金融業(yè)開源軟件應(yīng)用管理辦法第一章總則第一條目的與依據(jù)為規(guī)范金融業(yè)開源軟件的應(yīng)用與管理，保障金融信息系統(tǒng)的安全穩(wěn)定運(yùn)行，防范開源軟件引入的技術(shù)、法律和供應(yīng)鏈風(fēng)險(xiǎn)，促進(jìn)開源技術(shù)在金融領(lǐng)域的健康發(fā)展，依據(jù)國家相關(guān)法律法規(guī)及金融行業(yè)監(jiān)管要求，制定本辦法。第二條適用范圍本辦法適用于在中華人民共和國境內(nèi)依法設(shè)立的銀行業(yè)金融機(jī)構(gòu)、證券期貨業(yè)金融機(jī)構(gòu)、保險(xiǎn)業(yè)金融機(jī)構(gòu)以及其他由金融監(jiān)管部門批準(zhǔn)設(shè)立的金融機(jī)構(gòu)（以下統(tǒng)稱“金融機(jī)構(gòu)”）。金融機(jī)構(gòu)在信息系統(tǒng)建設(shè)、運(yùn)維、服務(wù)外包等活動(dòng)中使用、開發(fā)、貢獻(xiàn)開源軟件的行為，均應(yīng)遵守本辦法。第三條基本原則金融機(jī)構(gòu)應(yīng)用開源軟件應(yīng)遵循以下原則：安全可控原則：將安全作為首要考量，確保開源軟件的引入不會(huì)對(duì)金融業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全造成威脅。合規(guī)性原則：嚴(yán)格遵守開源軟件的許可協(xié)議，確保使用行為符合法律、法規(guī)及監(jiān)管要求。全生命周期管理原則：對(duì)開源軟件從選型、引入、使用、維護(hù)到退出的全過程進(jìn)行規(guī)范化管理。風(fēng)險(xiǎn)與收益平衡原則：在充分評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上，合理利用開源軟件的優(yōu)勢。第二章組織與職責(zé)第四條決策機(jī)構(gòu)金融機(jī)構(gòu)應(yīng)設(shè)立開源軟件應(yīng)用管理決策機(jī)構(gòu)（以下簡稱“決策機(jī)構(gòu)”），負(fù)責(zé)審議開源軟件應(yīng)用的重大事項(xiàng)，包括但不限于：開源軟件應(yīng)用戰(zhàn)略規(guī)劃；重大開源軟件項(xiàng)目的立項(xiàng)與審批；開源軟件相關(guān)的風(fēng)險(xiǎn)處置預(yù)案。決策機(jī)構(gòu)應(yīng)由金融機(jī)構(gòu)的高級(jí)管理人員、技術(shù)、法律、風(fēng)險(xiǎn)管理等部門的負(fù)責(zé)人組成。第五條管理部門金融機(jī)構(gòu)應(yīng)指定專門的部門（以下簡稱“管理部門”）作為開源軟件應(yīng)用的歸口管理部門，其主要職責(zé)包括：制定并組織實(shí)施開源軟件應(yīng)用的管理制度和流程；統(tǒng)籌協(xié)調(diào)開源軟件的選型、引入、使用、維護(hù)及退出等工作；組織開展開源軟件的安全評(píng)估與合規(guī)審查；建立并維護(hù)開源軟件資產(chǎn)清單；組織開展開源軟件相關(guān)的培訓(xùn)與宣傳。第六條執(zhí)行部門金融機(jī)構(gòu)的業(yè)務(wù)部門、科技部門、風(fēng)險(xiǎn)管理部門、法律合規(guī)部門等應(yīng)在各自職責(zé)范圍內(nèi)，配合管理部門做好開源軟件應(yīng)用管理工作：業(yè)務(wù)部門：提出開源軟件的業(yè)務(wù)需求，參與選型評(píng)估，并在使用過程中反饋問題?？