2021年是“十四五”的开局之年，在数字经济发展背景下，5G、人工智能、区块链、云计算、大数据等信息技术进一步深度融合，推动金融机构智慧化转型升级，金融服务与生产、生活场景融合更加紧密，开放生态合作成为产业主流趋势。

在此背景下，2021年10月28日，中国信息通信研究院正式发布《中国金融科技生态白皮书》（以下简称《白皮书》）。

《白皮书》从行业监管、技术热点、产业应用、发展趋势等方面，系统梳理了国内外金融科技行业现状与趋势，系列白皮书已成为我国金融科技产业发展的重要参考。

《白皮书》指出，当前，中国金融科技市场在审慎稳妥的监管环境下，传统金融机构在金融领域的主动性明显增强。2020年国有大型银行科技投入增长了34.54%，远高于其整体收入4.44%的增速，且传统金融机构在金融科技战略定位上正在从“科技赋能”逐步向“科技引领”转型。

另一方面，大型互联网平台公司金融科技业务在监管政策环境下，更加注重科技服务与类金融业务的隔离，类金融业务加快获取金融牌照步伐，并不断强化自身科技属性。

图源：中国金融科技生态白皮书深度解读PPT

《白皮书》指出ICT 核心技术持续演进，推进金融科技关键技术与热点应用的规模和范围不断扩展。一是从金融科技关键技术来看，金融数据中心建设不断向绿色与智能化方向升级，云原生、分布式架构和开源技术等为金融业底层技术自主创新打下基础，5G+物联网发展显著提升金融感知能力；数据智能、区块链、隐私计算、密码等技术在金融领域应用加快金融业数据价值的释放。二是从金融科技热点应用来看，数字人民币是最为热点的应用领域，相关试点不断扩展；同时，移动支付向智能化方向升级，跨境支付成为典型场景；保险科技、财富管理等仍保持较高热度，也是应用创新的重要领域。

图源：中国金融科技生态白皮书深度解读PPT

《白皮书》指出，金融科技在赋能金融服务实体经济中的作用开始凸显，助力社会经济高质量发展。随着农村数字基础设施不断完善，金融科技开始嵌入农业生产经营、民生系统，实现乡村振兴重点领域的“精准滴灌”。在当前强调绿色发展理念背景下，金融科技在拓展绿色金融服务对象、提升绿色融资规模、助力绿色金融风险防控方面发挥着重要作用。在数字经济发展中，金融科技赋能金融业为各行业数字化升级提供创新金融服务；同时，产业数字化规模落地也为金融科技注入创新要素，实现金融科技与产业数字化双轮驱动。

图源：中国金融科技生态白皮书深度解读PPT

《白皮书》提到开源技术在金融业应用广泛，成为自主创新重要依托。开源软件公司红帽软件2021年发布的《企业开源现状调查报告》显示，全球98%的金融机构正在使用由开源技术衍生的产品。为了提升敏捷开发效率，加速海量数据处理，我国金融机构以不同方式引入开源技术，包括使用含有开源组件或代码的商业软件、购买开源软件的商业发行版、直接使用社区版开源软件等方式。目前，开源技术已经以多种形式渗透到金融行业操作系统、中间件、数据库、存储、网络、云计算、人工智能等技术领域之中。

现阶段金融行业自主创新主要关注点是系统改造和架构升级两方面。在系统改造的过程中，开源软件可以填补闭源软件的空缺，为系统全栈改造提供缓冲方案；在架构升级的过程中，基于Docker、Kubernetes、Hadoop、Springcloud、Dubbo 等开源技术的分布式产品为系统架构升级提供丰富选择，开源技术正在成为金融行业自主创新的重要依托。

在开源生态中，金融机构往往是以最终用户的角色出现，难免存在潜在的风险问题。这些风险主要有开发运维风险、管理风险、安全漏洞风险、知识产权合规风险。

1) 开发运维风险。开源软件的开发和运维往往需要金融机构自己来负责，开发难度较大，如果人才的数量和质量跟不上，容易消耗企业更多资源。

2) 管理风险。商业软件大部分不会主动说明产品中是否含有开源代码，用户很可能被动引入开源代码；金融用户如果没有对源代码扫描，通常也并不清楚企业开发者是否使用了开源代码片段以及引入开源代码的数量；大量级的开源软件和代码规模给代码合规性检查带来了挑战。因此，金融企业想要统计完全准确的开源软件数目和使用情况存在一定困难。

3) 安全漏洞风险。由于开源软件是由多人协作完成，且开源许可证具有复杂性的特点，很容易造成开源软件存在恶意代码、病毒或造成隐私泄露等问题。开源软件的安全缺陷密度较高，金融企业对安全漏洞应予以重视。

4) 知识产权合规风险。每一个开源软件，都需要遵守开源许可证上规定的要求，但很多情况下，金融企业无法明确得知该软件是否遵守开源协议。开源软件供应链涉及众多开源基金会、开源产品、服务企业等等，存在着很多不确定性。这些不确定性会影响开源许可证的使用方式，企业很可能因为许可证变化而影响后续开源软件的使用，况且开源背后的知识产权问题相对复杂，如果不准确掌握开源协议及其规定，很可能会产生很大的风险隐患。

因此，金融机构在应用开源技术的同时也要注意规避风险，提升自身技术运维实力，增加开源社区影响力。

如何规避这些风险呢？金融机构可以建立开源软件评价或选型标准，进行开源许可证使用合规和开源代码检查，梳理自发开源流程和开源引入流程，合理引入开源软件治理工具。

棱镜七彩专注开源治理，拥有自主知识产权的开源安全治理工具FossCheck、左移开发安全工具FossEye、开源许可证治理工具FossLicense等产品，专注于为客户提供领先全面的开源安全与合规治理解决方案，包括对源代码进行成分分析与安全检测、对开源组件安全与合规进行分析管理、对开源许可证深度治理等，全面保障企业开源资产安全性与合规性。提供专业的代码审计服务、开源风险检测评估服务、开源许可证评估服务，帮助企业对代码进行审计服务，挖掘代码中存在的安全漏洞及许可证合规性风险，帮助发现代码中安全隐患，方便企业提早做出安全防御措施。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)