《【白皮书市场研报】证券行业开源治理白皮书-27页_市场营销策划_2022年各行业白皮书市场研报合集_.docx》由会员分享,可在线阅读,更多相关《【白皮书市场研报】证券行业开源治理白皮书-27页_市场营销策划_2022年各行业白皮书市场研报合集_.docx(24页珍藏版)》请在第一文库网上搜索。
1、一、开源产业蓬勃发展,使用开源软件的机遇与风险并存(一)开源指导政策逐渐落地我国政策不断加码,支持开源生态发展。我国政策层面高度关注开源发展,从国家层面鼓励产业加大开源投入。2021年3月,开源首次被列入“十四五”规划,“支持数字技术开源社区等创新联合体发展,完善开源知识产权和法律体系,鼓励企业开放软件源代码、硬件设计和应用服务”。开源已上升至国家战略层面,是政府未来工作的重点。2021年10月,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布关于规范金融业开源技术应用与发展的意见。文件重点提到金融机构在使用开源技术时应遵循“安全可控、合规使用、问题
2、导向、开放创新”四大基本原则,一是鼓励金融机构将开源技术应用纳入自身信息化发展规划,建立健全开源技术应用管理制度体系等;二是鼓励金融机构积极参与开源生态建设,加强产学研交流合作力度,加入开源社会组织等;三是鼓励完善金融机构开源技术应用指导政策,探索建立开源技术公共服务平台,加强开源技术及应用标准化建设等。2021年11月,工业和信息化部印发“十四五”软件和信息技术服务业发展规划,提出到2025年建设2-3个有国际影响力的开源社区。文件突出强调开源在驱动软件产业创新发展、赋能数字中国建设的重要作用,提出“繁荣国内开源生态”的重点任务,设置“开源生态培育”专项行动,统筹推进建设高水平基金会。面向重
3、点领域打造优秀开源项目,深化开源技术应用,夯实开源基础设施,普及开源文化,完善开源治理机制和治理规则,加强开源国际合作,推动形成众研众用众创的开源软件生态。(二)开源生态快速发展壮大我国开源项目数量爆发式增长。Gitee2020年度报告数据指出I2020年Gitee平台开源代码库增长率达157%,开源项目数量达到1500万,是2013年至2018年Gitee平台开源项目的总和。开源项目分布数量前三的领域分别为程序开发(占比24.29%)、Web应用开发(占比17.75)与移动开发(占比10.15%)。来源:Gitee,2020图1Gitee近四年开源项目数量及增长率我国开源贡献者人数规模快速扩
4、大。我国开源贡献者数量快速增长,在全球贡献者中的占比不断攀升。GitHub2021年调研报告显示,中国在GitHub的贡献者数量增长迅速,贡献者人数达到755万1 #人,仅次于美国。在过去一年,中国贡献者数量增长16%,增长速度为全球最快。2020年,Gitee平台上参与开源的贡献者数量增长了图2Gitee近四年开源贡献者数量50%,达到了600万,其中38%是首次参与开源。来源:Gitee,2020企业逐渐重视对外开源贡献。根据OpenSourceContributorIndex图3Gitee近四年开源企业数量公布的2021年11月全球开源厂商GitHub开源贡献排名2,华为、腾讯、阿里分别
5、位列11、14、16位,华为活跃开发者人数为1059,参与社区数为2703。根据Gitee2020年度报告显示,2020年Gitee企业用户达到18万,相较于2019年的1。万家企业,增长率达到80%o来源:Gitee,2020我国企业开源软件应用比例逐年提升。近年来,我国企业对开源技术的接受程度越来越高,使用开源技术已成主流。根据中国信通院调查显示,2021年我国已经使用开源技术的企业占比为88.2%,暂未计划使用开源技术的企业占比仅为2.1%o已经使用有计划使用暂时没有计划使用来源:中国信息通信研究院图4我国开源软件应用比例(三)开源风险问题不容忽视企业在享受开源引入带来的成本降低、技术迭
