人民银行等多部门联合发布《关于规范金融业开源技术应用与发展的意见》
中国人民银行官网公告称,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅于近日联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)。
近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。《意见》的出台,有助于规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展。
《意见》要求金融机构在使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划,加强对开源技术应用的组织管理和统筹协调,建立健全开源技术应用管理制度体系,制定合理的开源技术应用策略;鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等;鼓励金融机构积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会组织等。《意见》强调要加强统筹协调,建立跨部门协作配合、信息共享机制,完善金融机构开源技术应用指导政策,探索建立开源技术公共服务平台,加强开源技术及应用标准化建设等。
下一步,人民银行、中央网信办、工业和信息化部、银保监会、证监会将继续协同联动,推进《意见》中的各项工作部署落实落地,切实提升金融业开源技术应用水平。
近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。为规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展,现提出以下意见,请结合实际贯彻执行。一、本意见所指开源技术是金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。二、金融机构在使用开源技术时应遵循以下原则:(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级。九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。十七、人民银行、中央网信办、工业和信息化部、银保监会、证监会等部门加强统筹协调,建立跨部门协作配合、信息共享机制,定期召开跨部门协调会议,完善金融机构开源技术应用指导政策,推动金融机构合理规范使用开源技术。十八、探索建立开源技术公共服务平台,为金融机构识别开源技术风险、动态管理开源软件、持续跟踪开源前沿技术、共享开源发展动态信息、参与开源社区运营等提供专业化、定制化服务。推动金融机构开展开源技术成熟度评估,进行开源许可安全合规审查,建立开源技术选型评估模型,提升开源技术应用质量与效率。十九、加强开源技术及应用标准化建设,瞄准急需、重点领域加快标准制定与实施。加快推进开源技术应用和标准研究制定一体化。加强开源技术标准建设与信息化规划的衔接配套,推动金融业开源技术及应用高质量发展。二十、鼓励金融机构加强知识产权保护研究与宣传,提升知识产权保护意识,制定软件版权、专利、商标等开源技术知识产权保护策略和制度。依法合规使用开源技术,同时保障自身在使用开源技术、参与开源生态贡献中的合法权益。中国人民银行办公厅网信办秘书局工业和信息化部办公厅银保监会办公厅证监会办公厅2021年9月28日
详情可查看官方公告。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
不求钱财只为源码,软件自由保护协会起诉知名电视品牌 GPL 违规
软件自由保护协会(SFC,Software Freedom Conservancy)是一个推广开源软件和捍卫自由软件通用公共许可证(GPL)的非营利组织,SFC 近日宣布已对长期占据北美电视销量榜首的品牌 Vizio 提起诉讼,理由是 Vizio 多次未能满足 GPL 的基本合规要求。 如今的电视都以智能、万物互联和功能丰富作为主要卖点,Vizio 的电视也不例外,为此 Vizio 的电视搭载了他们研发的 SmartCast OS 操作系统来实现上述功能,而此次诉讼也正是围绕该系统产生的。 SmartCast OS 本身是基于 Linux 开发而来的,而 Linux 又受到了 GPLv2 的保护。除了 Linux 内核以外,SmartCast OS 还使用了包括 U-Boot、bash、gawk、tar、Glibc 和 FFmpeg 等基于 GPL 和 LGPL 协议的代码。 Vizio 在使用了基于上述协议的代码后并未将 SmartCast OS 开源,这正是 SFC 起诉 Vizio 的原因。 GPL 是一种开源许可证,确保终端用户可以自由地运行、研究、分享和修改软件代码。Vizi...
- 下一篇
Node.js 易受新型 HTTP 请求夹带技术攻击
PortSwigger 网站近日报道了 Node.js 存在两个 HTTP 请求夹带(HTTP request smuggling,简称 HRS)攻击漏洞,并指出其中一个漏洞似乎使用了新的 HRS 技术。 HTTP 请求夹带技术是由一个或多个用户同时对目标网站服务器发起大量请求,通过构造特殊结构请求,干扰网站服务器对请求的处理(主要是干扰HTTP 请求序列),从而实现攻击目标。 据介绍,这些漏洞由 Mattias Grenfeldt 和 Asta Olofsson 在瑞典 KTH 皇家理工学院计算机科学学士学位论文研究中发现。Grenfeldt 称,刚开始他们在六个开源 Web 服务器和六个开源代理中寻找 HTTP 请求夹带漏洞。Node.js 就是其中被调查的项目之一,但他们当时没有发现任何问题。经过一段时间后,在报告项目中发现的其他问题时,他们偶然发现了 Node.js 的这两个漏洞。 漏洞之一CVE-2021-22959 使用了常见的 HRS 技术,它通过利用 HTTP 请求中 header 允许存在空格的特性,从而进行 HTTP 请求夹带攻击。因为HTTP 解析器接受在 hea...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Red5直播服务器,属于Java语言的直播服务器
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS6,CentOS7官方镜像安装Oracle11G
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS8编译安装MySQL8.0.19