2025年,全球金融行業數字化轉型進入深水區,開源技術憑藉開放共享、靈活迭代、成本優化的核心優勢,已從金融科技的輔助工具升級為核心引擎。政策引導、技術突破與實踐深化三重驅動下,金融開源生態呈現出滲透率持續提升、應用場景多元、治理體系完善的鮮明特徵。
由FINOS(金融科技開源基金會)與Linux基金會聯合發佈的《2025年金融服務開源現狀報告》(以下簡稱《報告》),基於對209家金融機構、金融科技公司的調研及GitHub平台數據追蹤,全景呈現了開源在金融領域的成熟度演進、價值釋放與挑戰突破。*文中所有數據及圖片來源:Fintech Open Source Foundation (FINOS)《The 2025 State of Open Source in Financial Services 》(《2025年金融服務開源現狀報告》)
報告核心數據顯示:93%的受訪者認可開源提升軟件質量,87%認為開源為組織創造商業價值,84%堅信開源是金融行業未來的核心支撐,近20%的機構通過開源實現年均超100萬美元成本節約。
圖1:2025年金融服務開源現狀報告概覽
作為不斷探索金融信息安全與開源治理領域的安勢信息,多年來以“開源安全治理+合規管控+效率提升”為核心,推出的清源 CleanSource SCA軟件成分分析系統、清流 PureStream AI風險治理平台、清本 CleanCode SAST企業級靜態代碼掃描工具、可信開源軟件服務平台、開源治理諮詢服務等產品及解決方案,已深度適配金融行業需求。
本期我們將結合《報告》核心發現,拆解金融開源發展趨勢,並結合安勢信息的實踐經驗,探索金融機構開源價值最大化的實現路徑。
一、開源成熟度邁入“戰略深耕期”治理規範化與實踐規模化並行
《報告》指出,金融服務行業的開源成熟度已從零散應用轉向結構化運營,核心標誌體現在治理體系完善、參與形式升級與戰略對齊深化三大維度,這與安勢信息長期觀察到的行業實踐高度契合。
1、治理體系:OSPO成未核心樞紐,政策框架逐步完善
《報告》數據顯示,47%的受訪機構已設立開源項目辦公室(OSPO)或同類機構,其中大型金融機構(員工超10000人)的OSPO滲透率達64%;50%的機構制定了明確的開源戰略,97%的機構允許使用開源軟件,僅2%明確禁止開源貢獻。這表明金融機構已普遍認識到,開源治理不是風險管控工具,而是戰略落地的載體。
圖2:各機構開源軟件(OSS)參與情況
從實踐來看,OSPO的核心價值在於整合開源決策、合規審查、風險管控與社區協作,解決了此前開源使用部門化割裂、政策不統一的痛點。《報告》提到,部分機構仍存在政策執行不一致的問題,48%的受訪者認為“缺乏清晰ROI”和“法律/許可顧慮”是阻礙開源貢獻的首要因素,43%的機構缺乏開源相關政策或培訓材料。這一痛點在中小金融機構中尤為突出,由於缺乏專業治理團隊,開源使用往往陷入“重使用、輕管控”的困境,可能引發許可證合規風險、漏洞傳導風險等問題。
圖3:認為組織貢獻開源的意願受的限制原因
安勢信息針對這一現狀,推出的“開源治理諮詢+工具落地”一體化解決方案,恰好呼應了《報告》中“治理規範化”的核心需求。安勢信息的開源治理諮詢服務,基於FINOS開源成熟度模型及國內金融監管要求,為金融機構量身定製開源戰略規劃、OSPO組織架構設計、開源使用/貢獻政策制定、培訓體系搭建等服務。例如,某金融機構在安勢信息支持下,建立了“OSPO統籌+業務部門協同+技術團隊執行”的三級治理架構,制定了涵蓋開源組件准入、使用審核、漏洞修復、貢獻流程的全生命週期政策,將開源合規審查納入CI/CD自動化流程中,使開源組件合規通過率從68%提升至95%。
