

借鉴过去20多年里互联网和一些高科技企业在拥抱开源后取得的巨大成功，所以从立行之初我们就已经非常确定要全面的拥抱开源，全面的应用开源技术，并且基于各种开源技术构建了分布式的自主可控的核心系统，所以我们在成立之时就已基本拥有类互联网的技术文化。当时我们更多是以应用为主，后来随着技术时代的不断进步与创新以及我们自身的积累沉淀，基于整个开源的社会效应，我们也逐步开始打造开源的生态建设。

网商银行建立之初就使用了云架构，作为一家云上的互联网银行，从云基础设施到上层业务应用涉及非常多的软件产品和组件，其中也使用了大量的开源组件，根据统计开源组件规模有数千，如何控制好这些开源软件的风险是我们要考虑的一个重要课题，因此需要搭建一整套开源工具平台体系，以帮助我们进行开源软件的风险治理。其次，我们在深入推进架构升级的进程中，将开源和技术演进相结合，对开源进行了一系列行业调研，探索哪些产品可以帮助我们推进架构升级工作。再次，我们会对接开源社区，利用行业里先进的开源实践和解决方案，帮我们解决内部的一些业务和技术问题。

过去，作为安全性要求极高的金融业与开源开放的理念很难调和，而如今在金融业全面拥抱开源的时候，开源治理工作会遇到哪些难点痛点？有什么经验为大家分享呢？

首先感谢主办方，今天各位嘉宾的主题演讲覆盖了开源软件的方方面面，已经非常全面。我再补充2个今日会议未专题分享的两个点，也是我行在开源治理过程中确实遇到的难点。

一是开源介质的管理问题。开源介质的下载及日常管理是一项落地执行难度非常大的工作。例如以Java语言技术栈为主的银行，从互联网外部软件库下载开源软件时到行内版本库，无法避免地会陷入到不同开源软件之间复杂的继承包含关系。下载大量开源组件的同时，不同的开源项目里可能引用了不同相同的组件。一个引用了多个开源项目的应用系统里内部，会产生大量组件版本冲突的问题。消除不同开源项目里包含组件的版本冲突，以及确保所有的开源介质都已经完成了引入登记，是我们日常工作中的一个难点问题。

二是开源许可证变更的合规管理。开源许可证的合规检查，并不是引入开源项目时一次性工作。我们发现有些开源产品在版本升级的同时，也对开源协议也进行变更。例如从原有的宽松协议变更为具有强传染性的AGPL协议，可能导致银行侧使用开源产品从合规变成不合规，防范难度大、改造成本高。要求我们日常要加大力度开源软件的生命周期、版本变化，日常运营阶段提高工具扫描和检查整改的频度。我行为了规避此类风险，日常会特别注意扫描应用版本库和开源软件登记台帐，确实也增加了大量管理成本。

随着开源的技术应用越来越多，中信银行形成了一套覆盖事前事中事后的管控机制。我们会将一些可掌控的关键核心组件纳入进管控基线中，形成主推，在设计阶段强制使用，从而减少同类组件的多头引用。

目前，中信银行保存的开源软件引用信息超过30万条，日常工作中主要挑战就是安全漏洞的整改，这也是行业里的一个痛点问题。这里为大家分享我们日常管理过程中一些比较具体的举措：一是要管好入口，形成统一的可信源，让所有的开源组件基于一个统一的制品库去引用；二是开源组件的管理要纳入到自身管控体系中，把它作为一个常态化技术架构的管控元素去看待；三是漏洞未必是风险，需要结合安全的分级策略，对漏洞进行分级，来让我们更好地去判断如何整改；四是考虑成本和收益的平衡，优先整改渠道系统和重要系统。五是关注差异化处理，高危的漏洞优先整改。

此外，使用开源有一个很大的考量因素：是否能够掌控？关键的组件一定要进行源代码级的掌控。要做好事情，人是根本，文化是永恒。能够更好地掌控开源，需要打造一支崇尚技术的团队持续深耕，并形成精益求精、追求卓越内生文化氛围。目前，中信银行在高端技术人才的引入和培养方面，特别关注底层源代码方面的技术能力，同时结合技术中台的建设和推广，逐步形成了崇尚技术的团队及文化，让我们有信心解决任何开源使用中的问题。

关于对外开源。在生僻字项目开源之后，我们一直在思考：银行业在哪些方面适合对外开源？目前结合我们自己的实践分析：一是可以解决同业难点或者痛点的原子类的能力，可以考虑开源；二是一些比较大的能力软件，确实需要大家共同共建才能充分发挥价值，也可以考虑开源。

金融业是一个大的家庭，让我们一起建设开源生态，共创共赢，为客户提供更好的金融服务。

浦发也是比较早开始做开源治理的，遇到的一些问题，一是文化的问题。开源文化需要从上至下都认同，从上至下包括高层、中层和基层。基层一般问题都不大，基层是开发人员，他们肯定是最初接触开源，最容易理解开源的，也是开源的直接受益者。高层，我们行里的领导还是比较重视科技，很早就比较支持我们去做开源的事情。但是容易忽视的实际是中层，因为银行的各种规章制度，无论是安全还是知识产权，甚至是一些网络访问权，都是中层制定的，银行传统的一些规章制度和整个开源文化存在一些不兼容，导致在参与开源过程中遇到了比较大的问题。

二是落实制度的问题。制定一个制度不难，但制定一个制度还不被别人排斥是比较难的。尤其是对于基层开发者来说，任何影响他们开发效率的制度都是被他们所厌恶的，一旦被基层所厌恶，这个制度就一定不能很好地执行。浦发银行很早就意识到这一点，因此我们的制度不仅仅是一个文本的形式，而是把它嵌入到整个DevOps的流程里面，以及自己自研的开源治理平台上，尽可能地让制度在执行的过程中对开发者是无感的。

