开源重塑金融服务新生态｜《2025年金融服务开源现状报告》深度解读与实践路径

*文中所有数据及图片来源：Fintech Open Source Foundation (FINOS)《The 2025 State of Open Source in Financial Services 》（《2025年金融服务开源现状报告》）

报告核心数据显示：93%的受访者认可开源提升软件质量，87%认为开源为组织创造商业价值，84%坚信开源是金融行业未来的核心支撑，近20%的机构通过开源实现年均超100万美元成本节约。

图1：2025年金融服务开源现状报告概览

作为不断探索金融信息安全与开源治理领域的安势信息，多年来以“开源安全治理+合规管控+效率提升”为核心，推出的清源 CleanSource SCA软件成分分析系统、清流 PureStream AI风险治理平台、清本 CleanCode SAST企业级静态代码扫描工具、可信开源软件服务平台、开源治理咨询服务等产品及解决方案，已深度适配金融行业需求。

本期我们将结合《报告》核心发现，拆解金融开源发展趋势，并结合安势信息的实践经验，探索金融机构开源价值最大化的实现路径。

《报告》指出，金融服务行业的开源成熟度已从零散应用转向结构化运营，核心标志体现在治理体系完善、参与形式升级与战略对齐深化三大维度，这与安势信息长期观察到的行业实践高度契合。

《报告》数据显示，47%的受访机构已设立开源项目办公室（OSPO）或同类机构，其中大型金融机构（员工超10000人）的OSPO渗透率达64%；50%的机构制定了明确的开源战略，97%的机构允许使用开源软件，仅2%明确禁止开源贡献。这表明金融机构已普遍认识到，开源治理不是风险管控工具，而是战略落地的载体。

图2：各机构开源软件（OSS）参与情况

从实践来看，OSPO的核心价值在于整合开源决策、合规审查、风险管控与社区协作，解决了此前开源使用部门化割裂、政策不统一的痛点。《报告》提到，部分机构仍存在政策执行不一致的问题，48%的受访者认为“缺乏清晰ROI”和“法律/许可顾虑”是阻碍开源贡献的首要因素，43%的机构缺乏开源相关政策或培训材料。这一痛点在中小金融机构中尤为突出，由于缺乏专业治理团队，开源使用往往陷入“重使用、轻管控”的困境，可能引发许可证合规风险、漏洞传导风险等问题。

图3：认为组织贡献开源的意愿受的限制原因

安势信息针对这一现状，推出的“开源治理咨询+工具落地”一体化解决方案，恰好呼应了《报告》中“治理规范化”的核心需求。安势信息的开源治理咨询服务，基于FINOS开源成熟度模型及国内金融监管要求，为金融机构量身定制开源战略规划、OSPO组织架构设计、开源使用/贡献政策制定、培训体系搭建等服务。例如，某金融机构在安势信息支持下，建立了“OSPO统筹+业务部门协同+技术团队执行”的三级治理架构，制定了涵盖开源组件准入、使用审核、漏洞修复、贡献流程的全生命周期政策，将开源合规审查纳入CI/CD自动化流程中，使开源组件合规通过率从68%提升至95%。

同时，安势清源 CleanSource SCA开源组件合规检测平台，可实现对开源组件的全量扫描，支持4000+开源许可证识别、SBOM自动生成与校验、CSSA漏洞感知体系、漏洞实时监测与分级预警，适配《报告》中强化开源软件使用政策管控的建议。平台已接入NVD、CNVD、CNNVD、CAVD、Github Advisory等权威漏洞数据库，结合金融行业特色漏洞库，可精准识别Log4j、Heartbleed等高危漏洞在金融核心系统中的分布情况，帮助机构落实《报告》强调的“供应链安全管控”要求。

图4：带有金融服务领域邮箱域名的GitHub仓库

《报告》追踪2021-2025年GitHub数据发现，金融行业开源贡献持续增长：2025年有9,354名金融机构员工向36,056个开源仓库提交了774,732次代码提交，较2021年分别增长36.4%、42.6%和80.5%。

图5：贡献开源的主要动机

贡献动机呈现“战略化特征”：33%为“回馈社区”，29%为“影响关键项目方向”，28%为“降低技术债务”，27%为“吸引和保留人才”。这意味着金融机构已从开源生态的受益者转变为建设者，通过贡献代码、参与治理，将业务需求与技术实践融入开源项目，提升行业整体技术底座质量。

图6：若为满足内部需求而修改开源软件（OSS），

各机构会采取的做法

但《报告》也指出，贡献实践仍存在碎片化问题：20%的机构存在“跨团队重复维护同一开源项目分支”的情况，19%存在“未授权或未追踪的影子分支”，46%的金融机构存在“有意维护的独立分支”，这些行为会导致技术债增加、维护成本上升、安全风险累积。

图7：使用开源软件（OSS）的益处

《报告》显示，开源的价值已从早期的成本节约拓展至创新加速、合规支撑人才吸引等多元维度：63%的受访者认为开源“提升软件质量”，62% 认可“降低软件授权成本”，59%强调 “创造商业价值”，51%指出“缩短产品上市时间”，50% 认为“减少供应商锁定”。对于大型金融机构而言，开源更是成为数字化转型的核心支撑，96%的大型机构认可开源对自身组织的价值，95%认为开源对金融行业未来至关重要。