同時,安勢清源 CleanSource SCA開源組件合規檢測平台,可實現對開源組件的全量掃描,支持4000+開源許可證識別、SBOM自動生成與校驗、CSSA漏洞感知體系、漏洞實時監測與分級預警,適配《報告》中強化開源軟件使用政策管控的建議。平台已接入NVD、CNVD、CNNVD、CAVD、Github Advisory等權威漏洞數據庫,結合金融行業特色漏洞庫,可精準識別Log4j、Heartbleed等高危漏洞在金融核心系統中的分佈情況,幫助機構落實《報告》強調的“供應鏈安全管控”要求。
2、參與形式:從“被動消費”到“主動貢獻”,社區協同價值凸顯
圖4:帶有金融服務領域郵箱域名的GitHub倉庫
《報告》追蹤2021-2025年GitHub數據發現,金融行業開源貢獻持續增長:2025年有9,354名金融機構員工向36,056個開源倉庫提交了774,732次代碼提交,較2021年分別增長36.4%、42.6%和80.5%。
圖5:貢獻開源的主要動機
貢獻動機呈現“戰略化特徵”:33%為“回饋社區”,29%為“影響關鍵項目方向”,28%為“降低技術債務”,27%為“吸引和保留人才”。這意味着金融機構已從開源生態的受益者轉變為建設者,通過貢獻代碼、參與治理,將業務需求與技術實踐融入開源項目,提升行業整體技術底座質量。
圖6:若為滿足內部需求而修改開源軟件(OSS),各機構會採取的做法
但《報告》也指出,貢獻實踐仍存在碎片化問題:20%的機構存在“跨團隊重複維護同一開源項目分支”的情況,19%存在“未授權或未追蹤的影子分支”,46%的金融機構存在“有意維護的獨立分支”,這些行為會導致技術債增加、維護成本上升、安全風險累積。
3、戰略對齊:開源與業務目標深度綁定,價值維度持續拓展
圖7:使用開源軟件(OSS)的益處
《報告》顯示,開源的價值已從早期的成本節約拓展至創新加速、合規支撐人才吸引等多元維度:63%的受訪者認為開源“提升軟件質量”,62% 認可“降低軟件授權成本”,59%強調 “創造商業價值”,51%指出“縮短產品上市時間”,50% 認為“減少供應商鎖定”。對於大型金融機構而言,開源更是成為數字化轉型的核心支撐,96%的大型機構認可開源對自身組織的價值,95%認為開源對金融行業未來至關重要。
圖8:你是否同意開源對金融服務行業的未來具有價值
安勢信息此前在服務某企業數字化轉型項目時發現,開源技術的深度應用可顯著提升核心業務效率。該企業採用開源分佈式數據庫、容器化技術構建新一代核心系統,安勢信息為其提供全流程開源安全保障:通過安勢清源 CleanSource SCA對系統中的2300+開源組件進行全面掃描,識別並修復高危漏洞47個,清理不合規組件29個;通過SBOM全生命週期管理系統,生成符合標準的SBOM文件,滿足監管機構對供應鏈透明度的要求;通過開源治理諮詢,幫助企業建立與業務目標對齊的開源選型標準,確保開源技術與業務的適配性。項目上線後,IT運維成本降低25%,開源組件合規率達100%,實現開源與業務深度綁定實現價值倍增。
二、社區協同與技術聚焦:開源價值釋放的量大核心引擎
《報告》強調,開源的本質是協作創造價值,而社區作為協作載體,與AI、雲原生等關鍵技術的結合,正在重塑金融服務的技術邊界。安勢信息的AI+軟件供應鏈安全產品與解決方案,始終圍繞、強化社區協作安全性、提升關鍵技術開源適配性展開,與這一趨勢高度契合。
1社區系統:從“但點參與”到“生態共建”,商業與公益價值共生
圖9:金融服務行業可從哪些領域的開源協作中獲取最大價值?