三是技术架构收敛的问题。银行业相比于其他行业更注重技术架构收敛。银行的运维是集中运维，所以收敛就意味着对技术的把控力，但开源又是放开给大家选择的一个过程，这实际上需要找到一个平衡点。浦发银行的解决方案就是我们自研了一套开源项目的活跃度算法。基于这个算法尽可能更好地甄别出有社区潜力、能够在市场持续发展的开源项目，帮助我们进一步的收敛架构。

关于金融行业和开源的关系当前我觉得一直还是存在不少挑战。开源本身具有开放、共享、协同等特征，但是金融行业天生具备一定的安全性、保护性，而且业务持续性是最高优先级的，所以两者如何平衡？同时，开源都是体现在社区里，它其实是通过我们所有参与的开发者和其他的社区人员的互动以及大家的贡献，一个社区才能够存活下来。我个人觉得对于整个行业来说，我们共同面临的一个问题是：怎样保证在我们自身内部可控的前提下，同时能有开放性和灵活性，和社区产生良性的互动？

从应用开源的角度来看，金融行业是天生能做好开源治理的，比如开源供应链的治理能力在整个业界来说应该是比较领先也可以做得比较好的。因为我们天生就具备从制度体系到整个方案落地以及我们技术体系的支撑能力等等。

另外我想补充的一点是要时刻保持和社区的链接。因为开源不仅是引入进来，而且要应用得好，这就需要我们具有开源本身的精神：回馈和共享。我们发现一个很有趣的现象，微众银行自2014年坚定支持全部使用开源以来，看起来我们整个技术成本投入很高，但是最终核算其实给我们节约了大量的技术成本，因为，通过大量的开源技术引用和创新我们促进了业务的快速发展，最终分摊到单户上的IT成本大概只有业界平均的10%左右。而这种技术成本的节约让我们也深刻体会到开源本身真正的商业价值，所以我们积极拥抱社区，把我们好的东西也开放出去，希望我们具有金融属性的一些项目可以给大家造福，可以让大家减少重复“造轮子”的情况，让大家可以更低成本做创新。

近几年，我们不仅与金融行业的社区联动，还利用原生技术，为科技公司和互联网公司增加一些金融行业的技术属性。让他们能够更好地从根本为金融行业提供服务。所以从治理的角度，我们一方面需要关注银行内部的供应链安全，另一方面要关注我们和社区的联动。开源就像是星星之火，不可能是某个企业能成就的，一定是整个个社区里有非常多的角色，不论是使用者，还是贡献者，或者是所谓的PMC核心成员，大家一起贡献把生态做得越来越大，越来越好，并且每种角色在其中都能受益。

我分享一下网商银行在开源软件治理方面的一些实践和经验。网商银行遵照金融行业里开源软件的标准建设了整个开源软件治理体系。目前，我们内部已经形成了包括标准团队、架构、安全、法务合规等团队组成的一个开源虚拟小组，来推进整个开源软件的治理。我认为组织保障是开源软件治理比较难的一部分，一方面是其涉及的人员角色比较多，另一方面是整个开源软件治理流程比较复杂。

第一，在公司层面需要认可整个开源软件风险治理的战略价值，这需要内部去做相应的建设和完善。第二，开源软件治理需要有工具平台支撑，我们经过两年的打磨，搭建了一个开源软件治理平台，能做开源软件的数据运营，推进整个治理流程。这个平台也帮助我们内部实现了提效增质，做到了整个开源软件治理的全覆盖。包括开源清单的产出、开源软件影响面的分析、开源风险实时感知防控等。第三，需要跟行业接轨，参与内部标准和行业标准制定。去年我们内部制定并发布了开源软件治理方面的两项企业标准，另外还参与了北京金融科技产业联盟的银行业开源生态发展报告编写，把我们的一些治理实践分享给行业进行参考。

我们的治理体系就是围绕着“人+工具平台+标准”来不断打磨，保障开源软件治理工作持续推进，也希望后续能跟同行共同协作，共同建设开源治理体系，让开源治理更上一个台阶。

非常感谢各位嘉宾的精彩发言，大家结合各自机构现状及经验，对开源技术在金融数字化转型方面发挥的作用，以及在开源治理方面的经验，做了很多分享，提出了很多具有建设性的意见。后续，北京国家金融科技认证中心将继续联合金融业开源技术应用与发展实验室的各方成员力量，积极搭建金融开源交流平台，不断完善金融开源发展所需基础设施建设，推动金融机构拥抱开源技术，加强关键核心技术攻关，提升金融开源治理水平，为共筑中国式现代化的金融发展之路作出新的更大贡献。

金融业开源技术应用与发展实验室介绍

近年来，开源技术在金融行业各领域得到了广泛应用，在推动金融科技创新、数字化转型以及提升技术自主可控能力等方面发挥着积极作用。为了解决开源应用中存在的相关风险，加快推进开源软件在金融机构安全合规使用。在北京金融科技产业联盟开源专委会指导下，于 2022 年 11 月，由北京国家金融科技认证中心牵头成立“金融业开源技术应用与发展实验室”。通过凝聚国内金融开源主要力量，充分发挥各方在产业侧及行业侧的不同优势，积极开展开源风险及治理体系研究工作，推动金融行业开源工作的健康发展。

实验室申请加入&研讨交流咨询

冯老师 15801300936（微信同号）

fengxiaowen@icfcc.com

祖老师 13831376627（微信同号）

zuyufei@icfcc.com