萍疾块T：負(fù)責(zé)開源軟件的技術(shù)選型、技術(shù)驗(yàn)證、部署實(shí)施、技術(shù)支持及日常運(yùn)維，確保開源軟件的技術(shù)可行性和穩(wěn)定性。風(fēng)險(xiǎn)管理部門：負(fù)責(zé)對(duì)開源軟件引入的風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、監(jiān)測和控制，制定風(fēng)險(xiǎn)應(yīng)對(duì)策略。法律合規(guī)部門：負(fù)責(zé)審查開源軟件的許可協(xié)議，確保使用行為符合法律法規(guī)和監(jiān)管要求，處理相關(guān)法律糾紛。第三章開源軟件的選型與引入第七條選型標(biāo)準(zhǔn)金融機(jī)構(gòu)在選型開源軟件時(shí)，應(yīng)綜合考慮以下因素：功能匹配度：開源軟件的功能是否滿足業(yè)務(wù)需求和技術(shù)架構(gòu)要求。技術(shù)成熟度：開源軟件的版本穩(wěn)定性、社區(qū)活躍度、文檔完整性、技術(shù)支持能力等。安全性：開源軟件是否存在已知的安全漏洞，是否有有效的漏洞修復(fù)機(jī)制，是否通過了權(quán)威的安全認(rèn)證。合規(guī)性：開源軟件的許可協(xié)議類型（如GPL、MIT、Apache等）是否符合金融機(jī)構(gòu)的使用場景和合規(guī)要求。可維護(hù)性：開源軟件的代碼質(zhì)量、擴(kuò)展性、可移植性，以及金融機(jī)構(gòu)自身或第三方對(duì)其進(jìn)行二次開發(fā)和維護(hù)的能力。成本效益：引入和使用開源軟件的總成本（包括學(xué)習(xí)成本、部署成本、維護(hù)成本、潛在風(fēng)險(xiǎn)成本等）與預(yù)期收益的比較。第八條引入流程開源軟件的引入應(yīng)遵循以下流程：需求提出：由業(yè)務(wù)部門或科技部門根據(jù)業(yè)務(wù)需求或技術(shù)規(guī)劃，提出開源軟件引入需求，并填寫《開源軟件引入申請(qǐng)表》。初步評(píng)估：管理部門組織相關(guān)部門對(duì)引入需求進(jìn)行初步評(píng)估，判斷其必要性和合理性。技術(shù)驗(yàn)證：科技部門對(duì)擬引入的開源軟件進(jìn)行技術(shù)驗(yàn)證，包括功能測試、性能測試、兼容性測試等，出具《技術(shù)驗(yàn)證報(bào)告》。安全評(píng)估：風(fēng)險(xiǎn)管理部門或委托第三方專業(yè)機(jī)構(gòu)對(duì)擬引入的開源軟件進(jìn)行安全評(píng)估，重點(diǎn)評(píng)估其安全漏洞、安全配置、數(shù)據(jù)保護(hù)能力等，出具《安全評(píng)估報(bào)告》。合規(guī)審查：法律合規(guī)部門對(duì)開源軟件的許可協(xié)議進(jìn)行審查，評(píng)估其對(duì)金融機(jī)構(gòu)知識(shí)產(chǎn)權(quán)、業(yè)務(wù)運(yùn)營等方面的影響，出具《合規(guī)審查報(bào)告》。審批：管理部門匯總技術(shù)驗(yàn)證、安全評(píng)估和合規(guī)審查結(jié)果，形成《開源軟件引入評(píng)估報(bào)告》，提交決策機(jī)構(gòu)或其授權(quán)的管理層審批。審批通過：經(jīng)審批通過后，方可正式引入開源軟件。登記備案：引入的開源軟件應(yīng)在管理部門進(jìn)行登記備案，納入開源軟件資產(chǎn)清單管理。