《報告》指出,51%的受訪者認為“行業標準協作”是開源最具價值的應用場景,遠超AI工具鏈(33%)、合規監管(32%)等領域。金融行業的長期實踐表明,通過開源社區制定統一標準,可減少重複建設、提升互操作性,降低跨機構協作成本。例如,FINOS的Common Cloud Controls項目,由花旗、摩根士丹利等金融機構與微軟、谷歌雲等科技公司聯合發起,通過開源方式構建雲無關的安全控制框架,解決了多雲部署下的合規碎片化問題。
社區的健康發展離不開商業生態支撐。《報告》引用《2025年商業開源現狀報告》指出,開源社區的活躍度與商業公司的估值、融資規模呈正相關,完善的商業模型(如託管服務、SLA保障、定製化開發)可反哺社區持續發展。安勢信息深度參與開源社區治理,一方面將金融行業的安全需求、合規要求反饋至上游社區,推動開源項目優化;另一方面,通過社區獲取最新技術動態與漏洞信息,同步更新產品知識庫,形成社區反饋-產品迭代-行業應用-社區反哺的良性循環。
2、技術聚焦:AI與雲原生成核心賽道,開源成為技術創新底座
《報告》數據顯示,AI連續三年成為金融行業最有價值的開源技術(2025年佔比49%),雲原生技術緊隨其後(39%),且熟悉開源政策的受訪者對兩者的價值認可度更高(AI52%、雲原生49%)。這一趨勢與安勢信息觀察到的行業技術投入方向完全一致,金融機構正通過開源AI框架、雲原生工具,構建敏捷、高效、可擴展的技術體系。
圖10:預計實現生成式AI投資回報率的時間
在AI領域,《報告》指出,56%的受訪者認為“標準”、54%認為“開源模型”、52%認為“框架”是開源對AI發展影響最大的三大領域;49%的機構認為GenAI 將最大程度提升內部開發效率,18%已實現 GenAI ROI,44%預計2-5年內實現回報。但AI開源應用也面臨挑戰:46%的受訪者認為“缺乏內部技能”是主要障礙,43%擔憂“治理流程不完善”,39%面臨“數據與legacy技術限制”。
圖11:我所在機構對生成式AI(GenAI)的使用受到限制,或因這些原因未使用生成式AI:
安勢信息針對AI開源應用的痛點,推出了清流 PureStream AI風險治理工具,可以生成完整的AI物料清單-AI BOM;解決AIGC帶來的合規、隱私、版權、內容安全等風險;促進AIGC合規性與審計,如:涉敏、涉政、涉個人隱私;在關鍵基礎設施領域,增強AIGC安全透明。同時,通過技能培訓服務,幫助金融機構技術團隊提升AI開源組件選型、部署、維護的安全能力。
並且,安勢信息將國內金融行業對AI模型可解釋性、數據隱私保護的監管要求融入框架設計,推動項目增加“金融場景AI合規檢測指標”;同時,基於該框架優化自身的AI開源組件安全檢測模塊,支持對LLM開源模型的合規性、安全性進行專項評估,幫助金融機構規避AI開源模型的使用風險。
圖12:具有金融服務提交者的GitHub代碼庫的關鍵詞頻率
在雲原生領域,GitHub數據顯示,金融機構開源貢獻的關鍵詞中,kubernetes、cloud-native、policy-as-code位居前列,反映出金融機構對容器編排、雲原生安全、基礎設施即代碼的高度關注。《報告》指出,金融機構多采用多雲部署(78%使用多個雲服務商),但不同雲廠商的專有控制和流程導致合規成本高、重複勞動多。開源雲原生技術通過標準化接口、統一治理框架,有效解決了這一問題。
圖13:金融服務領域提交者參與的GitHub倉庫的主要編程語言
