在全球數字經濟的浪潮下，開源技術已在金融業各領域得到了廣泛的應用，在金融科技創新和數字化轉型方面都發揮著積極的作用。

作為新一代數字普惠銀行，新網銀行始終堅持“技術立行、創新驅動”的發展戰略，致力于通過應用金融科技，服務普惠大眾與實體經濟。在該戰略的指導下，新網銀行積極擁抱開源技術，對內深化構建開源技術治理體系，基于開源技術的合理應用，不斷提高金融科技應用水平與自主可控能力，有效支撐業務創新發展；對外加速推動開源創新生態建設，不斷探索金融同業間實現開源技術開放與共享的可行方式。

針對開源技術引入、推廣、成熟使用、退出的各個階段，新網銀行建立了一套完整的規章制度和流程，形成覆蓋開源技術全生命周期的制度流程體系，并在日常運營過程中對制度流程進行持續優化。

新網銀行開源技術全生命周期管理

基于制度流程，新網銀行在開源技術的選型和使用階段明確了決策評估機制，針對意向引入的技術，綜合核心功能、技術、兼容性等指標進行綜合分析和組織決策；針對進入使用周期的技術，按季度從性能表現、故障告警頻次、擴展性、斷供風險等維度進行合理評估，對未通過評估的技術進行停用退出處理，并重新組織開展選型工作，制定替換方案和計劃。2022年，新網銀行共開展了7項開源技術準入決策，對20項使用中的技術進行運行評估，停用退出3項未通過評估的開源技術。

基于開源技術的有效管理，新網銀行建立了開源技術圖譜，從技術類型和技術方向兩個維度進行分類管理。其中，技術類型包括技術和方法類、工具和平臺類、語言和框架類，技術方向分為基礎設施、技術平臺、開發工具。截至2022年底，新網銀行開源技術圖譜中共有技術和方法49項、工具和平臺195項、語言和框架26項。

要想充分識別并有效控制開源組件中潛在的各類安全風險，保障信息系統安全，必須依賴數字化能力，以流程和工具為依托實現對開源組件的自動化分析。為此，新網銀行基于DevSecOps理念左移安全能力，建設了覆蓋組件安全威脅情報、組件安全掃描分析、信息系統安全測繪的平臺工具系統，構建了覆蓋開發測試、生產運行全流程的一體化開源組件安全治理能力(如圖3所示)。具體流程包括：一是關注外部組件安全相關情報，如高危安全漏洞、包含惡意代碼的開源組件，經內部評估后加入高危組件管控清單；二是在開源組件進入私有組件倉庫或開發人員提交代碼時，自動化開展高危組件檢測、攔截，篩選安全性較高的組件，提高系統組件的安全性；三是通過開發階段的組件分析，完善生產運行態信息系統的組件清單，及時進行安全監測和響應。

新網銀行開源技術安全治理能力體系

通過數年的持續建設與實踐應用，新網銀行已經初步搭建了組織制度完備、作業流程規范、工具支撐賦能的開源治理體系。得益于該體系的持續良好運行，新網銀行依托開源技術生態踐行了自主可控的技術發展路線，有效支撐了業務場景靈活創新下的自主研發及系統建設需求。

當前，新網銀行已在業務應用、開發工具、中間件、數據庫、資源編排、存儲網絡等各系統層級實現了開源技術的廣泛應用，通過分析不同層級的技術特點和服務穩定需求，進行了有針對性的應用規劃，形成了分層清晰、架構合理的整體技術架構，在兼具技術靈活性和創新性的同時，保障了底層基礎設施的安全性和穩定性。

新網銀行開源技術架構