聚焦开源应用与安全 国金认证推出“金融业开源评估”系列服务

为贯彻落实《关于规范金融业开源技术应用与发展的意见》（以下简称《意见》）要求，助力金融机构合规应用开源技术，北京国家金融科技认证中心（以下简称“国金认证”）在近日推出包括金融机构开源治理成熟度评估、金融开源供应商成熟度评估、金融开源软件应用评估三项内容的“金融业开源评估”系列服务。

近年来，开源技术在金融业各领域得到广泛应用。开源技术定制灵活、功能丰富、迭代快速、避免技术垄断等诸多优势，在推动金融科技创新和数字化转型、保障金融信息技术自主安全可控等方面发挥着积极作用，但其潜在的开源合规风险也不容忽视。此次国金认证推出的评估服务就是针对开源技术的潜在风险，坚持管理评价和技术评测并举，推动开源供应商提升服务能力，保障其输出的开源产品及技术服务的安全可靠；同时帮助金融机构识别开源管理体系的风险及漏洞，切实提升开源治理水平。

01评估内容

金融机构开源治理成熟度评估、金融开源供应商成熟度评估、金融开源软件应用评估三项评估服务依据《金融行业开源软件评测规范》《金融信息系统开源软件应用评估规范》《金融业开源软件应用管理指南》《金融网络安全 信息科技外包评价指标数据元》等国家及金融行业标准开展，意在规范开源技术提供商的服务能力，提升金融机构开源治理能力。评估证书将在国金认证及金融业开源门户网站双平台适时公示。

（一）金融机构开源治理成熟度评估

评估对象：应用开源软件的金融机构

评估目标：帮助金融机构落实《意见》相关要求、完善开源治理体系，发现金融机构在开源技术应用管理制度体系、开源产品评估体系及开源知识产权等相关领域中可能存在的问题，形成适合机构发展情况的长效治理机制。

评估指标：组织架构、配套管理制度、标准化管理流程、开源应用评价体系、风险管理、存量管理、运维保障、工具平台、开源生态等9大维度。

（二）金融开源供应商成熟度评估

评估对象：为金融行业提供基于开源软件的商业化产品、开源技术支持、开源管理咨询的服务供应商。

评估目标：建立科学统一的开源供应商评价指标，有效衡量开源供应商发展水平，促进开源服务商持续优化改进，降低金融机构与开源服务商的合作风险，护航安全的开源供应链生态。

评估指标：企业基本情况、技术能力、人员能力、安全保障能力、服务质量、产品质量、生态服务能力、开源社区运营情况等8大领域。

（三）金融开源软件应用评估

评估对象：金融机构及开源技术服务商研发应用的开源软件。

评估目标：全面评价开源软件的法律合规性、产品可用性、技术安全性等内容，为金融业开源软件的选型使用提供数据支撑，保证开源软件在金融系统应用时的适应性、安全性及可靠性。

评估指标：开源软件许可证、产品认可度、产品活跃度、行业支持情况、功能特性、性能效率、安全性、可靠性、兼容性、可维护性、可扩展性、易用性、开源软件自主可控度等13个维度。

02金融业开源评估推进计划

为加强金融产业合作、共建金融开源生态，国金认证在北京金融科技产业联盟指导下正筹备成立“金融业开源技术应用与发展实验室”。实验室协同金融机构及开源技术服务商，以“为金融机构优选安全可靠的开源产品、提升金融机构开源治理能力”为工作目标，评估归纳总结发现的问题，针对重点关切问题开展攻关研究，建立开源技术“问题发现——优化改进——推广应用”的闭环机制，推动开源技术不断迭代升级，构建金融行业开源技术最佳实践，共筑金融行业开源治理新生态。

来源：北京国家金融科技认证中心