此外,《報告》還提到,Python已成為金融機構開源貢獻的第一大語言(佔比 18%),遠超 Java(7%)、C#(3%),這與Python在AI、數據分析領域的優勢密切相關。安勢清源 CleanSource SCA已實現對Python生態的深度支持,可精準識別PyPI倉庫中的開源組件漏洞、許可證合規問題,支持對Python項目的依賴關係進行完整梳理,生成符合SPDX標準的SBOM 文件,滿足金融機構對Python開源項目的管控需求。
三、核心挑戰與破局路徑:安全合規與價值量化是關鍵
《報告》客觀指出,金融開源雖已進入成熟期,但仍面臨安全風險、合規復雜度、價值量化困難等核心挑戰。安勢信息的產品與解決方案,針對這些挑戰提供了可落地的破局路徑,與《報告》提出的“強化安全消費、完善治理框架、量化商業價值”建議高度契合。
1安全風險:供應鏈攻擊與漏洞管理成首要痛點
圖14:你最關注哪些開源相關問題
《報告》顯示,52%的受訪者將“開源組件安全漏洞”列為最主要擔憂,37%關注“供應鏈攻擊”,但僅有43%的機構積極生成SBOM(軟件物料清單),34% 要求供應商提供SBOM,30%將SBOM 集成到CI/CD流程。這一認知與行動脱節的現象,是金融開源安全的核心隱患,缺乏對開源組件的全生命週期可視性,難以快速響應漏洞事件、追溯供應鏈風險。
安勢信息的SBOM全生命週期管理支持SBOM的自動生成、校驗、存儲、查詢、更新,兼容SPDX、CycloneDX等主流標準,可與金融機構的CI/CD流程、漏洞管理平台、合規管理系統無縫集成。
金融機構可實現:開源組件全量可視:自動梳理核心業務系統中的所有開源組件及其依賴關係,生成完整SBOM,解決“影子組件”、“未知依賴”等問題;漏洞快速響應:結合SBOM數據與漏洞數據庫,實現漏洞影響範圍自動分析、修復優先級排序,將漏洞響應時間從數天縮短至數小時;供應鏈追溯:通過SBOM追蹤開源組件的來源、版本、供應商,在遭遇供應鏈攻擊時快速定位受影響模塊,降低攻擊損失;合規申報支持:自動生成符合監管要求的SBOM申報文件,滿足《網絡安全法》《數據安全法》對供應鏈透明度的要求。
2、合規復雜度:許可證與IP風險管控難度大
《報告》指出,48%的受訪者將“法律/許可顧慮”列為開源貢獻的主要障礙,36%擔憂“許可證、IP或合規風險”。金融行業的合規特殊性,要求開源使用必須嚴格遵守開源許可證條款(如GPL系列、Apache、MIT等),避免因許可證衝突引發法律糾紛;同時,需確保開源貢獻不泄露商業機密、核心算法等IP資產。
安勢清源 CleanSource SCA針對開源許可證合規提供了全方位解決方案:支持4000+開源許可證的自動識別與合規性分析,可根據金融機構的業務場景(如核心系統、非核心繫統、內部工具)制定差異化合規策略;自動識別“許可證衝突”(如GPL組件與閉源商業軟件混用),提供合規整改建議。
3價值量化:從“成本節約”到“多維價值”的認知升級
《報告》顯示,開源的價值已超越單純的成本節約:63%提升軟件質量,59%創造商業價值,58%提升生產力,51%縮短上市時間,50%減少供應商鎖定。
圖15:使用開源軟件解決的成本
但價值量化仍面臨挑戰:32%的受訪者不確定開源帶來的年度成本節約,45% 的大型機構表示“無法準確量化”。這一問題導致部分金融機構對開源的投入仍持謹慎態度,難以形成持續的資源支持。
