專訪微眾銀行開源治理辦公室負(fù)責(zé)人鐘燕清:開源治理最重要的部分是“使用的治理”
每日經(jīng)濟(jì)新聞
2022-06-12 16:22:59
◎?qū)τ诮^大部分企業(yè)而言�,開源治理最重要的部分其實(shí)是使用的治理。
◎作為互聯(lián)網(wǎng)銀行����,我們對技術(shù)的選擇是比較開放的,傳統(tǒng)銀行用開源技術(shù)相對會比較謹(jǐn)慎���。
每經(jīng)記者 潘婷 每經(jīng)編輯 陳星
近年來,開源技術(shù)被廣泛應(yīng)用于各種場景����,也是企業(yè)構(gòu)建信息系統(tǒng)的重要選擇,開源軟件的使用覆蓋了金融����、工業(yè)互聯(lián)網(wǎng)等行業(yè),為軟件研發(fā)與創(chuàng)新提供了源源不斷的動力�����,隨著開源技術(shù)的快速發(fā)展,“開源治理”也逐漸進(jìn)入企業(yè)的視野�����,成為開源領(lǐng)域的一大熱點(diǎn)話題��。
在金融行業(yè)����,想擁抱開源并不是一個純技術(shù)層面的挑戰(zhàn),對開源的有效管理��,也是評價一個金融機(jī)構(gòu)開源能力的重要指標(biāo)���,作為積極擁抱開源的重要參與者�,互聯(lián)網(wǎng)銀行在開源治理領(lǐng)域有著多年的實(shí)踐與創(chuàng)新�,過程中,也在積極探索以增強(qiáng)開源治理能力促進(jìn)更可控的開源技術(shù)創(chuàng)新���。
對于目前的金融行業(yè)而言���,開源治理的痛點(diǎn)和難點(diǎn)在哪些方面����?對比過去���,開源治理的側(cè)重點(diǎn)是否發(fā)生了改變��?互聯(lián)網(wǎng)銀行的開源治理和傳統(tǒng)商業(yè)銀行��、金融科技公司的差異體現(xiàn)在哪�����?從戰(zhàn)略層面看�,微眾銀行對待開源的愿景是什么樣的�����?對自身有什么樣的定位�?帶著一系列問題��,《每日經(jīng)濟(jì)新聞》(以下簡稱“NBD”)記者面訪了微眾銀行開源治理辦公室負(fù)責(zé)人鐘燕清���。
由于技術(shù)更多樣性���,互聯(lián)網(wǎng)銀行開源治理的挑戰(zhàn)更大
NBD:目前金融科技核心技術(shù)的開源治理發(fā)展路徑有哪些����?和過去5-10年相比�,目前開源治理的趨勢和側(cè)重點(diǎn)有何不同?
鐘燕清:從企業(yè)應(yīng)用或擁抱開源的路徑上來講��,階段還是非常清楚的�����,基本是經(jīng)歷使用����、參與、貢獻(xiàn)�����、領(lǐng)導(dǎo)這幾個階段和身份�����,很難跨越不同階段。在每個階段開源治理所關(guān)注的內(nèi)容和重點(diǎn)其實(shí)也是有所不同的��,比如說���,企業(yè)作為開源技術(shù)的使用者�����,針對如何更好使用開源技術(shù)就是這個階段開源治理的核心工作���。
第一個趨勢,最近幾年�,幾乎所有的公司,特別是金融公司都非常注重開源治理能力����,這也是我們最基礎(chǔ)的能力。整個行業(yè)來說�����,大家越來越開放��,或者說越來越依賴開源技術(shù)�����,這是當(dāng)前社會技術(shù)發(fā)展的特征����。整個金融行業(yè)其實(shí)都在利用開源技術(shù)去構(gòu)建很多系統(tǒng),比如銀行的分布式核心系統(tǒng)�。這是第一個“使用”的階段。到第二階段���,如果企業(yè)再去參與開源�����、貢獻(xiàn)社區(qū)��,去主導(dǎo)項(xiàng)目��,那就會涉及社區(qū)的治理體系����。
另外一個趨勢�,隨著大家對開源的認(rèn)知越來越清楚,除了安全之外�����,合規(guī)也是一個問題。這個問題目前還沒有那么突出���,但是隨著各種相關(guān)糾紛�、案件的出現(xiàn)���,大家對合規(guī)的重視程度也越來越高�。因?yàn)橛锌赡芷髽I(yè)引入了不合適的許可證軟件���,帶來聲譽(yù)��、知識產(chǎn)權(quán)�、商標(biāo)等一系列問題�。
NBD:互聯(lián)網(wǎng)銀行的開源治理和傳統(tǒng)商業(yè)銀行、金融科技公司的差異體現(xiàn)在哪���?
