专访微众银行开源治理办公室负责人钟燕清：开源治理最重要的部分是“使用的治理”

每经记者 潘婷    每经编辑 陈星    

近年来，开源技术被广泛应用于各种场景，也是企业构建信息系统的重要选择，开源软件的使用覆盖了金融、工业互联网等行业，为软件研发与创新提供了源源不断的动力，随着开源技术的快速发展，“开源治理”也逐渐进入企业的视野，成为开源领域的一大热点话题。

在金融行业，想拥抱开源并不是一个纯技术层面的挑战，对开源的有效管理，也是评价一个金融机构开源能力的重要指标，作为积极拥抱开源的重要参与者，互联网银行在开源治理领域有着多年的实践与创新，过程中，也在积极探索以增强开源治理能力促进更可控的开源技术创新。

对于目前的金融行业而言，开源治理的痛点和难点在哪些方面？对比过去，开源治理的侧重点是否发生了改变？互联网银行的开源治理和传统商业银行、金融科技公司的差异体现在哪？从战略层面看，微众银行对待开源的愿景是什么样的？对自身有什么样的定位？带着一系列问题，《每日经济新闻》（以下简称“NBD”）记者面访了微众银行开源治理办公室负责人钟燕清。

由于技术更多样性，互联网银行开源治理的挑战更大

NBD：目前金融科技核心技术的开源治理发展路径有哪些？和过去5-10年相比，目前开源治理的趋势和侧重点有何不同？

钟燕清：从企业应用或拥抱开源的路径上来讲，阶段还是非常清楚的，基本是经历使用、参与、贡献、领导这几个阶段和身份，很难跨越不同阶段。在每个阶段开源治理所关注的内容和重点其实也是有所不同的，比如说，企业作为开源技术的使用者，针对如何更好使用开源技术就是这个阶段开源治理的核心工作。

第一个趋势，最近几年，几乎所有的公司，特别是金融公司都非常注重开源治理能力，这也是我们最基础的能力。整个行业来说，大家越来越开放，或者说越来越依赖开源技术，这是当前社会技术发展的特征。整个金融行业其实都在利用开源技术去构建很多系统，比如银行的分布式核心系统。这是第一个“使用”的阶段。到第二阶段，如果企业再去参与开源、贡献社区，去主导项目，那就会涉及社区的治理体系。

另外一个趋势，随着大家对开源的认知越来越清楚，除了安全之外，合规也是一个问题。这个问题目前还没有那么突出，但是随着各种相关纠纷、案件的出现，大家对合规的重视程度也越来越高。因为有可能企业引入了不合适的许可证软件，带来声誉、知识产权、商标等一系列问题。

NBD：互联网银行的开源治理和传统商业银行、金融科技公司的差异体现在哪？

钟燕清：对比传统银行，互联网银行的技术多样性会更强一点。作为互联网银行，我们对技术的选择是比较开放的，传统银行用开源技术相对会比较谨慎。传统银行对开源技术应用的广度跟互联网银行不太一样，因为互联网银行要保持独特的创新性和敏捷性。

对比金融科技公司，按照以前的标准来说，金融科技公司开源应用会更粗放一些，在开源治理方面可能不会那么重视。而互联网银行对安全性、合规性的要求会比他们更高，金融科技公司未来慢慢也会重视加强监管，会越来越靠近互联网银行的要求。

NBD：从战略层面看，微众银行对待开源的愿景是什么样的？对自身有什么样的定位？

钟燕清：从大环境来看，开源已经成为一种趋势。微众银行希望能够成为金融科技领域开源生态建设的倡导者。

定位上，一方面微众银行是开源的受益者；微众银行很早以前就已经深刻地体会到开源的价值。比如我们通过采用开源技术建立起自主可控的分布式银行核心系统，这与国内的大部分金融机构有很大的区别。

另一方面微众银行也希望能成为行业贡献者。微众银行从开源的使用到整个社区的参与，到社区的贡献，再到社区有比较多的知名项目，最后变成开源社区的引领者，这是我们自身想在开源方面的发展路径。举个现实的例子，去年，微众银行开源的大数据计算中间件项目Linkis和事件网格项目Eventmesh，成为Apache软件基金会孵化项目，在Apache 软件基金会2021 年新增的5个孵化项目中独占2个，一定程度说明了世界主流的开源社区对我们开源项目的认可。

