專訪微眾銀行開源治理辦公室負(fù)責(zé)人鐘燕清:開源治理最重要的部分是“使用的治理”

2022-06-12 16:22:59 每日經(jīng)濟(jì)新聞 

每經(jīng)記者 潘婷 每經(jīng)編輯 陳星

近年來,開源技術(shù)被廣泛應(yīng)用于各種場景,也是企業(yè)構(gòu)建信息系統(tǒng)的重要選擇,開源軟件的使用覆蓋了金融、工業(yè)互聯(lián)網(wǎng)等行業(yè),為軟件研發(fā)與創(chuàng)新提供了源源不斷的動(dòng)力,隨著開源技術(shù)的快速發(fā)展,“開源治理”也逐漸進(jìn)入企業(yè)的視野,成為開源領(lǐng)域的一大熱點(diǎn)話題。

金融行業(yè),想擁抱開源并不是一個(gè)純技術(shù)層面的挑戰(zhàn),對開源的有效管理,也是評價(jià)一個(gè)金融機(jī)構(gòu)開源能力的重要指標(biāo),作為積極擁抱開源的重要參與者,互聯(lián)網(wǎng)銀行在開源治理領(lǐng)域有著多年的實(shí)踐與創(chuàng)新,過程中,也在積極探索以增強(qiáng)開源治理能力促進(jìn)更可控的開源技術(shù)創(chuàng)新。

對于目前的金融行業(yè)而言,開源治理的痛點(diǎn)和難點(diǎn)在哪些方面?對比過去,開源治理的側(cè)重點(diǎn)是否發(fā)生了改變?互聯(lián)網(wǎng)銀行的開源治理和傳統(tǒng)商業(yè)銀行、金融科技公司的差異體現(xiàn)在哪?從戰(zhàn)略層面看,微眾銀行對待開源的愿景是什么樣的?對自身有什么樣的定位?帶著一系列問題,《每日經(jīng)濟(jì)新聞》(以下簡稱“NBD”)記者面訪了微眾銀行開源治理辦公室負(fù)責(zé)人鐘燕清。

由于技術(shù)更多樣性,互聯(lián)網(wǎng)銀行開源治理的挑戰(zhàn)更大

NBD:目前金融科技核心技術(shù)的開源治理發(fā)展路徑有哪些?和過去5-10年相比,目前開源治理的趨勢和側(cè)重點(diǎn)有何不同?

鐘燕清:從企業(yè)應(yīng)用或擁抱開源的路徑上來講,階段還是非常清楚的,基本是經(jīng)歷使用、參與、貢獻(xiàn)、領(lǐng)導(dǎo)這幾個(gè)階段和身份,很難跨越不同階段。在每個(gè)階段開源治理所關(guān)注的內(nèi)容和重點(diǎn)其實(shí)也是有所不同的,比如說,企業(yè)作為開源技術(shù)的使用者,針對如何更好使用開源技術(shù)就是這個(gè)階段開源治理的核心工作。

第一個(gè)趨勢,最近幾年,幾乎所有的公司,特別是金融公司都非常注重開源治理能力,這也是我們最基礎(chǔ)的能力。整個(gè)行業(yè)來說,大家越來越開放,或者說越來越依賴開源技術(shù),這是當(dāng)前社會(huì)技術(shù)發(fā)展的特征。整個(gè)金融行業(yè)其實(shí)都在利用開源技術(shù)去構(gòu)建很多系統(tǒng),比如銀行的分布式核心系統(tǒng)。這是第一個(gè)“使用”的階段。到第二階段,如果企業(yè)再去參與開源、貢獻(xiàn)社區(qū),去主導(dǎo)項(xiàng)目,那就會(huì)涉及社區(qū)的治理體系。

另外一個(gè)趨勢,隨著大家對開源的認(rèn)知越來越清楚,除了安全之外,合規(guī)也是一個(gè)問題。這個(gè)問題目前還沒有那么突出,但是隨著各種相關(guān)糾紛、案件的出現(xiàn),大家對合規(guī)的重視程度也越來越高。因?yàn)橛锌赡芷髽I(yè)引入了不合適的許可證軟件,帶來聲譽(yù)、知識(shí)產(chǎn)權(quán)、商標(biāo)等一系列問題。

NBD:互聯(lián)網(wǎng)銀行的開源治理和傳統(tǒng)商業(yè)銀行、金融科技公司的差異體現(xiàn)在哪?