鐘燕清:對比傳統(tǒng)銀行���,互聯(lián)網(wǎng)銀行的技術(shù)多樣性會更強(qiáng)一點(diǎn)。作為互聯(lián)網(wǎng)銀行��,我們對技術(shù)的選擇是比較開放的,傳統(tǒng)銀行用開源技術(shù)相對會比較謹(jǐn)慎�。傳統(tǒng)銀行對開源技術(shù)應(yīng)用的廣度跟互聯(lián)網(wǎng)銀行不太一樣����,因?yàn)榛ヂ?lián)網(wǎng)銀行要保持獨(dú)特的創(chuàng)新性和敏捷性。
對比金融科技公司�,按照以前的標(biāo)準(zhǔn)來說,金融科技公司開源應(yīng)用會更粗放一些�,在開源治理方面可能不會那么重視。而互聯(lián)網(wǎng)銀行對安全性���、合規(guī)性的要求會比他們更高���,金融科技公司未來慢慢也會重視加強(qiáng)監(jiān)管,會越來越靠近互聯(lián)網(wǎng)銀行的要求���。
NBD:從戰(zhàn)略層面看����,微眾銀行對待開源的愿景是什么樣的����?對自身有什么樣的定位����?
鐘燕清:從大環(huán)境來看����,開源已經(jīng)成為一種趨勢。微眾銀行希望能夠成為金融科技領(lǐng)域開源生態(tài)建設(shè)的倡導(dǎo)者����。
定位上,一方面微眾銀行是開源的受益者�;微眾銀行很早以前就已經(jīng)深刻地體會到開源的價值。比如我們通過采用開源技術(shù)建立起自主可控的分布式銀行核心系統(tǒng)�����,這與國內(nèi)的大部分金融機(jī)構(gòu)有很大的區(qū)別�。
另一方面微眾銀行也希望能成為行業(yè)貢獻(xiàn)者。微眾銀行從開源的使用到整個社區(qū)的參與�,到社區(qū)的貢獻(xiàn),再到社區(qū)有比較多的知名項(xiàng)目�,最后變成開源社區(qū)的引領(lǐng)者,這是我們自身想在開源方面的發(fā)展路徑����。舉個現(xiàn)實(shí)的例子�����,去年����,微眾銀行開源的大數(shù)據(jù)計(jì)算中間件項(xiàng)目Linkis和事件網(wǎng)格項(xiàng)目Eventmesh�,成為Apache軟件基金會孵化項(xiàng)目�,在Apache 軟件基金會2021 年新增的5個孵化項(xiàng)目中獨(dú)占2個,一定程度說明了世界主流的開源社區(qū)對我們開源項(xiàng)目的認(rèn)可����。
開源治理最重要的部分是使用的治理
NBD:能詳細(xì)介紹下微眾銀行的開源治理體系嗎?
鐘燕清:開源治理體系是站在企業(yè)角度怎么去擁抱開源�。微眾銀行建立了完備的開源治理體系,在確保安全合規(guī)的同時��,通過不斷優(yōu)化內(nèi)部體系建設(shè)���,從組織�����、制度�����、流程��、工具等多方面保障使用開源及開源輸出風(fēng)險可控��。在組織保障方面��,微眾銀行建立了公司級別的開源治理組織架構(gòu)體系���,包含合規(guī)����、安全����、知識產(chǎn)權(quán)、宣傳等�����,明確各方職責(zé)���,確保高效協(xié)同����。在制度保障方面,微眾銀行發(fā)布了一系列與開源相關(guān)的管理規(guī)范��,包括開源軟件使用辦法�����、軟件開源管理辦法���、開源激勵體系等。在流程與工具保障方面����,微眾銀行引入了第三方管理工具,確保引入及對外的開源組件和代碼安全合規(guī)以及與DevOps深度集成�����,建立DevSecOps體系���。
NBD:在開源治理過程中����,引入了第三方管理工具,具體有什么作用��?會不會帶來新的風(fēng)險�����?
鐘燕清:對于絕大部分企業(yè)而言�����,開源治理最重要的部分其實(shí)是使用的治理�。
開源技術(shù)如何在公司內(nèi)部很好的使用,有幾個非常關(guān)鍵的點(diǎn)��。第一�����,安全上的控制����。因?yàn)殚_源軟件迭代更新很快,客觀來說只要是軟件都會有漏洞�����,或者說有信息安全風(fēng)險;第二�,合規(guī)上的風(fēng)險。所有開源軟件都是基于開源許可證的��,相當(dāng)于一個協(xié)議���,每個協(xié)議都有自身的規(guī)范�,有的協(xié)議產(chǎn)生了沖突�,就會對合規(guī)產(chǎn)生影響。
我們所說的管理工具���,能夠更好識別這些開源技術(shù)�,把開源治理的漏洞�����、合規(guī)問題等非常結(jié)構(gòu)化的記錄起來�,能夠讓我們快速看清楚我們使用開源的狀況����。同時,因?yàn)榈谌焦芾砉ぞ哂写罅康闹R庫,擁有風(fēng)險判斷能力�����,在業(yè)界是專業(yè)的工具���。
NBD:在開源治理過程中��,如何發(fā)現(xiàn)��、識別問題�?
