专访微众银行开源治理办公室负责人钟燕清:开源治理最重要的部分是“使用的治理”

2022-06-12 16:22:59 每日经济新闻 

每经记者 潘婷 每经编辑 陈星

近年来,开源技术被广泛应用于各种场景,也是企业构建信息系统的重要选择,开源软件的使用覆盖了金融、工业互联网等行业,为软件研发与创新提供了源源不断的动力,随着开源技术的快速发展,“开源治理”也逐渐进入企业的视野,成为开源领域的一大热点话题。

金融行业,想拥抱开源并不是一个纯技术层面的挑战,对开源的有效管理,也是评价一个金融机构开源能力的重要指标,作为积极拥抱开源的重要参与者,互联网银行在开源治理领域有着多年的实践与创新,过程中,也在积极探索以增强开源治理能力促进更可控的开源技术创新。

对于目前的金融行业而言,开源治理的痛点和难点在哪些方面?对比过去,开源治理的侧重点是否发生了改变?互联网银行的开源治理和传统商业银行、金融科技公司的差异体现在哪?从战略层面看,微众银行对待开源的愿景是什么样的?对自身有什么样的定位?带着一系列问题,《每日经济新闻》(以下简称“NBD”)记者面访了微众银行开源治理办公室负责人钟燕清。

由于技术更多样性,互联网银行开源治理的挑战更大

NBD:目前金融科技核心技术的开源治理发展路径有哪些?和过去5-10年相比,目前开源治理的趋势和侧重点有何不同?

钟燕清:从企业应用或拥抱开源的路径上来讲,阶段还是非常清楚的,基本是经历使用、参与、贡献、领导这几个阶段和身份,很难跨越不同阶段。在每个阶段开源治理所关注的内容和重点其实也是有所不同的,比如说,企业作为开源技术的使用者,针对如何更好使用开源技术就是这个阶段开源治理的核心工作。

第一个趋势,最近几年,几乎所有的公司,特别是金融公司都非常注重开源治理能力,这也是我们最基础的能力。整个行业来说,大家越来越开放,或者说越来越依赖开源技术,这是当前社会技术发展的特征。整个金融行业其实都在利用开源技术去构建很多系统,比如银行的分布式核心系统。这是第一个“使用”的阶段。到第二阶段,如果企业再去参与开源、贡献社区,去主导项目,那就会涉及社区的治理体系。

另外一个趋势,随着大家对开源的认知越来越清楚,除了安全之外,合规也是一个问题。这个问题目前还没有那么突出,但是随着各种相关纠纷、案件的出现,大家对合规的重视程度也越来越高。因为有可能企业引入了不合适的许可证软件,带来声誉、知识产权、商标等一系列问题。

NBD:互联网银行的开源治理和传统商业银行、金融科技公司的差异体现在哪?

钟燕清:对比传统银行,互联网银行的技术多样性会更强一点。作为互联网银行,我们对技术的选择是比较开放的,传统银行用开源技术相对会比较谨慎。传统银行对开源技术应用的广度跟互联网银行不太一样,因为互联网银行要保持独特的创新性和敏捷性。

对比金融科技公司,按照以前的标准来说,金融科技公司开源应用会更粗放一些,在开源治理方面可能不会那么重视。而互联网银行对安全性、合规性的要求会比他们更高,金融科技公司未来慢慢也会重视加强监管,会越来越靠近互联网银行的要求。

NBD:从战略层面看,微众银行对待开源的愿景是什么样的?对自身有什么样的定位?

钟燕清:从大环境来看,开源已经成为一种趋势。微众银行希望能够成为金融科技领域开源生态建设的倡导者。

定位上,一方面微众银行是开源的受益者;微众银行很早以前就已经深刻地体会到开源的价值。比如我们通过采用开源技术建立起自主可控的分布式银行核心系统,这与国内的大部分金融机构有很大的区别。

另一方面微众银行也希望能成为行业贡献者。微众银行从开源的使用到整个社区的参与,到社区的贡献,再到社区有比较多的知名项目,最后变成开源社区的引领者,这是我们自身想在开源方面的发展路径。举个现实的例子,去年,微众银行开源的大数据计算中间件项目Linkis和事件网格项目Eventmesh,成为Apache软件基金会孵化项目,在Apache 软件基金会2021 年新增的5个孵化项目中独占2个,一定程度说明了世界主流的开源社区对我们开源项目的认可。

开源治理最重要的部分是使用的治理

NBD:能详细介绍下微众银行的开源治理体系吗?