开源治理最重要的部分是使用的治理

NBD：能详细介绍下微众银行的开源治理体系吗？

钟燕清：开源治理体系是站在企业角度怎么去拥抱开源。微众银行建立了完备的开源治理体系，在确保安全合规的同时，通过不断优化内部体系建设，从组织、制度、流程、工具等多方面保障使用开源及开源输出风险可控。在组织保障方面，微众银行建立了公司级别的开源治理组织架构体系，包含合规、安全、知识产权、宣传等，明确各方职责，确保高效协同。在制度保障方面，微众银行发布了一系列与开源相关的管理规范，包括开源软件使用办法、软件开源管理办法、开源激励体系等。在流程与工具保障方面，微众银行引入了第三方管理工具，确保引入及对外的开源组件和代码安全合规以及与DevOps深度集成，建立DevSecOps体系。

NBD：在开源治理过程中，引入了第三方管理工具，具体有什么作用？会不会带来新的风险？

钟燕清：对于绝大部分企业而言，开源治理最重要的部分其实是使用的治理。

开源技术如何在公司内部很好的使用，有几个非常关键的点。第一，安全上的控制。因为开源软件迭代更新很快，客观来说只要是软件都会有漏洞，或者说有信息安全风险；第二，合规上的风险。所有开源软件都是基于开源许可证的，相当于一个协议，每个协议都有自身的规范，有的协议产生了冲突，就会对合规产生影响。

我们所说的管理工具，能够更好识别这些开源技术，把开源治理的漏洞、合规问题等非常结构化的记录起来，能够让我们快速看清楚我们使用开源的状况。同时，因为第三方管理工具有大量的知识库，拥有风险判断能力，在业界是专业的工具。

NBD：在开源治理过程中，如何发现、识别问题？

钟燕清：首先，要有基本的开源治理核心平台，这个平台能够判断企业用了哪些开源软件、开源技术，以及相应的名称、版本、社区的基本发展等信息。

其次，这些信息是动态变化、随时更新的，企业要有一定的手段去控制这些信息，这需要和企业自身的开发流程去做比较紧密的配合才可以实现。不然很可能变成仅仅是管理上的规范或要求，就是让人去跟踪登记，靠人反馈等，时效和准确性都没有保障。

扩展开源理念，倡导更“开放”银行

NBD：目前来看，开源治理的痛点和难点在哪些方面？

钟燕清：第一，微观层面看，开源治理的难点本质是技术的影响力、创新能力，还有对技术的掌握深度其实也是有门槛的，开源并不是随便哪个技术社区就能认的。第二，从意愿上来讲，如果没有足够的技术能力，没有一定的意愿，很有可能永远是使用者，这个是定位问题，也是一个选择性的问题。

NBD：作为开源技术的受益者，微众银行也倡导“开放银行”，您觉得开源技术和开放银行之间是一种怎样的关系？

钟燕清：区别于传统意义上的开放银行，微众对开放银行有一套自己的理论，在传统的开放银行上，我们做了很多扩展。微众银行提出“3O”理论，也即“三个开放”。

第一个就是开放平台，传统意义上的开放银行；

第二个叫开放创新，这里面更多是技术驱动，核心就是开源。这也是我们为什么要去不断加大开放，因为我们在技术能力上已经有一定的积累，希望通过开源的方式把我们的部分积累普惠到合作伙伴或者是社区，大家也可以用到同样的技术，然后共同建立一个开源技术、开源社区。

第三个就是开放协作，我们提出了分布式商业体系，不希望把银行变成一个核心，而是把银行置于中间位置，提供金融服务的节点。

NBD：业内如何看待《关于规范金融业开源技术应用与发展的意见》？在开源方面，微众银行是怎么应对的？

钟燕清：微众银行结合自身情况做了一些判断，我们过去几年的发展路径和上述意见非常契合，我们几乎所有的活动都是按照意见的指导进行的。

提出金融行业和开源的关系，大家怎么从行业角度去定位自己和开源，四个原则分别是坚持安全可控、坚持合规使用、坚持问题导向、坚持开放创新。以上都是对企业内部开源治理提出的各种要求，首先是安全问题，业内一直以来都比较重视安全问题，但是并不是从开源治理的角度出发，更多是从信息安全角度去推动。

第二，合规也提到相当的高度。在这一块微众银行提出要建立实现准、快、狠的管理平台，企业要足够快、非常精准的知道自身开源使用的资产状况，这样才能更好面对各种问题或风险。

封面图片来源：摄图网-500642519