前言:2024年10月17日-19日,由ITSS分会指导,ITSS数据中心运营管理组(DCMG)、双态IT论坛(BOA)主办,ITSS媒体组协办的“2024第十三届双态IT用户大会”于无锡拈花湾召开,大会举办“金融IT:十四五回顾与十五五思考”“金融行业数据管理”两大主题会议,五大专题研讨会。
10月18日下午,2024第十三届双态IT用户大会——开源软件治理专题研讨会圆满结束,本场研讨会由海通证券举办,海通证券数据中心网络与信息安全部负责人马冰主持本场会议。
随着开源软件生态持续繁荣,开源软件治理成为助力企业数字化转型的重要环节。开源软件在创新性、成本效益及社区支持上具有显著优势,但其复杂性、安全性及合规性对治理水平提出了更高要求。
本次开源治理研讨会,邀请国家工业信息安全发展研究中心软件所、海通证券、东吴证券、北京国家金融科技认证中心的专家介绍SBOM服务体系,分享SBOM平台项目实践、开源治理与DevOps结合实践案例,共同探索开源治理的新路径。
01 SBOM政策、标准和体系建设介绍
——国家工业信息安全发展研究中心软件所产业发展部主任姚珊
国家工业信息安全发展研究中心软件所产业发展部主任姚珊从政策研究、标准研制情况、体系建设和下一步工作计划。
软件开发项目的日益复杂化,软件物料清单(SBOM)作为项目管理和配置管理的重要工具,其规范化和标准化要求日益紧迫。由于目前我国行业内缺乏统一的SBOM标准,导致软件开发过程中易出现配置混乱、版本管理困难、质量不一致等问题。因此,制定统一的《软件物料清单构成和要求》标准势在必行。下一步,国家工业信息安全发展研究中心软件所将以SBOM标准为基础,推动建设我国SBOM生态体系。
02 海通证券开源社区软件物料清单(SBOM)平台项目实践
——海通证券数据中心网络与信息安全部赵志英
海通证券数据中心网络与信息安全部赵志英从项目背景、建设思路及建设成果三方面介绍了海通证券开源社区软件物料清单(SBOM)平台项目的情况。
基于目前软件物料清单体系建设现状与存在问题,国家工业信息安全发展研究中心牵头开展了开源社区软件物料清单(SBOM)平台项目,12家单位共同完成项目建设,其中海通证券承担平台在证券行业的推广子任务。项目建设思路是结合工信部SBOM平台重点项目要求,利用SBOM管理模块与工具强化安全建设,重点增强海通证券开源治理能力,以SBOM为基础支撑各平台运转,通过流程设置安全卡点,提升海通证券软件供应链安全在开发侧的管控水平,推动安全建设逐步左移。最后,从SBOM能力增强、开源治理增强、软件供应链增强、SBOM服务体系四部分介绍了项目的建设成果。
03 开源治理和DevOps平台结合实践
——东吴证券高级架构师李豪奇
东吴证券高级架构师李豪奇介绍了东吴证券Devops系统的现状、开源治理落地实践中遇到的问题和具体落地的内容和方法,以及平台建设成果和后续规划。
东吴证券Devops平台是贯通IT研发域,连接所有角色,打造从业务需求到应用系统上线及运维、运营的端到端一站式平台。其开源治理工作的探索与实践是基于该平台进行,很大程度上减小了项目的成本。东吴证券平台建设总体从统计分析、整合管理、收集数据三个层面从下而上进行。未来,东吴证券将从自动化、可视化、多样化、常态化方面加强建设,推动平台更好落地。
04 海通证券DevOps和开源治理实践
——海通证券软件开发中心软件平台开发部闫宇星
海通证券软件开发中心软件平台开发部闫宇星从建设历程、海通DevOps业务流程和实施路径、开源治理总体架构和实施路径、建设成果、场景展示等全方位介绍了海通证券的DevOps和开源治理的实践情况。
海通DevOps和开源治理建设一直秉承协同推进、相辅相成的规律。在标准与规范体系上,分别全面对标信通院DevOps能力成熟度模型、《金融机构开源技术应用管理能力成熟度模型》,以评促建。在工具平台层面,实现DevOps与开源治理全流程工具平台建设与打通。主要应用场景包括应用系统版本的开发、提测到生产上线的持续交付过程,以及集成代码扫描、SCA检测等质量控制手段,在经济、管理、风险防范等方面均取得成效。
05 金融开源治理标准及认证工作解读
——北京国家金融科技认证中心实验中心开源治理专家冯晓文
北京国家金融科技认证中心实验中心开源治理专家冯晓文介绍了开源治理的背景、现状、机遇与挑战等。
现在,开源的生态向着越来越好的阶段发展,使用深度、广度不断增加,据有关数据显示,开源软件在金融机构中已广泛应用和试用,使用率高达90%。促进科技创新的同时,面临技术、供应链、法律、管理、可用性等风险,开源的治理有待进一步加强。监管机构逐步重视开源管理,金融开源标准也逐步完善,形成了监管要求为指导、以行业标准为框架、以团体标准为操作指南的开源标准体系的建设思路。在开源治理阶段,国金认证从制度流程、工具平台、人才培养及开源意识等多方面帮助金融机构加强开源治理体系和能力建设,保障使用开源的风险可控。
开源软件治理专题研讨会旨在为大家提供交流分析的平台,促进行业对开源软件治理理念及意识的提升,推动开源软件治理工作的进一步发展。