钟燕清:开源治理体系是站在企业角度怎么去拥抱开源。微众银行建立了完备的开源治理体系,在确保安全合规的同时,通过不断优化内部体系建设,从组织、制度、流程、工具等多方面保障使用开源及开源输出风险可控。在组织保障方面,微众银行建立了公司级别的开源治理组织架构体系,包含合规、安全、知识产权、宣传等,明确各方职责,确保高效协同。在制度保障方面,微众银行发布了一系列与开源相关的管理规范,包括开源软件使用办法、软件开源管理办法、开源激励体系等。在流程与工具保障方面,微众银行引入了第三方管理工具,确保引入及对外的开源组件和代码安全合规以及与DevOps深度集成,建立DevSecOps体系。

NBD:在开源治理过程中,引入了第三方管理工具,具体有什么作用?会不会带来新的风险?

钟燕清:对于绝大部分企业而言,开源治理最重要的部分其实是使用的治理。

开源技术如何在公司内部很好的使用,有几个非常关键的点。第一,安全上的控制。因为开源软件迭代更新很快,客观来说只要是软件都会有漏洞,或者说有信息安全风险;第二,合规上的风险。所有开源软件都是基于开源许可证的,相当于一个协议,每个协议都有自身的规范,有的协议产生了冲突,就会对合规产生影响。

我们所说的管理工具,能够更好识别这些开源技术,把开源治理的漏洞、合规问题等非常结构化的记录起来,能够让我们快速看清楚我们使用开源的状况。同时,因为第三方管理工具有大量的知识库,拥有风险判断能力,在业界是专业的工具。

NBD:在开源治理过程中,如何发现、识别问题?

钟燕清:首先,要有基本的开源治理核心平台,这个平台能够判断企业用了哪些开源软件、开源技术,以及相应的名称、版本、社区的基本发展等信息。

其次,这些信息是动态变化、随时更新的,企业要有一定的手段去控制这些信息,这需要和企业自身的开发流程去做比较紧密的配合才可以实现。不然很可能变成仅仅是管理上的规范或要求,就是让人去跟踪登记,靠人反馈等,时效和准确性都没有保障。

扩展开源理念,倡导更“开放”银行

NBD:目前来看,开源治理的痛点和难点在哪些方面?

钟燕清:第一,微观层面看,开源治理的难点本质是技术的影响力、创新能力,还有对技术的掌握深度其实也是有门槛的,开源并不是随便哪个技术社区就能认的。第二,从意愿上来讲,如果没有足够的技术能力,没有一定的意愿,很有可能永远是使用者,这个是定位问题,也是一个选择性的问题。

NBD:作为开源技术的受益者,微众银行也倡导“开放银行”,您觉得开源技术和开放银行之间是一种怎样的关系?

钟燕清:区别于传统意义上的开放银行,微众对开放银行有一套自己的理论,在传统的开放银行上,我们做了很多扩展。微众银行提出“3O”理论,也即“三个开放”。

第一个就是开放平台,传统意义上的开放银行;

第二个叫开放创新,这里面更多是技术驱动,核心就是开源。这也是我们为什么要去不断加大开放,因为我们在技术能力上已经有一定的积累,希望通过开源的方式把我们的部分积累普惠到合作伙伴或者是社区,大家也可以用到同样的技术,然后共同建立一个开源技术、开源社区。

第三个就是开放协作,我们提出了分布式商业体系,不希望把银行变成一个核心,而是把银行置于中间位置,提供金融服务的节点。

NBD:业内如何看待《关于规范金融业开源技术应用与发展的意见》?在开源方面,微众银行是怎么应对的?

钟燕清:微众银行结合自身情况做了一些判断,我们过去几年的发展路径和上述意见非常契合,我们几乎所有的活动都是按照意见的指导进行的。

提出金融行业和开源的关系,大家怎么从行业角度去定位自己和开源,四个原则分别是坚持安全可控、坚持合规使用、坚持问题导向、坚持开放创新。以上都是对企业内部开源治理提出的各种要求,首先是安全问题,业内一直以来都比较重视安全问题,但是并不是从开源治理的角度出发,更多是从信息安全角度去推动。

第二,合规也提到相当的高度。在这一块微众银行提出要建立实现准、快、狠的管理平台,企业要足够快、非常精准的知道自身开源使用的资产状况,这样才能更好面对各种问题或风险。

搜索

复制

封面图片来源:摄图网-500642519

(责任编辑:岳权利 HN152)
看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门阅读

    和讯特稿

      推荐阅读