安勢信息通過“開源價值量化諮詢服務”,幫助金融機構建立多維度的開源價值評估體系,將開源價值分為“直接價值”和“間接價值”:直接價值:包括開源許可證費用節約、開發週期縮短帶來的人力成本節約、運維效率提升帶來的運營成本節約等,可通過對比開源方案與商業方案的總成本、測算項目交付週期差異等方式量化;間接價值:包括軟件質量提升帶來的風險成本降低、創新加速帶來的市場份額增長、開源貢獻帶來的品牌價值提升、人才吸引與保留帶來的組織能力增強等,可通過安全事件發生率、新產品上市數量、行業影響力評估、員工留存率等指標間接衡量。
四、未來展望:開源與AI深度融合,治理邁向智能化、一體化
《報告》在結論中指出,金融服務行業已全面擁抱開源,未來的競爭焦點將是開源管理專業化、跨行業標準協同、AI開源價值釋放。結合安勢信息行業實踐與洞察,未來金融開源將呈現三大趨勢:
1、開源治理智能化:AI賦能全生命週期管控
隨着GenAI技術的成熟,開源治理將從人工主導轉向AI賦能。安勢信息正推進AI開源治理,將基於大語言模型實現:開源政策的智能解讀與適配、開源組件的自動選型推薦、漏洞修復方案的智能生成、SBOM的自動更新與校驗、開源貢獻的合規性智能審核等功能。例如,當檢測到新的開源漏洞時,AI可自動分析漏洞影響範圍、匹配修復方案、推送至相關技術團隊,實現漏洞響應的“零人工干預”;當技術團隊提交開源貢獻時,AI可自動審核代碼是否包含敏感信息、是否符合許可證要求,提升貢獻效率。
**
2、開源標準一體化:跨機構、跨領域協同加速**
《報告》指出,51%的受訪者認為“行業標準協作”是開源最具價值的應用場景。未來,金融行業將圍繞核心業務領域(如支付清算、風險管理、氣候風險評估、數字資產),通過開源方式制定更多統一標準,實現跨機構數據互通、系統互聯、流程互認。安勢信息也將積極、深度參與金融開源標準制定,推動開源安全、SBOM、合規治理等領域的標準統一,同時將這些標準融入產品解決方案,幫助金融機構快速適配行業標準,降低跨機構協作成本。
3、開源安全體系化:從“單點防禦”到“縱深防禦”
隨着開源在金融核心系統中的滲透率不斷提升,開源安全將從組件級漏洞檢測轉向體系化縱深防護。安勢信息構建“開源安全防護體系”,整合開源組件准入檢測、運行時漏洞監測、供應鏈安全追溯、合規風險管控、應急響應支持等功能,形成“事前預防-事中監測-事後處置”的全流程安全防護,幫助金融機構構建“零信任”開源安全架構,確保開源技術在核心業務場景的安全應用。
五、寫在最後
《2025年金融服務開源現狀報告》清晰地表明,開源已成為金融服務行業數字化轉型的必選項,而非可選項。從治理規範化到價值多元化,從技術聚焦到社區協同,金融開源正邁入高質量發展的新階段。但安全合規風險、技能缺口、價值量化困難等挑戰,仍需要專業的產品與解決方案提供支撐。
安勢信息作為金融開源治理與安全領域的踐行者,始終以“讓金融機構安全、合規、高效地使用開源”為使命,通過旗下清源 CleanSource SCA軟件成分分析系統、清流 PureStream AI風險治理平台、清本 CleanCode SAST企業級靜態代碼掃描工具、可信開源軟件服務平台、開源治理諮詢服務等產品及解決方案,保障金融機構開源安全與合規。
未來,安勢信息將持續深耕金融行業需求,緊跟開源技術發展趨勢,迭代優化產品與服務,助力金融機構充分釋放開源價值,推動金融服務行業向更敏捷、更安全、更創新的方向發展。
開源重塑金融生態,安全護航創新未來。在開源與金融深度融合的時代,只有將開源治理納入戰略層面,構建“安全為基、合規為綱、價值為核”的開源應用體系,金融機構才能在數字化轉型的浪潮中佔據先機,實現可持續發展。