鐘燕清:對比傳統(tǒng)銀行,互聯(lián)網(wǎng)銀行的技術(shù)多樣性會(huì)更強(qiáng)一點(diǎn)。作為互聯(lián)網(wǎng)銀行,我們對技術(shù)的選擇是比較開放的,傳統(tǒng)銀行用開源技術(shù)相對會(huì)比較謹(jǐn)慎。傳統(tǒng)銀行對開源技術(shù)應(yīng)用的廣度跟互聯(lián)網(wǎng)銀行不太一樣,因?yàn)榛ヂ?lián)網(wǎng)銀行要保持獨(dú)特的創(chuàng)新性和敏捷性。

對比金融科技公司,按照以前的標(biāo)準(zhǔn)來說,金融科技公司開源應(yīng)用會(huì)更粗放一些,在開源治理方面可能不會(huì)那么重視。而互聯(lián)網(wǎng)銀行對安全性、合規(guī)性的要求會(huì)比他們更高,金融科技公司未來慢慢也會(huì)重視加強(qiáng)監(jiān)管,會(huì)越來越靠近互聯(lián)網(wǎng)銀行的要求。

NBD:從戰(zhàn)略層面看,微眾銀行對待開源的愿景是什么樣的?對自身有什么樣的定位?

鐘燕清:從大環(huán)境來看,開源已經(jīng)成為一種趨勢。微眾銀行希望能夠成為金融科技領(lǐng)域開源生態(tài)建設(shè)的倡導(dǎo)者。

定位上,一方面微眾銀行是開源的受益者;微眾銀行很早以前就已經(jīng)深刻地體會(huì)到開源的價(jià)值。比如我們通過采用開源技術(shù)建立起自主可控的分布式銀行核心系統(tǒng),這與國內(nèi)的大部分金融機(jī)構(gòu)有很大的區(qū)別。

另一方面微眾銀行也希望能成為行業(yè)貢獻(xiàn)者。微眾銀行從開源的使用到整個(gè)社區(qū)的參與,到社區(qū)的貢獻(xiàn),再到社區(qū)有比較多的知名項(xiàng)目,最后變成開源社區(qū)的引領(lǐng)者,這是我們自身想在開源方面的發(fā)展路徑。舉個(gè)現(xiàn)實(shí)的例子,去年,微眾銀行開源的大數(shù)據(jù)計(jì)算中間件項(xiàng)目Linkis和事件網(wǎng)格項(xiàng)目Eventmesh,成為Apache軟件基金會(huì)孵化項(xiàng)目,在Apache 軟件基金會(huì)2021 年新增的5個(gè)孵化項(xiàng)目中獨(dú)占2個(gè),一定程度說明了世界主流的開源社區(qū)對我們開源項(xiàng)目的認(rèn)可。

開源治理最重要的部分是使用的治理

NBD:能詳細(xì)介紹下微眾銀行的開源治理體系嗎?

鐘燕清:開源治理體系是站在企業(yè)角度怎么去擁抱開源。微眾銀行建立了完備的開源治理體系,在確保安全合規(guī)的同時(shí),通過不斷優(yōu)化內(nèi)部體系建設(shè),從組織、制度、流程、工具等多方面保障使用開源及開源輸出風(fēng)險(xiǎn)可控。在組織保障方面,微眾銀行建立了公司級別的開源治理組織架構(gòu)體系,包含合規(guī)、安全、知識(shí)產(chǎn)權(quán)、宣傳等,明確各方職責(zé),確保高效協(xié)同。在制度保障方面,微眾銀行發(fā)布了一系列與開源相關(guān)的管理規(guī)范,包括開源軟件使用辦法、軟件開源管理辦法、開源激勵(lì)體系等。在流程與工具保障方面,微眾銀行引入了第三方管理工具,確保引入及對外的開源組件和代碼安全合規(guī)以及與DevOps深度集成,建立DevSecOps體系。

NBD:在開源治理過程中,引入了第三方管理工具,具體有什么作用?會(huì)不會(huì)帶來新的風(fēng)險(xiǎn)?

鐘燕清:對于絕大部分企業(yè)而言,開源治理最重要的部分其實(shí)是使用的治理。

開源技術(shù)如何在公司內(nèi)部很好的使用,有幾個(gè)非常關(guān)鍵的點(diǎn)。第一,安全上的控制。因?yàn)殚_源軟件迭代更新很快,客觀來說只要是軟件都會(huì)有漏洞,或者說有信息安全風(fēng)險(xiǎn);第二,合規(guī)上的風(fēng)險(xiǎn)。所有開源軟件都是基于開源許可證的,相當(dāng)于一個(gè)協(xié)議,每個(gè)協(xié)議都有自身的規(guī)范,有的協(xié)議產(chǎn)生了沖突,就會(huì)對合規(guī)產(chǎn)生影響。

我們所說的管理工具,能夠更好識(shí)別這些開源技術(shù),把開源治理的漏洞、合規(guī)問題等非常結(jié)構(gòu)化的記錄起來,能夠讓我們快速看清楚我們使用開源的狀況。同時(shí),因?yàn)榈谌焦芾砉ぞ哂写罅康闹R(shí)庫,擁有風(fēng)險(xiǎn)判斷能力,在業(yè)界是專業(yè)的工具。

NBD:在開源治理過程中,如何發(fā)現(xiàn)、識(shí)別問題?