第九條禁止性規(guī)定金融機(jī)構(gòu)不得引入以下開源軟件：存在嚴(yán)重安全漏洞且無法及時(shí)修復(fù)的；許可協(xié)議存在重大合規(guī)風(fēng)險(xiǎn)，可能導(dǎo)致金融機(jī)構(gòu)承擔(dān)不合理義務(wù)或法律責(zé)任的；技術(shù)架構(gòu)與金融機(jī)構(gòu)現(xiàn)有信息系統(tǒng)不兼容，且改造難度大、成本高的；社區(qū)活躍度低、維護(hù)不及時(shí)、技術(shù)支持能力不足的；來源不明或存在惡意代碼嫌疑的。第四章開源軟件的使用與維護(hù)第十條使用管理金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)開源軟件使用過程的管理：建立開源軟件的使用權(quán)限管理制度，明確不同崗位人員對(duì)開源軟件的操作權(quán)限。對(duì)開源軟件的配置參數(shù)進(jìn)行嚴(yán)格管理，確保其安全配置符合金融機(jī)構(gòu)的安全策略。在使用開源軟件處理敏感信息時(shí)，應(yīng)采取必要的加密、脫敏等安全措施，防止數(shù)據(jù)泄露。禁止將開源軟件用于未經(jīng)授權(quán)的用途，或超出許可協(xié)議允許的范圍使用。第十一條維護(hù)管理金融機(jī)構(gòu)應(yīng)建立開源軟件的維護(hù)機(jī)制：版本管理：跟蹤開源軟件的版本更新情況，及時(shí)評(píng)估新版本的安全性和兼容性，必要時(shí)進(jìn)行升級(jí)。原則上應(yīng)使用官方發(fā)布的穩(wěn)定版本，避免使用測試版或非官方版本。漏洞管理：建立開源軟件漏洞監(jiān)測機(jī)制，及時(shí)關(guān)注國內(nèi)外權(quán)威漏洞平臺(tái)（如CVE、NVD等）發(fā)布的漏洞信息。對(duì)于發(fā)現(xiàn)的安全漏洞，應(yīng)立即組織評(píng)估其影響范圍和嚴(yán)重程度，并采取相應(yīng)的修復(fù)措施（如安裝補(bǔ)丁、版本升級(jí)、配置加固等）。文檔管理：建立開源軟件的文檔庫，包括安裝手冊、使用手冊、配置手冊、維護(hù)手冊等，確保相關(guān)人員能夠方便查閱。知識(shí)管理：組織技術(shù)人員對(duì)開源軟件的使用經(jīng)驗(yàn)、問題解決方案等進(jìn)行總結(jié)和分享，形成內(nèi)部知識(shí)庫。第十二條二次開發(fā)金融機(jī)構(gòu)對(duì)開源軟件進(jìn)行二次開發(fā)時(shí)，應(yīng)特別注意：嚴(yán)格遵守原開源軟件的許可協(xié)議，明確二次開發(fā)成果的知識(shí)產(chǎn)權(quán)歸屬和使用限制。對(duì)二次開發(fā)的代碼進(jìn)行嚴(yán)格的版本控制和質(zhì)量管控。在二次開發(fā)過程中引入新的開源組件時(shí)，應(yīng)按照本辦法第三章的規(guī)定進(jìn)行選型和引入。第五章開源軟件的安全管理第十三條安全評(píng)估金融機(jī)構(gòu)應(yīng)定期或在重大版本更新、重大安全事件發(fā)生時(shí)，對(duì)在用開源軟件進(jìn)行安全評(píng)估。安全評(píng)估的內(nèi)容包括：開源軟件本身的安全漏洞和安全配置；開源軟件與其他系統(tǒng)組件的集成安全；開源軟件處理敏感數(shù)據(jù)的安全措施；開源軟件面臨的外部威脅（如供應(yīng)鏈攻擊、惡意代碼注入等）。安全評(píng)估可由金融機(jī)構(gòu)自行開展，也可委托具備相應(yīng)資質(zhì)的第三方機(jī)構(gòu)進(jìn)行。評(píng)估結(jié)果應(yīng)形成《開源軟件安全評(píng)估報(bào)告》，并作為改進(jìn)安全管理的依據(jù)。