7月3日上午,2019云计算开源产业大会在北京国际会议中心隆重开幕。2019云计算开源产业大会以“计算无处不在,开源引领未来”为主题,由中国信息通信研究院主办。在上午的主论坛举行了金融行业开源治理圆桌讨论。
金融行业开源治理圆桌讨论
圆桌由中国信息通信研究院云计算与大数据研究所云计算部主任栗蔚主持,邀请到上海浦东发展银行股份有限公司创新研究中心处长顾蔚、中国农业银行股份有限公司研发中心专家、主任架构师赖强、中国太平洋保险(集团)股份有限公司架构专家张文若、中国人寿保险股份有限公司高级主管范宇参与圆桌讨论。
一、金融行业开源技术应用社区成立契机
主持人栗蔚:金融行业开源技术应用社区是在去年的时候,浦发银行和我们中国信通院共同发起的。首先我想问一下浦发银行,是什么样的原因或契机产生共同发起金融开源社区的想法,请顾处先跟大家聊一下。
浦发银行顾蔚:正如大家都知道的,随着技术的发展,云、分布式等技术的发展推进非常快,给行业领域开源技术的发展带来了很大的助推力。在这个过程中,我们也从技术面看到,开源本身的产品、产业生态组建的环境日益成熟,聚集了大量的人才和技术资源。基于金融行业本身,我们面临着金融服务互联网化的发展趋势要求,需要应对架构上的转型、服务上的升级,需要更好地利用开源技术、分布式技术为客户提供优质的服务。所以,我们和华为一起首先成立了一个开源的实验室。但是光靠单方的力量很难把我们自身开源技术的应用和治理快速地推动成长起来,所以我们联合了信通院,请行业里的专家共同帮助我们发起开源社区的组建,推动金融行业、IT产业界一起将开源标准、治理框架、各方的开源技术积累和知识储备结合起来,集各方市场共同开源应用和发展。以上是我们当初成立金融行业开源技术应用社区的想法。今天看到整个社区已经在不断发展壮大,希望今后社区能够快速成长,给金融行业各方带来更大的收益。
二、金融行业应用开源的风险和治理
主持人栗蔚:谢谢顾处。确实如顾处所说的,金融行业在使用开源技术尤其是在架构转型方面,都会遇到一些挑战或机遇。我们中国信通院发起组建这个社区后,农行、太保、人寿都积极地参与进来,并且发挥了非常重要的作用。下面请金融行业的代表来聊一下,在开源软件的使用过程中,大家的一些考虑和遇到的风险,未来想如何通过企业内部进行开源的治理。请中国人寿的范工讲一下。
中国人寿范宇:我抛砖引玉说一下国寿的情况。近些年开源软件正是百花齐放,各种DevOps平台、新一代系统都应用了很多开源软件。因为使用开源软件在成本上和灵活度方面都较商业软件更优秀。以成本说,以前采用商业软件需要招标,周期长,采购软件和购买服务的费用都非常高,使用开源软件大大降低成本。
与此同时,应用开源也暴露出很多风险问题,主要集中在两点:
一、安全方面的问题。上个月我们刚刚经历了全国的安全攻防活动,开源软件在其中是一大重点,因为它有很多的漏洞。这些漏洞有一部分是通过各种社区能够知道的,也有很多是我们不知道的,如何对漏洞进行管理,这是我们关注的问题。
二、技术支持的风险。我们使用商业软件是购买服务,遇到问题时可以通过原厂支持进行运维。但是使用开源软件,在人力不足、技术掌握不成熟的情况下,如何在发生故障的情况下快速地应对问题、处理问题、让业务恢复,这也是一大风险。
目前我们对开源软件的治理还不是很成熟,是比较粗犷的治理方式。主要分为这几个方面:在引用的时候由技术处进行技术架构评审,选择是否应用这个技术,技术的风险评估由这个环节完成。之后在使用和运维方面由各个使用团队,在使用过程中培养专家,进行各自治理。在平常安全风险监控方面,由专门的监控系统以及安全团队进行漏洞扫描,做安全方面的监控。
主持人栗蔚:谢谢范工。请问张总,中国太平洋保险在这方面有什么经验?