6、代速度加快等便利的同时,也面临着安全漏洞风险、数据泄露风险、知识产权风险和管理风险。开源软件的漏洞和缺陷问题威胁系统安全运行。根据新思科技发布的2021开源安全与风险分析报告显示,84%的开源代码库至少含有一个漏洞,近三年漏洞比例逐年增高,60%的已审核代码库中包含高风险漏洞。所有经过审计的营销科技类公司的代码库都包含开源,其中95%的营销科技代码库存在开源漏洞。97%的金融服务/金融科技行业代码库包含开源代码,其中超过60%的代码库存在漏洞。开源软件因其共享特性可能导致数据泄露风险。开源代码在拥有互操作性、无歧视性和透明性的同时,也存在着数据安全隐患。开源软件很多配置信息会涉及到账号密码,如
7、果不对代码所携带的信息进行检查、评估和加密处理,一旦开发者出现疏忽没能及时处理这些敏感数据,可能会造成大量的用户信息随着代码的共享而泄露。开源软件知识产权风险问题相对专业和复杂。由于软件本身在受到知识产权保护时存在一定权利竞合而带来的专业性和复杂性。软件源代码可能同时存在多种权利类型:源代码可以作为计算机软件作品受到著作权保护,源代码实现的功能形成新的技术方案可以申请专利受到专利权保护,开源前如果源代码符合商业秘密保护要求可以受到反不正当竞争法保护。这就要求对开源软件知识产权问题进行多维度的综合分析。根据新思科技2021开源安全与风险分析报告统计,超过90%经审计的代码库中含有许可证冲突、自定
8、义许可证或根本没有许可证的开源组件;2020年审计的代码库中,65%包含存在许可证冲突的开源组件,通常涉及“GNU通用公共许可证”;26%的代码库采用了没有许可证或定制许可证的开源代码。这三种问题可能导致侵权和其他法律风险,通常需要进行审慎评估。企业对开源软件的管理能力有待加强。企业若想更有效率的使用开源软件,必须配备专业的软件管理与运维团队对开源软件进行需求响应和日常维护治理。大多数开源软件由于迭代频率快,且往往不存在专业的第三方技术支持,导致企业内部工作人员需要不断跟踪软件的版本迭代、规避潜在风险,进而大幅度增加开源软件运维工作量。所以在引入开源软件前,要进行引入评估工作,选取社区支持能力
9、较强、具备第三方商业支持或企业内部具备运维能力的开源软件。(四)开源治理模式初步建立头部科技企业最早关注开源风险治理。科技企业由于涉及海外业务,对开源合规要求较高,因此在国内企业中最早关注开源风险治理。OpenChainISO/IEC5230是开源许可证合规性的国际标准,作为Linux基金会下的项目,其成员单位包括ARM、微软、谷歌、高通等各领域巨头。2020年OPPO宣布以白金会员加入OpenChain,也是国内首家加入该项目的白金会员;2021年华为以白金会员身份加入OpenChain项目,与高通、谷歌、西门子、丰田等20多个全球企业共同打造安全的开源软件供应链。金融用户企业开始制定开源管
10、理方案。中国信通院2020年金融行业开源软件使用情况调查数据显示,46.88%的金融用户企业具备统一的开源管理流程和团队,高于全行业用户调研数据中的30.8%o金融行业开源技术应用社区2021年调查显示,超六成金融机构要求企业仅能使用内部提供的开源软件,不得自行下载和使用任何不在内部清单范围内的开源软件。总体来看,我国金融机构对开源软件管理问题的重视程度逐步提升,正在朝着专业化方向发展。金融机构尝试通过对外开源打造事实标准。高盛、摩根大通等国外金融巨头,浦发银行、微众银行、东方证券等国内金融机构陆续开始对外开源项目,在具有行业通用性、满足金融业务共性需求的基础技术领域,探索通过开源模式吸引业界