鐘燕清:首先,要有基本的開源治理核心平臺(tái),這個(gè)平臺(tái)能夠判斷企業(yè)用了哪些開源軟件、開源技術(shù),以及相應(yīng)的名稱、版本、社區(qū)的基本發(fā)展等信息。

其次,這些信息是動(dòng)態(tài)變化、隨時(shí)更新的,企業(yè)要有一定的手段去控制這些信息,這需要和企業(yè)自身的開發(fā)流程去做比較緊密的配合才可以實(shí)現(xiàn)。不然很可能變成僅僅是管理上的規(guī)范或要求,就是讓人去跟蹤登記,靠人反饋等,時(shí)效和準(zhǔn)確性都沒有保障。

擴(kuò)展開源理念,倡導(dǎo)更“開放”銀行

NBD:目前來看,開源治理的痛點(diǎn)和難點(diǎn)在哪些方面?

鐘燕清:第一,微觀層面看,開源治理的難點(diǎn)本質(zhì)是技術(shù)的影響力、創(chuàng)新能力,還有對技術(shù)的掌握深度其實(shí)也是有門檻的,開源并不是隨便哪個(gè)技術(shù)社區(qū)就能認(rèn)的。第二,從意愿上來講,如果沒有足夠的技術(shù)能力,沒有一定的意愿,很有可能永遠(yuǎn)是使用者,這個(gè)是定位問題,也是一個(gè)選擇性的問題。

NBD:作為開源技術(shù)的受益者,微眾銀行也倡導(dǎo)“開放銀行”,您覺得開源技術(shù)和開放銀行之間是一種怎樣的關(guān)系?

鐘燕清:區(qū)別于傳統(tǒng)意義上的開放銀行,微眾對開放銀行有一套自己的理論,在傳統(tǒng)的開放銀行上,我們做了很多擴(kuò)展。微眾銀行提出“3O”理論,也即“三個(gè)開放”。

第一個(gè)就是開放平臺(tái),傳統(tǒng)意義上的開放銀行;

第二個(gè)叫開放創(chuàng)新,這里面更多是技術(shù)驅(qū)動(dòng),核心就是開源。這也是我們?yōu)槭裁匆ゲ粩嗉哟箝_放,因?yàn)槲覀冊诩夹g(shù)能力上已經(jīng)有一定的積累,希望通過開源的方式把我們的部分積累普惠到合作伙伴或者是社區(qū),大家也可以用到同樣的技術(shù),然后共同建立一個(gè)開源技術(shù)、開源社區(qū)。

第三個(gè)就是開放協(xié)作,我們提出了分布式商業(yè)體系,不希望把銀行變成一個(gè)核心,而是把銀行置于中間位置,提供金融服務(wù)的節(jié)點(diǎn)。

NBD:業(yè)內(nèi)如何看待《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》?在開源方面,微眾銀行是怎么應(yīng)對的?

鐘燕清:微眾銀行結(jié)合自身情況做了一些判斷,我們過去幾年的發(fā)展路徑和上述意見非常契合,我們幾乎所有的活動(dòng)都是按照意見的指導(dǎo)進(jìn)行的。

提出金融行業(yè)和開源的關(guān)系,大家怎么從行業(yè)角度去定位自己和開源,四個(gè)原則分別是堅(jiān)持安全可控、堅(jiān)持合規(guī)使用、堅(jiān)持問題導(dǎo)向、堅(jiān)持開放創(chuàng)新。以上都是對企業(yè)內(nèi)部開源治理提出的各種要求,首先是安全問題,業(yè)內(nèi)一直以來都比較重視安全問題,但是并不是從開源治理的角度出發(fā),更多是從信息安全角度去推動(dòng)。

第二,合規(guī)也提到相當(dāng)?shù)母叨。在這一塊微眾銀行提出要建立實(shí)現(xiàn)準(zhǔn)、快、狠的管理平臺(tái),企業(yè)要足夠快、非常精準(zhǔn)的知道自身開源使用的資產(chǎn)狀況,這樣才能更好面對各種問題或風(fēng)險(xiǎn)。

搜索

復(fù)制

封面圖片來源:攝圖網(wǎng)-500642519

(責(zé)任編輯:岳權(quán)利 HN152)
看全文
寫評論已有條評論跟帖用戶自律公約
提 交還可輸入500

最新評論

查看剩下100條評論

熱門閱讀

    和訊特稿

      推薦閱讀