2021年10月,中国人民银行等联合发布了《关于规范金融业开源技术应用与发展的意见》(银办发〔2021〕146 号),规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展。前期,为助力成员单位做好开源技术应用与发展工作,北京金融科技产业联盟开源专委会组织了金融业开源技术应用、创新等方面的案例征集,现对部分优秀案例进行宣传,发挥先进典型示范引领作用。
全球开源技术正处于大发展阶段,开源生态已成为孕育关键核心技术的重器和推进数字化进程的新动力,通过开源支撑金融企业核心技术框架,既能确保充分接轨国际主流技术,又能确保以深度参与方式完成金融信息建设,实现从“可用”到“好用”的转变。但金融机构对开源软件的管理还存在许多不足之处。一是开源软件游离在传统管理体系之外;金融行业使用开源软件的时间不长,早期对开源软件管理的重视程度不足,因此导致开源软件游离在传统管理体系之外,没办法得到有效管控。二是开源软件往往独立于既有架构之外,具有“集市”化松散开发等特点,导致其与现有系统的标准不统一、接口不一致、互操作性不强,与专有软件融合程度不够。三是开源软件版本迭代快、项目分支多、缺乏商业化支持,测评体系不完善。四是开源软件漏洞引发的安全事件不断发生,给金融行业开源软件安全管理工作带来非常大压力。中国农业银行对标信息技术创新战略要求,鼓励使用开源技术掌握主流核心技术,破解“双不”困境,并为保证整体风险可控,充分的利用现有成熟软件管理和工具体系,避免多套体系各自为政、职责交叉混淆和多头分散管理,综合分析研发领域已有管理体系,按照“统筹规划、合理地布局、分散实施、优化改进”原则,结合对金融行业开源软件管理方法和实践技术的研究,确定了开源、自研、商业软件一体化融合式管理策略,设计了一套融合传统和开源理念的软件管理体系和框架 TOSIM(Traditional & Opensource Software Integrated Management),形成了完备的开源治理组织和统一的开源管理体系,并依托已有工具和开源技术,建设了统一、协调、补充、兼容的开源管理平台,以更好、更高效地强化开源管理。同时,为坚持履行大行使命担当,尝试通过内部开源和对外开源的方式,沉淀并输出开源技术探讨研究成果。
农业银行的“开源软件一体化管理平台”通过整合各方面技术资源,打通开源软件全生命周期管理流程,构建形成开源软件管理的流程化、线上化和可视化,在农行的软件管理活动中发挥重要的支撑作用。如图1所示,农业银行开源软件一体化管理平台实现了对开源软件的全流程、多领域一体化管理,打通开源软件管理流程,为研发协作提供支持,保证开源软件相关管理活动有序开展,提升开源软件管理质量和效率,为 TOSIM一体化管理体系的落地提供技术平台支撑,实现了从开源软件引入到退出的全生命周期闭环管理。
开源软件一体化管理平台具有流程支持、研发支持、配置管理、安全管理和内源社区等功能。农行通过Spring-boot、Mybatis等开源组件建设了太行平台,用于支撑各类管理平台快速设计和部署平台框架、便捷访问各类数据库;流程支持平台通过fastjson开源组件实现了平台的json报文转换功能,支撑开源软件管理全流程的打通,通过贯通运行态和管理态的管理工具,提供了开源软件全行统一使用视图、测评信息、软件及协议目录、漏洞知识库;研发支持平台从开源软件协作开发、问题支持、知识库支持等方面提升开源软件研发建设的质量和效率;配置管理工具实现对开源软件一体化的配置和构建,实现对开源软件资产的全景式管控;安全管理工具包括开源软件漏洞扫描工具和源代码安全检查工具,开源软件漏洞扫描工具能发现开源软件是不是真的存在已曝光漏洞,源代码安全检查工具能够检查开源软件源代码安全缺陷情况,实现由过去撒网式漏洞通报处置方式向当前精准定位处置方式的转变,大大降低生产系漏洞风险敞口,保障系统安全平稳运行;内源社区GTR基于Git开源技术,建立了行内代码交流和开源技术交流平台,作为对外开源试验田,推动行内外技术创新和方案共享。通过农行开源软件一体化管理平台,管理工具可在系统提交测试准入时,从运行态工具实时获取系统组件使用视图,并自动识别协议或安全漏洞风险,生成测评任务推送给用户;在系统来进行投产构建时,运行态工具从管理态工具获取组件测评覆盖情况,通过质量门禁控制制品晋级,做到开源软件管理覆盖、软件安全、信息一致、自动更新。
农业银行通过TOSIM一体化管理平台建设,加速了行内各业务领域的开源技术应用和产品创新,覆盖了渠道域、客户服务域、产品与服务域、企业数据管理域、业务管理域和基础应用域等6大应用域,为500余个应用提供有力支撑。
农业银行积极输出开源管理平台体系建设经验,参与行业交流,先后参与了开源管理相关的多部行业标准的修订和编制。2018年,农行的开源软件管理与应用探索实践课题获得银保监会的银行业信息科技风险管理课题一类成果;2019年,农业银行成为首批通过信通院可信开源治理能力评估的金融企业;2020年,农业银行在信通院可信开源治理成熟度评估中被评为最高等级“先进级”;2021年,农行获信通院颁布的开源治理“OSCAR尖峰开源企业”,同年开源治理体系与标准化研究工作获得全国金融标准化技术委员会颁布的“年度金融标准化重点研究课题一等奖”。