第十四條漏洞處置金融機(jī)構(gòu)應(yīng)建立開源軟件漏洞應(yīng)急響應(yīng)機(jī)制：漏洞發(fā)現(xiàn)：通過內(nèi)部監(jiān)測、外部通報(bào)、社區(qū)反饋等渠道及時(shí)發(fā)現(xiàn)開源軟件的安全漏洞。漏洞評(píng)估：組織技術(shù)和安全人員對(duì)漏洞的嚴(yán)重程度（如CVSS評(píng)分）、影響范圍進(jìn)行評(píng)估。漏洞修復(fù)：根據(jù)評(píng)估結(jié)果，制定漏洞修復(fù)方案。對(duì)于高危漏洞，應(yīng)立即采取臨時(shí)緩解措施（如隔離、關(guān)閉服務(wù)等），并盡快推動(dòng)官方發(fā)布補(bǔ)丁或進(jìn)行版本升級(jí)。漏洞跟蹤：對(duì)漏洞修復(fù)情況進(jìn)行跟蹤，確保修復(fù)措施有效執(zhí)行。漏洞通報(bào)：對(duì)于影響范圍較廣或可能引發(fā)系統(tǒng)性風(fēng)險(xiǎn)的漏洞，應(yīng)按照監(jiān)管要求及時(shí)向相關(guān)部門報(bào)告。第十五條供應(yīng)鏈安全金融機(jī)構(gòu)應(yīng)高度重視開源軟件供應(yīng)鏈安全，采取以下措施：優(yōu)先從官方渠道或可信的鏡像源獲取開源軟件及其組件，避免從非正規(guī)渠道下載。對(duì)下載的開源軟件包進(jìn)行完整性校驗(yàn)（如通過哈希值比對(duì)），防止軟件包被篡改。建立開源軟件組件的依賴關(guān)系圖譜，識(shí)別潛在的供應(yīng)鏈風(fēng)險(xiǎn)點(diǎn)。關(guān)注開源軟件供應(yīng)鏈攻擊的最新動(dòng)態(tài)，及時(shí)調(diào)整防范策略。第六章開源軟件的合規(guī)管理第十六條許可協(xié)議管理金融機(jī)構(gòu)應(yīng)建立開源軟件許可協(xié)議管理機(jī)制：對(duì)引入的每一款開源軟件，明確其許可協(xié)議類型，并建立許可協(xié)議庫。組織法律合規(guī)人員和技術(shù)人員共同學(xué)習(xí)和理解主要開源許可協(xié)議（如GPL、LGPL、MIT、Apache、BSD等）的核心條款和要求。根據(jù)許可協(xié)議的要求，規(guī)范開源軟件的使用、修改、分發(fā)等行為。例如，對(duì)于采用GPL協(xié)議的軟件，其衍生作品通常也需要采用GPL協(xié)議并開源；而MIT協(xié)議則更為寬松。第十七條知識(shí)產(chǎn)權(quán)管理金融機(jī)構(gòu)在使用和二次開發(fā)開源軟件時(shí)，應(yīng)加強(qiáng)知識(shí)產(chǎn)權(quán)管理：明確區(qū)分開源軟件的知識(shí)產(chǎn)權(quán)和金融機(jī)構(gòu)自身開發(fā)成果的知識(shí)產(chǎn)權(quán)。對(duì)于二次開發(fā)中涉及的自有知識(shí)產(chǎn)權(quán)，應(yīng)采取必要的保護(hù)措施（如申請(qǐng)專利、著作權(quán)登記等）。避免在開源軟件中引入未經(jīng)授權(quán)的第三方知識(shí)產(chǎn)權(quán)，防止引發(fā)知識(shí)產(chǎn)權(quán)糾紛。第十八條合規(guī)審查金融機(jī)構(gòu)應(yīng)定期對(duì)開源軟件的使用情況進(jìn)行合規(guī)審查，重點(diǎn)審查以下內(nèi)容：是否嚴(yán)格遵守了開源軟件的許可協(xié)議；開源軟件的使用是否符合國家法律法規(guī)和金融監(jiān)管要求；開源軟件的出口管制合規(guī)性（如涉及向境外傳輸數(shù)據(jù)或軟件）。