鐘燕清:首先����,要有基本的開源治理核心平臺,這個平臺能夠判斷企業(yè)用了哪些開源軟件����、開源技術(shù),以及相應(yīng)的名稱����、版本、社區(qū)的基本發(fā)展等信息��。
其次,這些信息是動態(tài)變化���、隨時更新的�,企業(yè)要有一定的手段去控制這些信息���,這需要和企業(yè)自身的開發(fā)流程去做比較緊密的配合才可以實(shí)現(xiàn)�。不然很可能變成僅僅是管理上的規(guī)范或要求��,就是讓人去跟蹤登記�,靠人反饋等,時效和準(zhǔn)確性都沒有保障�。
擴(kuò)展開源理念,倡導(dǎo)更“開放”銀行
NBD:目前來看����,開源治理的痛點(diǎn)和難點(diǎn)在哪些方面?
鐘燕清:第一����,微觀層面看����,開源治理的難點(diǎn)本質(zhì)是技術(shù)的影響力�、創(chuàng)新能力���,還有對技術(shù)的掌握深度其實(shí)也是有門檻的����,開源并不是隨便哪個技術(shù)社區(qū)就能認(rèn)的�。第二,從意愿上來講�����,如果沒有足夠的技術(shù)能力����,沒有一定的意愿,很有可能永遠(yuǎn)是使用者���,這個是定位問題�����,也是一個選擇性的問題���。
NBD:作為開源技術(shù)的受益者���,微眾銀行也倡導(dǎo)“開放銀行”,您覺得開源技術(shù)和開放銀行之間是一種怎樣的關(guān)系�����?
鐘燕清:區(qū)別于傳統(tǒng)意義上的開放銀行�,微眾對開放銀行有一套自己的理論,在傳統(tǒng)的開放銀行上���,我們做了很多擴(kuò)展���。微眾銀行提出“3O”理論,也即“三個開放”�����。
第一個就是開放平臺���,傳統(tǒng)意義上的開放銀行�����;
第二個叫開放創(chuàng)新����,這里面更多是技術(shù)驅(qū)動��,核心就是開源�。這也是我們?yōu)槭裁匆ゲ粩嗉哟箝_放,因?yàn)槲覀冊诩夹g(shù)能力上已經(jīng)有一定的積累���,希望通過開源的方式把我們的部分積累普惠到合作伙伴或者是社區(qū)�,大家也可以用到同樣的技術(shù)����,然后共同建立一個開源技術(shù)、開源社區(qū)��。
第三個就是開放協(xié)作�,我們提出了分布式商業(yè)體系,不希望把銀行變成一個核心�,而是把銀行置于中間位置,提供金融服務(wù)的節(jié)點(diǎn)���。
NBD:業(yè)內(nèi)如何看待《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》�����?在開源方面��,微眾銀行是怎么應(yīng)對的�����?
鐘燕清:微眾銀行結(jié)合自身情況做了一些判斷�,我們過去幾年的發(fā)展路徑和上述意見非常契合,我們幾乎所有的活動都是按照意見的指導(dǎo)進(jìn)行的��。
提出金融行業(yè)和開源的關(guān)系�,大家怎么從行業(yè)角度去定位自己和開源,四個原則分別是堅(jiān)持安全可控���、堅(jiān)持合規(guī)使用���、堅(jiān)持問題導(dǎo)向、堅(jiān)持開放創(chuàng)新���。以上都是對企業(yè)內(nèi)部開源治理提出的各種要求��,首先是安全問題�����,業(yè)內(nèi)一直以來都比較重視安全問題�����,但是并不是從開源治理的角度出發(fā)���,更多是從信息安全角度去推動。
第二����,合規(guī)也提到相當(dāng)?shù)母叨取T谶@一塊微眾銀行提出要建立實(shí)現(xiàn)準(zhǔn)��、快�����、狠的管理平臺�����,企業(yè)要足夠快���、非常精準(zhǔn)的知道自身開源使用的資產(chǎn)狀況�����,這樣才能更好面對各種問題或風(fēng)險��。
封面圖片來源:攝圖網(wǎng)-500642519
