ICS 35.240.40 CCS A 11 团体标准 T/BFIA014—2022 金融技术产品开源项目管理指南 Guidelines for open source project management of financial technology products 2022 -08-16发布 2022-08-16实施 北京金融科技产业联盟 发布 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 T/BF1A 0142022 目 次 前言 II 引言 III 1 范围 2 规范性引用文件 3术语和定义 4开源项目体系建设 5规划阶段要求. 6准备阶段要求， 实施及运营阶段. 8 关闭项目 T/BFIA014—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由北京金融科技产业联盟归口。 本文件起草单位：中国工商银行股份有限公司、北京金融科技产业联盟、深圳前海微众银行股份有 限公司、上海浦东发展银行股份有限公司、麒麟软件有限公司。 本文件主要起草人：潘润红、徐葛、吴冕冠、闫冬梅、周文泽、张远征、刘阳、王豪赞、聂丽琴、 胡达川、李明艳、李寻、李璐、钟燕清、康悦、张榕秀、杨欣捷、弓豪怡、彭颖、王悦良、郑爽。 II T/BF1A014—2022 引言 金融信息系统发展过程中，诞生了部分具有先进性的自研技术产品，且应用场景在同业机构间往往 高度一致，如果通过依法合规分享开源技术应用经验，共享开源技术研究成果，将会促进金融科技产业 体指导方法。 为此，本文件为金融机构在以自身技术发展路线为主导进行技术产品开源工作时，提供一种较为通 用的项目式管理方法和操作流程，为金融机构逐步完成从规划准备到最终实施落地给予指导。 III T/BF1A0142022 金融技术产品开源项目管理指南 1范围 本文件给出了金融机构将自研技术产品进行对外开源时，在体系建设、流程管理、资源配置、运营 等方面的指导。 本文件适用于银行业机构对技术产品实施自主开源，可供保险、证券等其他金融机构参考。 2 规范性引用文件 本文件没有规范性引用文件。 3术语和定义 下列术语和定义适用于本文件。 3. 1 开源软件 open source sofiware 种可以获取源代码的计算机软件，这种软件的著作权持有人通过开源许可证将软件的复制、修改、 再发布的权利向公众开放。 3. 2 开源许可证 open source license 开源协议 用于规范受著作权保护的软件在规定条款和条件下使用或者分发等行为。 注：一般指具备广泛认可性的、具有法律性质的协议，目的是减少作者及用户针对开源软件权责的法律解释成本， 3.3 自研技术产品 self-developedtechnologyproducts 金融机构通过内部研发、联合研发等方式，具有自主知识产权（如软件著作权、专利等）的技术产 品。 3. 4 项目开源projectopen-source 将自研技术产品通过内部评估审批后，将源代码发布到代码托管平台并公开；开展推广运营；进行 全行业共享共建的机构行为。 3.5 代码托管平台 codehostingplatform 1 T/BFIA 0142022 是面向开源软件项目托管平台，是存储、管理、维护源代码，促进项目协同开发的网络平台。 3.6 开源社区open sourcecommunity 是项目开发的组织形式之一，是由所有参与开发和改进源代码项目的用户组成的社群，在网站、邮 件群组等形式组成的虚拟社区、代码托管平台中进行交流、合作开发及成果分享。 3.7 贡献者contributor 对项目感兴趣并以某种方式做出贡献的个人或法人，贡献行为包括但不限于问题解答、撰写文档， 提交代码、捐款等。 3. 8 象融科技产 维护者 maintainer 协作者collaborator 负有审查和合并来自贡献者的贡献内容的职责，并负责项目运维的人员，拥有对代码审核决策的权 限。 4开源项目体系建设 4.1战略规划 对于存在开源意向的金融机构，宜将开源工作纳入信息化发展规划，制定合理的对外开源策略、具 体实施方案。关注以下机制建设： a) 建立由信息科技条线第一负责人牵头的顶层决策机制； 设置“开源办公室”管理团队，统一内外部开源工作归口， c) 建立跨部门协调机制，由战略发展、科技、法务、品牌等部门条线密切配合执行； 建立流畅的开源项日评审机制： 建立激励机制，引导、营造开放创新的内部开源文化与氛围。 4. 2 组织架构建设 4.2.1 决策团队 负责决策和发布项目开源工作的管理规程和策略，其主要职责应包含以下内容： a) 对管理团队制定的开源项目管理的流程及要求进行决策； b) 组织开源项目的立项评审； c) 组织开源项目版本发布的评审工作； (p 建立重大决策及上报机制； e) 建立开源文化推广、激励机制。 4.2. 2 管理团队 负责根据项目类型与目标，执行开源策略，推动相关成员落实具体任务，其主要职责应包含以下内 容： a) 根据开源项目的战略定位、产品特性、资源投入等因素，评审项目是否适宜开源； b) 规划项目发展路线、项目运营决策模式； 2 T/BF1A 0142022 保证项目在代码安全、功能性能、法规要求等方面达到可以对外开源的条件： d) 确认开源许可证类型及适用于项目发展的代码托管平台，并负责代码托管平台相关权限管理； ( 根据项目开源的目标，定期评估项目价值： f) 建立对外沟通联络机制，方便业内沟通协作： g) 对决定停止维护的项目，确定移交对象或发布停止维护公告。 4.2.3执行团队 执行团队至少包含安全组、专业组、法律组共同配合开源工作，可根据项目评审结果设立运营组、 财务组提供对应支持。各组主要职责如下。 a）安全组： 1）对静态代码进行安全扫描，包括代码检查、静态结构分析、代码质量度量等静态测试； 2）对项目开展代码安全审查，包括项目中引用的其他开源代码； 3）对发现的漏洞等安全问题进行处置。 b) 专业组： 1）开源项目的技术架构把控，确保开源项目的技术架构水平符合业界主流水平； 2）带 制定项目文档清单，定义和审核开源项目的各类文档，包括项目介绍、安装使用说明、技 术白皮书等： 3） 制定开源代码规范，明确开源代码的代码格式、命名原则、文档注释等规范要求，提高开 源代码的易读性，降低维护难度。 c）法律组： 为开源项目组提供有效的许可证选型建议，确保声明、许可证中的披露要求、权利义务及 免责等条款满足项目开源需求： 检查开源项目是否遵循并满足项目中引用的其他开源代码的许可证要求； 3） 检查开源项自是否符合所在国家、地区的法律法规、政策、相关监管要求，如是否涉及商 业机密、数据隐私等； 4） 评估、审查预选的代码托管平台安全性、合规性，避免供应链风险，向管理团队提出建议； 5）开展侵权排查、许可证兼容性冲突检查等工作，确保项目的许可证、声明以及分发策略的 合法性： 6）必要的软件著作权、专利、商标等知识产权保护申请。 d)运营组： 1）根据不同级别的开源项目，规划相应的宣传方案、渠道和实施策略； 2）结合开源产业相关活动、资源平台进行外部宣传，并根据项目的运营表现、舆情等信息进 行分析、反馈及处置； 3）协助开源项目的宣传渠道搭建、商标设计及其他日常运营及推广。 e）财务组： 1）审核项目的整体投入合理性与充足性； 2）协助定期评估项目价值。 4.3规范开源流程 4.3.1规划阶段 规划阶段工作由项目发起方牵头，管理团队和执行团队各组共同参与，具体流程包含： a）明确项目开源的目标及意义，识别内外部可能参与或者受益的群体、自身须投入的资源，为项 3