專訪微眾銀行開(kāi)源治理辦公室負(fù)責(zé)人鐘燕清:開(kāi)源治理最重要的部分是“使用的治理”

2022-06-12 16:22:59 每日經(jīng)濟(jì)新聞 

每經(jīng)記者 潘婷 每經(jīng)編輯 陳星

近年來(lái),開(kāi)源技術(shù)被廣泛應(yīng)用于各種場(chǎng)景,也是企業(yè)構(gòu)建信息系統(tǒng)的重要選擇,開(kāi)源軟件的使用覆蓋了金融、工業(yè)互聯(lián)網(wǎng)等行業(yè),為軟件研發(fā)與創(chuàng)新提供了源源不斷的動(dòng)力,隨著開(kāi)源技術(shù)的快速發(fā)展,“開(kāi)源治理”也逐漸進(jìn)入企業(yè)的視野,成為開(kāi)源領(lǐng)域的一大熱點(diǎn)話題。

金融行業(yè),想擁抱開(kāi)源并不是一個(gè)純技術(shù)層面的挑戰(zhàn),對(duì)開(kāi)源的有效管理,也是評(píng)價(jià)一個(gè)金融機(jī)構(gòu)開(kāi)源能力的重要指標(biāo),作為積極擁抱開(kāi)源的重要參與者,互聯(lián)網(wǎng)銀行在開(kāi)源治理領(lǐng)域有著多年的實(shí)踐與創(chuàng)新,過(guò)程中,也在積極探索以增強(qiáng)開(kāi)源治理能力促進(jìn)更可控的開(kāi)源技術(shù)創(chuàng)新。

對(duì)于目前的金融行業(yè)而言,開(kāi)源治理的痛點(diǎn)和難點(diǎn)在哪些方面?對(duì)比過(guò)去,開(kāi)源治理的側(cè)重點(diǎn)是否發(fā)生了改變?互聯(lián)網(wǎng)銀行的開(kāi)源治理和傳統(tǒng)商業(yè)銀行、金融科技公司的差異體現(xiàn)在哪?從戰(zhàn)略層面看,微眾銀行對(duì)待開(kāi)源的愿景是什么樣的?對(duì)自身有什么樣的定位?帶著一系列問(wèn)題,《每日經(jīng)濟(jì)新聞》(以下簡(jiǎn)稱“NBD”)記者面訪了微眾銀行開(kāi)源治理辦公室負(fù)責(zé)人鐘燕清。

由于技術(shù)更多樣性,互聯(lián)網(wǎng)銀行開(kāi)源治理的挑戰(zhàn)更大

NBD:目前金融科技核心技術(shù)的開(kāi)源治理發(fā)展路徑有哪些?和過(guò)去5-10年相比,目前開(kāi)源治理的趨勢(shì)和側(cè)重點(diǎn)有何不同?

鐘燕清:從企業(yè)應(yīng)用或擁抱開(kāi)源的路徑上來(lái)講,階段還是非常清楚的,基本是經(jīng)歷使用、參與、貢獻(xiàn)、領(lǐng)導(dǎo)這幾個(gè)階段和身份,很難跨越不同階段。在每個(gè)階段開(kāi)源治理所關(guān)注的內(nèi)容和重點(diǎn)其實(shí)也是有所不同的,比如說(shuō),企業(yè)作為開(kāi)源技術(shù)的使用者,針對(duì)如何更好使用開(kāi)源技術(shù)就是這個(gè)階段開(kāi)源治理的核心工作。

第一個(gè)趨勢(shì),最近幾年,幾乎所有的公司,特別是金融公司都非常注重開(kāi)源治理能力,這也是我們最基礎(chǔ)的能力。整個(gè)行業(yè)來(lái)說(shuō),大家越來(lái)越開(kāi)放,或者說(shuō)越來(lái)越依賴開(kāi)源技術(shù),這是當(dāng)前社會(huì)技術(shù)發(fā)展的特征。整個(gè)金融行業(yè)其實(shí)都在利用開(kāi)源技術(shù)去構(gòu)建很多系統(tǒng),比如銀行的分布式核心系統(tǒng)。這是第一個(gè)“使用”的階段。到第二階段,如果企業(yè)再去參與開(kāi)源、貢獻(xiàn)社區(qū),去主導(dǎo)項(xiàng)目,那就會(huì)涉及社區(qū)的治理體系。

