【恒生电子&中国信通院】证券行业开源治理白皮书

恒生技术之眼.

恒生电子技术官方媒体，带你读懂最前沿的金融技术。

2021年3月，开源首次被列入“十四五”规划。

2021年10月，中国人民银行等五部委联合发布《关于规范金融业开源技术应用与发展的意见》。

2021年11月，《“十四五”软件和信息技术服务业发展规划》发布，提出到2025年建设2-3个有国际影响力的开源社区。

开源能够集众智、采众长，加速软件迭代升级，促进产用协同创新，推动产业生态完善，已成为全球软件技术和产业创新的主导模式。随着我国开源指导政策逐渐落地，加之相关企业大力投入，开源已迎来最好的时代。目前，我国开源生态快速发展壮大，开源项目数量爆发式增长，开源贡献者人数规模快速扩大，在全球贡献者中的占比不断攀升。与此同时，开源风险问题也不容忽视。软件开源化趋势增强，容器、微服务等新技术的深入极大增加了软件的复杂度，开源技术作为软件供应链的重要组成部分，面临着安全漏洞、知识产权、后门等相关风险。针对软件供应链构建起一套全链路的安全防护和治理体系，将成为金融机构和供应商关注的重中之重。

面对开源技术为证券行业带来的机遇与挑战，恒生与中国信通院云大所携手发布《证券行业开源治理白皮书》，助力证券行业降低开源软件使用风险。安信证券、东北证券、光⼤证券、⼴发证券、国信证券、华安证券、南京证券、⻄南证券、兴业证券、浙商证券、招商证券、中银国际证券也参与了本白皮书的编写。

企业在享受开源引⼊带来的成本降低、技术迭代速度加快等便利的同时，也面临着安全漏洞风险、数据泄露风险、知识产权风险和管理风险。

开源软件的漏洞和缺陷问题威胁系统的安全运行。数据显示，84%的开源代码库至少含有一个漏洞；97％的金融服务/金融科技行业代码库包含开源代码，其中超过60％的代码库存在漏洞。

开源软件因其共享特性可能导致数据泄露风险。开源代码在拥有互操作性、无歧视性和透明性的同时，也存在着数据安全隐患。开源软件很多配置信息会涉及到账号密码，如果不对代码所携带的信息进行检查、评估和加密处理，一旦开发者出现疏忽没能及时处理这些敏感数据，可能会造成大量的用户信息随着代码的共享而泄露。

开源软件知识产权风险问题相对专业和复杂。软件源代码可能同时存在多种权利类型：源代码可以作为计算机软件作品受到著作权保护；源代码实现的功能形成新的技术方案可以申请专利受到专利权保护；开源前如果源代码符合商业秘密保护要求可以受到反不正当竞争法保护。这就要求对使用者对开源软件知识产权问题进行多维度的综合分析。

企业对于开源软件的管理能力有待加强。企业若想更有效率地使用开源软件，必须配备专业的管理与运维团队对开源软件进行需求响应和日常维护治理。大多数开源软件由于迭代频率快，且往往不存在专业的第三方技术支持，导致企业内部工作人员需要不断跟踪软件的版本迭代、规避潜在风险，进而大幅度增加了开源软件运维工作量。