2019云计算开源产业大会丨杨欣捷：浦发银行开源技术治理体系和实践

我们首先有一个开源决策团队，这是最高决策机构，下面有一个开源治理团队，这个团队一般情况下在银行是没有的，等于是为了这件事情生出来的一个团队，主要是开源治理执行机构。我们目前由创新中心作为主体来做，后续会根据部门内部划分职责到具体的常态化处置。

专项团队分了技术专业团队、法务团队、安全团队和运维团队。法务团队是我们需要补强的一个地方。

虚拟团队开展工作会遇到一个问题，我们把这些虚拟团队最重要落到实体团队中去，除了开源治理团队由创新中心来做，开源安全团队由安全内控处来做，开源专业团队分了八种不同软件类型，分到相应不同的处室里面去，现在的做法是架构部门、操作系统等比较基础的平台，大数据、应用中心是大数据类，开发中心是开发框架类等。我们也有相应内部管理制度，发布了开源软件的应用管理流程和开源软件技术管理要求。

    流程体系。

现在主要在跑的是引入、使用和漏洞管理。不同的单位可能有不同的做法，我们是属于宽引入、严使用的架构，开源软件的引入只要确定没有严重的安全漏洞或这个版本明显已经没有人维护了，大部分都是允许引入的。具体引入以后，哪个应用上使用哪种开源软件，是根据应用特点来做，这和以前商业软件做法不太一样，因为商业软件以前引入都有一个招标的商务过程，有一个架构收敛的需求，但从各种互联网公司经验来看，已经很少有吃遍天下的技术软件，肯定根据不同的应用场景选择不同的软件来应对，所以我们认为引入环节在没有场景情况下不适合做选型，一定要在具体应用下才适合做选型。

开源软件评估评价体系。

借助了E-OSMM模型以及华为开源治理成功经验来做这个事情。实际操作中我们一直在迭代、更新，发现有些并不能落地，就去掉了，一些我们觉得重要的就加进来。

 管理平台。

有了这些体系和制度，在银行里把这个事情推进起来还是很难或根本推进不起来，一定要有一个平台来做这个事情，否则所有的引入、漏洞等都通过邮件，肯定做不下来。我们纯自主开发了一套开源软件的治理平台，涵盖整个开源软件治理体系的周期，引入阶段会把开源软件结构化，实体入库，保证来源可靠，引入过程中除了审批流程以外，也会在我行做一个唯一合法的开源软件库，统一存放，会和工程建立的工具结合在一起直接给别人去构建工程时使用，我们会做一个开源软件和生产应用系统的对应关系，台帐明确，一旦漏洞被定为到以后，可以很快找到是哪个应用系统用了这个版本的开源软件，会产生全程跟踪的工单，根据这个工单到责任解决安全问题，整个过程都是可追溯的。

开源软件管理平台除了作为流程平台和漏洞跟踪、软件台帐外，还有很重要的是社区信息抓取，我们通过几个外部的数据源，GitHub为主，还有别的数据源，定去爬取一系列信息，把它的各种数据统一有一个内部算法，这个算法也是借鉴了华为一些建议，把所有开源软件做社区活跃度和贡献度的评级，历史趋势都可以在上面展现出来，这对我们来选择一个开源软件时，社区属性就可以从这个平台一目了然看到。

社区共享

这是我们在去年10月12号和中国信通院、华为一起发起成立的社区，这个社区平均一两个月就会搞一次活动，成员13家，活动比较频繁，除了定期做一些分享活动以外，后续希望能够共享一些开源软件评估评价结果、知识库分享。因为这个社区除了金融机构以外，还有开源服务商，能够提供一些专业技术支持。

  下阶段安排。

后续计划：

开源治理平台优化工作，现在还没有专业工具扫描。效率上不够，不能在真正项目节点上去严把控开源软件，所以后面要对接。

各大银行后面肯定有科技输出的计划，肯定会涉及到自研代码的输出，还要有相应流程。

继续深化社区合作。今天发布一个贡献度排名，后续还有别的，我们也有计划，马上就要落地，我们团队已经把我们行开源治理平台中一些涉及我行内部开发框架的东西拨出来，纯粹开源组件做了开源版本，预计这个月可以正式开出来，也是秉持开源精神。去年我们做了开源治理体系，以白皮书方式贡献给了社区，这次会把平台以直接代码开源方式贡献给社区。欢迎大家一起来使用，到时候会给下代码，也会在公有云上布一个大家可以访问的平台。

谢谢大家！

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!