3月23日,由金链盟、深金科协联合举办的“数字化转型聚焦之:开源治理专场·线上”成功举办,金链盟、深金科协会员单位代表等逾700人次相约本次“云端”沙龙。活动由安信证券信息技术委员会安全总监李维春主持。本场沙龙邀请了工信部一所相关负责人,以及来自海通证券、微众银行、华为等行业大咖在线分享,探讨开源治理新思路。
工信部一所金融科技部主任石砳磊:十四五”时期,发展开源软件进一步上升为国家战略任务
石砳磊介绍,2021年,工信部一所积极推进国内开源生态建设,联合产学研用单位共同发起成立了开源软件供应链安全实验室,并组织编写发布了《2021年中国开源发展年度观察》,从国内开源政策环境、开发者画像特征、技术热点趋势、项目社区健康和商业化进展等方面,多维度展现了2021年我国开源发展的整体情况。我国开源开发者已经从个人使用逐步向交流互动转变,开发者与开发者之间、开发者与开源组织之间、开发者对开源项目的新增关注行为均呈现增长态势。开源逐渐成为基础软件研发的主流。在操作系统、数据库、中间件、虚拟化等基础软件领域,开源产品已占据主要市场份额,甚至位居首位。国内科技大厂或是开源创企在操作系统和数据库等领域取得突破性进展。
海通证券数据中心安全团队负责人马冰:开源安全探索和实践是综合施治
马冰介绍,开源探索的难点包括企业使用开源软件缺乏安全评估和引入流程,开源软件版本不统一;不清楚企业项目中使用了什么开源软件;不清楚企业使用的开源组件存在哪些风险;缺少开源软件安全漏洞评估和修复能力。海通证券在信息安全建设和运营实践中,从最初的暴露面收缩及漏洞生命周期安全治理,逐步的开展安全左移。结合研发部门的DevOps平台化建设,安全团队逐步在研发环节嵌入安全要素,从流程、工具、制度等层次开展供应链安全治理的探索和实践。他认为,软件供应链安全治理的发展路径是达标式治理-配合式治理-自发式治理。未来,开源治理过程中的流程、数据还需进一步贯通,安全处置流程还需进一步优化,对象还需进一步扩大。
微众银行开源管理办公室负责人钟燕清:加强内部开源文化建设
钟燕清介绍,自2019年起,微众银行就成立了开源管理办公室,全面推进开源战略,从企业内部使用开源的治理体系建设到主动参与开源社区,发展开源生态等,取得了一定的成果。组织保障、流程制度保障、工具保障是企业内部开源治理的铁三角。通过不断优化内部体系建设,从组织、制度、流程工具等多方面保障使用开源的风险可控,同时加强内部开源文化建设。微众银行的开源治理组织架构参照开源基金会的模式开展,希望持续优化开源软件使用的生命周期管理的流程和制度。他表示,微众银行通过建立开源项目社区运营基本体系,加强与各大技术社区的深度合作,广泛布局开源项目,促进社区生态发展。
华为数据库与大数据场景化解决方案专家王钧:要建设植根中国的高水平数据库开源社区
数据库作为基础软件产品对社会生产生活至关重要。当前,外部形势剧烈变化,需要提前做好针对性的风险管控。开源数据库产品具有能快速生态推广,及时技术演进的优势,成为数据库产业共识。同时也需要从开源项目、社区运营等方面加强引导和规范,从而保证数据库领域的开源社区能健康有序的高水平发展。王钧认为,建设高水平的开源社区离不开四个方面:社区发展顺势而为,社区竞争力优质汇聚,社区治理有序运营,社区规划积极更新。开源社区的经营建设要有明确的运营目标、夯实运营基础、凝聚运营主体、优化运营手段。华为数据库开源社区的核心决策和执行机构是社区理事会和技术委员会。