另外一個(gè)趨勢(shì),隨著大家對(duì)開(kāi)源的認(rèn)知越來(lái)越清楚,除了安全之外,合規(guī)也是一個(gè)問(wèn)題。這個(gè)問(wèn)題目前還沒(méi)有那么突出,但是隨著各種相關(guān)糾紛、案件的出現(xiàn),大家對(duì)合規(guī)的重視程度也越來(lái)越高。因?yàn)橛锌赡芷髽I(yè)引入了不合適的許可證軟件,帶來(lái)聲譽(yù)、知識(shí)產(chǎn)權(quán)、商標(biāo)等一系列問(wèn)題。

NBD:互聯(lián)網(wǎng)銀行的開(kāi)源治理和傳統(tǒng)商業(yè)銀行、金融科技公司的差異體現(xiàn)在哪?

鐘燕清:對(duì)比傳統(tǒng)銀行,互聯(lián)網(wǎng)銀行的技術(shù)多樣性會(huì)更強(qiáng)一點(diǎn)。作為互聯(lián)網(wǎng)銀行,我們對(duì)技術(shù)的選擇是比較開(kāi)放的,傳統(tǒng)銀行用開(kāi)源技術(shù)相對(duì)會(huì)比較謹(jǐn)慎。傳統(tǒng)銀行對(duì)開(kāi)源技術(shù)應(yīng)用的廣度跟互聯(lián)網(wǎng)銀行不太一樣,因?yàn)榛ヂ?lián)網(wǎng)銀行要保持獨(dú)特的創(chuàng)新性和敏捷性。

對(duì)比金融科技公司,按照以前的標(biāo)準(zhǔn)來(lái)說(shuō),金融科技公司開(kāi)源應(yīng)用會(huì)更粗放一些,在開(kāi)源治理方面可能不會(huì)那么重視。而互聯(lián)網(wǎng)銀行對(duì)安全性、合規(guī)性的要求會(huì)比他們更高,金融科技公司未來(lái)慢慢也會(huì)重視加強(qiáng)監(jiān)管,會(huì)越來(lái)越靠近互聯(lián)網(wǎng)銀行的要求。

NBD:從戰(zhàn)略層面看,微眾銀行對(duì)待開(kāi)源的愿景是什么樣的?對(duì)自身有什么樣的定位?

鐘燕清:從大環(huán)境來(lái)看,開(kāi)源已經(jīng)成為一種趨勢(shì)。微眾銀行希望能夠成為金融科技領(lǐng)域開(kāi)源生態(tài)建設(shè)的倡導(dǎo)者。

定位上,一方面微眾銀行是開(kāi)源的受益者;微眾銀行很早以前就已經(jīng)深刻地體會(huì)到開(kāi)源的價(jià)值。比如我們通過(guò)采用開(kāi)源技術(shù)建立起自主可控的分布式銀行核心系統(tǒng),這與國(guó)內(nèi)的大部分金融機(jī)構(gòu)有很大的區(qū)別。

另一方面微眾銀行也希望能成為行業(yè)貢獻(xiàn)者。微眾銀行從開(kāi)源的使用到整個(gè)社區(qū)的參與,到社區(qū)的貢獻(xiàn),再到社區(qū)有比較多的知名項(xiàng)目,最后變成開(kāi)源社區(qū)的引領(lǐng)者,這是我們自身想在開(kāi)源方面的發(fā)展路徑。舉個(gè)現(xiàn)實(shí)的例子,去年,微眾銀行開(kāi)源的大數(shù)據(jù)計(jì)算中間件項(xiàng)目Linkis和事件網(wǎng)格項(xiàng)目Eventmesh,成為Apache軟件基金會(huì)孵化項(xiàng)目,在Apache 軟件基金會(huì)2021 年新增的5個(gè)孵化項(xiàng)目中獨(dú)占2個(gè),一定程度說(shuō)明了世界主流的開(kāi)源社區(qū)對(duì)我們開(kāi)源項(xiàng)目的認(rèn)可。

開(kāi)源治理最重要的部分是使用的治理

NBD:能詳細(xì)介紹下微眾銀行的開(kāi)源治理體系嗎?