中国太平洋保险张文若:开源技术的发展有很长时间的历史,但是企业级的应用是到最近几年发展非常迅速。使用开源软件,除了开源软件简单易用(比较容易获得)以外,在云计算、大数据、人工智能方面,开源软件比企业级软件更快的发展速度也是原因之一。针对某一个软件在开源社区很快就能找到解决这个问题的开源软件,所以被很多的应用系统或者是基础运维系统所使用。
针对开源软件越来越受欢迎的情况,中国人寿从2018年开始启动开源治理的项目。从去年开始首先做了一个调研,其实除了像Linux这样的操作系统以外,我们使用的开源系统超过1/3,通过统一的治理,可能存在运维风险、安全风险。所以我们希望通过开源框架治理这个项目带来一套评估标准、一个专家队伍、一套管理流程,一个评估模型,有应用系统或项目想使用开源的时候可以提出申请。我们去年初步摸索出来一个维度模型,从技术针对性、技术先进性、开源社区活跃度、生命力这几个方面进行评估,来看它的短板是不是我们所在意的,如果我们引入的话怎么弥补这些短板,使我们能够更科学、更好地来使用这个开源软件。
在这个过程中,太平洋保险培养出了一个专家团队,在逐渐摸索的过程中建立了开源评估、开源使用的流程。在使用的过程中,我们觉得对企业来说大的挑战是开源本身技术的不完备性,它可能针对某一个应用特别成熟,但是对于可管理性、可靠性就有一些风险。一方面在有企业的情况下,我们可能会优先选择企业,在开源能力不是很成熟的情况下,我们依靠一些成熟的合作伙伴;另一方面我们通过我们的专家积累经验落实到知识库里;还有一部分就是使用的用户比较少的,谁使用谁进行管理和运维。随着我们这个流程不断地迭代和演进,近年来大家也对开源使用的成熟度越来越放心了。
主持人栗蔚:谢谢张总。中国人寿和太平洋都是保险行业的代表,农行其实也积累了一套非常完备的开源方面的体系架构,还获得过银保监会的科技创新奖,我们请赖总讲讲农行在这方面的思考。
中国农业银行赖强:我简单介绍一下农行为什么做开源社区。大家都知道银行现在进入数字化转型的新时期,在这个时期会大量用到大数据、云计算等现代信息技术,这些技术和开源以及云计算是紧密结合的。我们认为银行未来的发展方向必须要依赖现代信息技术来实施转型,为此我们在前年就开始了开源的研究。针对用好这些开源软件,尤其是针对大数据、云计算,我们自己做了开源软件在金融科技背景之下的课题。在这个课题中我们发现银行使用开源软件时,面临三个方面的风险:
第一,技术的可获得性(服务)。为什么要说这个问题?开源软件非常多,银行也不可能所有的开源软件都掌握,但是我们引入了一个开源软件,我们希望它能够非常好地服务我们的核心应用,一旦这个开源软件生命周期不具备了就会退出,我们知道开源软件的生命周期迭代速度非常快,我们要么有自建,要么有商业服务来保证这一块,因为我们要保障银行的可持续发展。
第二,软件的漏洞,这个对我们影响非常大。银行数字化以后意味着大量的使用会应用到云计算开源技术,在这时一旦开源软件有漏洞,这个漏洞会嵌入在成百甚至上万的实例当中,银行要有快速处置能力。我们为此建立了开源软件的服务和开源软件跟应用系统之间的关联关系,以保证在发生漏洞的时候能够有快速的处置方法。
第三,法律风险。随着产业数字化之后,银行业一样会发布App、发布API,现在我们也在做这方面的事情,这样的话,意味着我不仅仅是开源软件的使用者,我实际上还会把我基于开源软件做的App也好或者是我们的SDK要分发给我的用户,这样的话,我同样需要遵循相关开源软件的协议,所以我们也对开源软件的协议有一个明确的管理,通过这样对开源软件的管理来支撑银行本身的数字化转型。
三、开源软件的管理
主持人栗蔚:谢谢赖总。浦发银行除了发起社区以外,还有一些做的非常好的开源软件管理工作,请顾处讲讲浦发在开源软件方面的心得。
浦发银行顾蔚:就像刚才各位嘉宾提到的,开源软件本身对于各个行业都有非常大的好处,但同时也给企业引入了技术上、法律上的风险。对于企业来说,要构建一套开源软件的治理体系有三点:
首先要能够有比较规范的治理和管理。
第二要能够把人员队伍培养起来——包括开源技术的支持人员、治理的管理人员、甚至涉及到知识产权和授权问题等法律方面的技能人员。
第三个要把管理治理落地。它必须要和日常的流程、机制联动,否则制度要落下来就比较慢。
所以我们自身是构建了一个开源管理、治理的平台,我们开源治理的小组同事们也开发了这样一个工具平台。能够从开源初期的开源产品的评估和引入这方面进行相应的分析和管理。另外,在使用过程中结合开源工具的日常维护使用,跟踪社区发展情况的情况,在日常使用、运维中发现问题的记录和管理,以及引入开源产品后发现不符合未来的趋势把它退出。以上整个一套生命周期的管理都可以用我们这个工具平台进行体系化的跟踪,把相关信息发布出来,使使用情况和管理信息可视化。通过这样一个技术平台,其实也是给我们开源治理的落地增加了催化剂,能够保障有效的推进。
这一块我们今天下午在分论坛主题交流中还会做深度的分享和具体的技术介绍。
主持人栗蔚:谢谢顾处,今天圆桌环节时间有限,不能跟各位领导分享更多关于金融开源治理方面的内容。刚才这几位领导也说了,不管在保险还是银行,都已经开展了开源的技术选型,包括引入安全、使用安全,还有协议法律等方面的治理工作。很多相关内容都在我们《金融行业开源治理白皮书》中,大家可以关注下午的开源治理论坛,获取更多白皮书内容。我们中国信通院也将继续和我金融行业的各位专家、产业界的各位专家一起共同推动治理白皮书的内容落地,再次感谢四位金融行业的专家和领导分享。谢谢大家。