11、广泛参与、扩大软件7应用规模、打造事实标准,以开源模式解决封闭架构下运维成本高、技术易过时等问题,从而达到降低企业运维成本、延长技术寿命、主导技术路线的目的。23二、我国证券行业开源应用广泛,但风险防控能力相对薄弱开源技术在各行各业应用广泛,在金融领域推动科技创新和数字化转型方面也已发挥重要作用。据金融行业开源技术应用社区调查显示,超过90%的中国金融机构已经引入开源软件。作为金融业的重要组成主体,近年来证券行业对开源技术的使用逐渐增加,通过自研、外部、采购等多种形式在信息系统中引入大量开源软件。证券行业开源软件引入方式多样、云原生相关技术占比高。根据证券行业开源使用调研结果显示,参与调研的企
12、业中约90%以上通过自研方式引入开源,约63%的企业通过外包合作开发方式引入,约82%的企业通过采购商业解决方案方式引入。在确定开源软件引入使用管理部门的原则上,企业的选择各有不同,主要以部门负责和技术委员会负责为主。证券公司对云原生技术的选用占比较高,包括开源中间件技术Redis、Kafka.RocketMQ.ES,服务注册中心技术ZooKeeper,集群管理技术Kubemetes,负载均衡技术Nginx等。其他9%证券机构通过采购商业解决方案pQiiz,证券机构通过外包合作开发引入64%证券机构自研引入91%0%20%40%60%80%100%来源:恒生电子、中国信通院,2021年12月图
13、5证券行业开源软件引入途径证券行业开源治理流程体系尚不完善,开源治理平台存在缺失。根据证券行业开源使用调研结果显示,在开源治理流程体系方面,有超过72%的企业暂无相关流程体系,约73%的企业暂无开源治理平台但计划未来将该平台建设纳入规划。无相关流程有1个开源治理流程来源:恒生电子、中国信通院,2021年12月图6证券行业开源治理体系建设情况目前已经有开源治理平台,已经正式上线使用。驰目前已经有开源治理平台,正在落地过程中9%开源治理平台计划纳入规划73%目前无开源治理平台需求,未来也无建设计划18%0%10%20%30%40%50%60%70%80%来源:恒生电子、中国信通院,2021年12月
14、图7证券行业开源治理平台建设现状运维人员投入少,开源知识产权风险防控薄弱。根据证券行业开源使用调研结果显示,在开源治理人员投入上,以多人兼职,无单独开源管理团队模式为主;在开源软件漏洞修复、二次开发、运维、版本维护方面,有64%左右的企业设立专业团队来支撑。开源软件法律合规管理的工作方式还在探索中55%采购外部专业法律服务为开源软件法律合规管理提供支持0%为科技部门在引入和使用开源过程中的法律合规疑问提供咨询服务9%参与每次开源软件引入的评估过程,并出具意见制对主流的开源许可证进行专业解读,形成管理标准,对开源软件的弓I入和使用提出约束要求27%10%20%30%40%50%60%来源:恒生电
15、子、中国信通院,2021年12月图8证券行业开源知识产权治理现状有专业开源运维团队无专业开源运维团队来源:恒生电子、中国信通院,2021年12月图9证券行业开源运维情况证券行业研发实力与银行等其他金融行业存在较大差距,外包成为众多中小机构的主要研发模式。根据中国证券业协会、广发证券发展研究中心调研报告显示,2017-2020年证券业信息技术投入金额从2017年的159.86亿元增长至2020年的262.87亿元,年均增速18%。信息技术投入占上年度专项合并口径营业收入比重从2017年的4.9%增长到2020年的7.5%。2017-2020年证券业信息技术投入金额累计达845亿元,2019年我国银行业信息技术投入1,730亿元,是证券行业信息技术投入的8.44倍。2020年,工行、建
免费区 