鐘燕清:開(kāi)源治理體系是站在企業(yè)角度怎么去擁抱開(kāi)源。微眾銀行建立了完備的開(kāi)源治理體系,在確保安全合規(guī)的同時(shí),通過(guò)不斷優(yōu)化內(nèi)部體系建設(shè),從組織、制度、流程、工具等多方面保障使用開(kāi)源及開(kāi)源輸出風(fēng)險(xiǎn)可控。在組織保障方面,微眾銀行建立了公司級(jí)別的開(kāi)源治理組織架構(gòu)體系,包含合規(guī)、安全、知識(shí)產(chǎn)權(quán)、宣傳等,明確各方職責(zé),確保高效協(xié)同。在制度保障方面,微眾銀行發(fā)布了一系列與開(kāi)源相關(guān)的管理規(guī)范,包括開(kāi)源軟件使用辦法、軟件開(kāi)源管理辦法、開(kāi)源激勵(lì)體系等。在流程與工具保障方面,微眾銀行引入了第三方管理工具,確保引入及對(duì)外的開(kāi)源組件和代碼安全合規(guī)以及與DevOps深度集成,建立DevSecOps體系。

NBD:在開(kāi)源治理過(guò)程中,引入了第三方管理工具,具體有什么作用?會(huì)不會(huì)帶來(lái)新的風(fēng)險(xiǎn)?

鐘燕清:對(duì)于絕大部分企業(yè)而言,開(kāi)源治理最重要的部分其實(shí)是使用的治理。

開(kāi)源技術(shù)如何在公司內(nèi)部很好的使用,有幾個(gè)非常關(guān)鍵的點(diǎn)。第一,安全上的控制。因?yàn)殚_(kāi)源軟件迭代更新很快,客觀來(lái)說(shuō)只要是軟件都會(huì)有漏洞,或者說(shuō)有信息安全風(fēng)險(xiǎn);第二,合規(guī)上的風(fēng)險(xiǎn)。所有開(kāi)源軟件都是基于開(kāi)源許可證的,相當(dāng)于一個(gè)協(xié)議,每個(gè)協(xié)議都有自身的規(guī)范,有的協(xié)議產(chǎn)生了沖突,就會(huì)對(duì)合規(guī)產(chǎn)生影響。

我們所說(shuō)的管理工具,能夠更好識(shí)別這些開(kāi)源技術(shù),把開(kāi)源治理的漏洞、合規(guī)問(wèn)題等非常結(jié)構(gòu)化的記錄起來(lái),能夠讓我們快速看清楚我們使用開(kāi)源的狀況。同時(shí),因?yàn)榈谌焦芾砉ぞ哂写罅康闹R(shí)庫(kù),擁有風(fēng)險(xiǎn)判斷能力,在業(yè)界是專業(yè)的工具。

NBD:在開(kāi)源治理過(guò)程中,如何發(fā)現(xiàn)、識(shí)別問(wèn)題?

鐘燕清:首先,要有基本的開(kāi)源治理核心平臺(tái),這個(gè)平臺(tái)能夠判斷企業(yè)用了哪些開(kāi)源軟件、開(kāi)源技術(shù),以及相應(yīng)的名稱、版本、社區(qū)的基本發(fā)展等信息。

其次,這些信息是動(dòng)態(tài)變化、隨時(shí)更新的,企業(yè)要有一定的手段去控制這些信息,這需要和企業(yè)自身的開(kāi)發(fā)流程去做比較緊密的配合才可以實(shí)現(xiàn)。不然很可能變成僅僅是管理上的規(guī)范或要求,就是讓人去跟蹤登記,靠人反饋等,時(shí)效和準(zhǔn)確性都沒(méi)有保障。

擴(kuò)展開(kāi)源理念,倡導(dǎo)更“開(kāi)放”銀行

NBD:目前來(lái)看,開(kāi)源治理的痛點(diǎn)和難點(diǎn)在哪些方面?