合規(guī)審查結(jié)果應(yīng)形成《開源軟件合規(guī)審查報(bào)告》，對(duì)發(fā)現(xiàn)的合規(guī)風(fēng)險(xiǎn)應(yīng)及時(shí)采取整改措施。第七章開源軟件的退出第十九條退出情形出現(xiàn)以下情形之一時(shí)，金融機(jī)構(gòu)應(yīng)考慮將開源軟件退出使用：開源軟件的功能已無法滿足業(yè)務(wù)發(fā)展需求，且無升級(jí)或替代方案；開源軟件存在嚴(yán)重的安全漏洞或合規(guī)風(fēng)險(xiǎn)，且無法有效修復(fù)；開源軟件的社區(qū)停止維護(hù)，或其技術(shù)路線發(fā)生重大變更，導(dǎo)致金融機(jī)構(gòu)無法繼續(xù)維護(hù)；金融機(jī)構(gòu)的技術(shù)架構(gòu)發(fā)生重大調(diào)整，開源軟件不再適用。第二十條退出流程開源軟件的退出應(yīng)遵循以下流程：評(píng)估決策：由管理部門組織相關(guān)部門對(duì)退出的必要性和影響進(jìn)行評(píng)估，形成《開源軟件退出評(píng)估報(bào)告》，報(bào)決策機(jī)構(gòu)審批。制定方案：根據(jù)審批意見，制定詳細(xì)的退出方案，包括數(shù)據(jù)遷移計(jì)劃、業(yè)務(wù)切換計(jì)劃、風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案等。實(shí)施退出：按照退出方案，逐步停止開源軟件的使用，完成數(shù)據(jù)遷移和業(yè)務(wù)切換。資產(chǎn)處置：對(duì)退出的開源軟件相關(guān)資產(chǎn)（如安裝介質(zhì)、文檔、代碼等）進(jìn)行妥善處置，如需保留，應(yīng)明確保留期限和方式。總結(jié)歸檔：對(duì)開源軟件的整個(gè)生命周期進(jìn)行總結(jié)，形成《開源軟件退出總結(jié)報(bào)告》，并歸檔相關(guān)文檔。第八章監(jiān)督與問責(zé)第二十一條內(nèi)部審計(jì)金融機(jī)構(gòu)的內(nèi)部審計(jì)部門應(yīng)定期對(duì)開源軟件應(yīng)用管理情況進(jìn)行審計(jì)，審計(jì)內(nèi)容包括：開源軟件管理制度的健全性和有效性；開源軟件選型、引入、使用、維護(hù)、退出等流程的執(zhí)行情況；開源軟件安全管理和合規(guī)管理的落實(shí)情況；開源軟件資產(chǎn)清單的準(zhǔn)確性和完整性。審計(jì)結(jié)果應(yīng)向決策機(jī)構(gòu)報(bào)告，并作為對(duì)相關(guān)部門和人員進(jìn)行考核和問責(zé)的依據(jù)。第二十二條考核與問責(zé)金融機(jī)構(gòu)應(yīng)將開源軟件應(yīng)用管理工作納入對(duì)相關(guān)部門和人員的績效考核體系。對(duì)在開源軟件應(yīng)用管理工作中表現(xiàn)突出的部門和個(gè)人，應(yīng)給予表彰和獎(jiǎng)勵(lì)；對(duì)違反本辦法規(guī)定，導(dǎo)致發(fā)生安全事件、合規(guī)風(fēng)險(xiǎn)或造成損失的，應(yīng)按照金融機(jī)構(gòu)的內(nèi)部規(guī)定進(jìn)行問責(zé)。第九章附則第二十三條解釋權(quán)本辦法由金融機(jī)構(gòu)的決策機(jī)構(gòu)負(fù)責(zé)解釋。第二十四條生效日期本辦法自發(fā)布之日起施行。金融機(jī)構(gòu)應(yīng)根據(jù)本辦法，結(jié)合自身實(shí)際情況，制定具體的實(shí)施細(xì)則。第二十五條術(shù)語定義本辦法中下列術(shù)語的含義：開源軟件：指源代碼可以被公眾獲取的軟件