鐘燕清:第一,微觀層面看,開(kāi)源治理的難點(diǎn)本質(zhì)是技術(shù)的影響力、創(chuàng)新能力,還有對(duì)技術(shù)的掌握深度其實(shí)也是有門檻的,開(kāi)源并不是隨便哪個(gè)技術(shù)社區(qū)就能認(rèn)的。第二,從意愿上來(lái)講,如果沒(méi)有足夠的技術(shù)能力,沒(méi)有一定的意愿,很有可能永遠(yuǎn)是使用者,這個(gè)是定位問(wèn)題,也是一個(gè)選擇性的問(wèn)題。

NBD:作為開(kāi)源技術(shù)的受益者,微眾銀行也倡導(dǎo)“開(kāi)放銀行”,您覺(jué)得開(kāi)源技術(shù)和開(kāi)放銀行之間是一種怎樣的關(guān)系?

鐘燕清:區(qū)別于傳統(tǒng)意義上的開(kāi)放銀行,微眾對(duì)開(kāi)放銀行有一套自己的理論,在傳統(tǒng)的開(kāi)放銀行上,我們做了很多擴(kuò)展。微眾銀行提出“3O”理論,也即“三個(gè)開(kāi)放”。

第一個(gè)就是開(kāi)放平臺(tái),傳統(tǒng)意義上的開(kāi)放銀行;

第二個(gè)叫開(kāi)放創(chuàng)新,這里面更多是技術(shù)驅(qū)動(dòng),核心就是開(kāi)源。這也是我們?yōu)槭裁匆ゲ粩嗉哟箝_(kāi)放,因?yàn)槲覀冊(cè)诩夹g(shù)能力上已經(jīng)有一定的積累,希望通過(guò)開(kāi)源的方式把我們的部分積累普惠到合作伙伴或者是社區(qū),大家也可以用到同樣的技術(shù),然后共同建立一個(gè)開(kāi)源技術(shù)、開(kāi)源社區(qū)。

第三個(gè)就是開(kāi)放協(xié)作,我們提出了分布式商業(yè)體系,不希望把銀行變成一個(gè)核心,而是把銀行置于中間位置,提供金融服務(wù)的節(jié)點(diǎn)。

NBD:業(yè)內(nèi)如何看待《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》?在開(kāi)源方面,微眾銀行是怎么應(yīng)對(duì)的?

鐘燕清:微眾銀行結(jié)合自身情況做了一些判斷,我們過(guò)去幾年的發(fā)展路徑和上述意見(jiàn)非常契合,我們幾乎所有的活動(dòng)都是按照意見(jiàn)的指導(dǎo)進(jìn)行的。

提出金融行業(yè)和開(kāi)源的關(guān)系,大家怎么從行業(yè)角度去定位自己和開(kāi)源,四個(gè)原則分別是堅(jiān)持安全可控、堅(jiān)持合規(guī)使用、堅(jiān)持問(wèn)題導(dǎo)向、堅(jiān)持開(kāi)放創(chuàng)新。以上都是對(duì)企業(yè)內(nèi)部開(kāi)源治理提出的各種要求,首先是安全問(wèn)題,業(yè)內(nèi)一直以來(lái)都比較重視安全問(wèn)題,但是并不是從開(kāi)源治理的角度出發(fā),更多是從信息安全角度去推動(dòng)。

第二,合規(guī)也提到相當(dāng)?shù)母叨。在這一塊微眾銀行提出要建立實(shí)現(xiàn)準(zhǔn)、快、狠的管理平臺(tái),企業(yè)要足夠快、非常精準(zhǔn)的知道自身開(kāi)源使用的資產(chǎn)狀況,這樣才能更好面對(duì)各種問(wèn)題或風(fēng)險(xiǎn)。

搜索

復(fù)制

封面圖片來(lái)源:攝圖網(wǎng)-500642519

(責(zé)任編輯:岳權(quán)利 HN152)
看全文
寫評(píng)論已有條評(píng)論跟帖用戶自律公約
提 交還可輸入500

最新評(píng)論

查看剩下100條評(píng)論

熱門閱讀

    和訊特稿

      推薦閱讀