图8：你是否同意开源对金融服务行业的未来具有价值

安势信息此前在服务某企业数字化转型项目时发现，开源技术的深度应用可显著提升核心业务效率。该企业采用开源分布式数据库、容器化技术构建新一代核心系统，安势信息为其提供全流程开源安全保障：通过安势清源 CleanSource SCA对系统中的2300+开源组件进行全面扫描，识别并修复高危漏洞47个，清理不合规组件29个；通过SBOM全生命周期管理系统，生成符合标准的SBOM文件，满足监管机构对供应链透明度的要求；通过开源治理咨询，帮助企业建立与业务目标对齐的开源选型标准，确保开源技术与业务的适配性。项目上线后，IT运维成本降低25%，开源组件合规率达100%，实现开源与业务深度绑定实现价值倍增。

《报告》强调，开源的本质是协作创造价值，而社区作为协作载体，与AI、云原生等关键技术的结合，正在重塑金融服务的技术边界。安势信息的AI+软件供应链安全产品与解决方案，始终围绕、强化社区协作安全性、提升关键技术开源适配性展开，与这一趋势高度契合。

图9：金融服务行业可从哪些领域的开源协作中获取最大价值？

《报告》指出，51%的受访者认为“行业标准协作”是开源最具价值的应用场景，远超AI工具链（33%）、合规监管（32%）等领域。金融行业的长期实践表明，通过开源社区制定统一标准，可减少重复建设、提升互操作性，降低跨机构协作成本。例如，FINOS的Common Cloud Controls项目，由花旗、摩根士丹利等金融机构与微软、谷歌云等科技公司联合发起，通过开源方式构建云无关的安全控制框架，解决了多云部署下的合规碎片化问题。

社区的健康发展离不开商业生态支撑。《报告》引用《2025年商业开源现状报告》指出，开源社区的活跃度与商业公司的估值、融资规模呈正相关，完善的商业模型（如托管服务、SLA保障、定制化开发）可反哺社区持续发展。安势信息深度参与开源社区治理，一方面将金融行业的安全需求、合规要求反馈至上游社区，推动开源项目优化；另一方面，通过社区获取最新技术动态与漏洞信息，同步更新产品知识库，形成社区反馈-产品迭代-行业应用-社区反哺的良性循环。

《报告》数据显示，AI连续三年成为金融行业最有价值的开源技术（2025年占比49%），云原生技术紧随其后（39%），且熟悉开源政策的受访者对两者的价值认可度更高（AI52%、云原生49%）。这一趋势与安势信息观察到的行业技术投入方向完全一致，金融机构正通过开源AI框架、云原生工具，构建敏捷、高效、可扩展的技术体系。

图10：预计实现生成式AI投资回报率的时间

在AI领域，《报告》指出，56%的受访者认为“标准”、54%认为“开源模型”、52%认为“框架”是开源对AI发展影响最大的三大领域；49%的机构认为GenAI 将最大程度提升内部开发效率，18%已实现 GenAI ROI，44%预计2-5年内实现回报。但AI开源应用也面临挑战：46%的受访者认为“缺乏内部技能”是主要障碍，43%担忧“治理流程不完善”，39%面临“数据与legacy技术限制”。

图11：我所在机构对生成式AI（GenAI）的使用受到限制，

或因这些原因未使用生成式AI：

安势信息针对AI开源应用的痛点，推出了清流 PureStream AI风险治理工具，可以生成完整的AI物料清单-AI BOM；解决AIGC带来的合规、隐私、版权、内容安全等风险；促进AIGC合规性与审计，如：涉敏、涉政、涉个人隐私；在关键基础设施领域，增强AIGC安全透明。同时，通过技能培训服务，帮助金融机构技术团队提升AI开源组件选型、部署、维护的安全能力。

并且，安势信息将国内金融行业对AI模型可解释性、数据隐私保护的监管要求融入框架设计，推动项目增加“金融场景AI合规检测指标”；同时，基于该框架优化自身的AI开源组件安全检测模块，支持对LLM开源模型的合规性、安全性进行专项评估，帮助金融机构规避AI开源模型的使用风险。

图12：具有金融服务提交者的GitHub代码库的关键词频率

在云原生领域，GitHub数据显示，金融机构开源贡献的关键词中，kubernetes、cloud-native、policy-as-code位居前列，反映出金融机构对容器编排、云原生安全、基础设施即代码的高度关注。《报告》指出，金融机构多采用多云部署（78%使用多个云服务商），但不同云厂商的专有控制和流程导致合规成本高、重复劳动多。开源云原生技术通过标准化接口、统一治理框架，有效解决了这一问题。

图13：金融服务领域提交者参与的

GitHub仓库的主要编程语言

此外，《报告》还提到，Python已成为金融机构开源贡献的第一大语言（占比 18%），远超 Java（7%）、C#（3%），这与Python在AI、数据分析领域的优势密切相关。安势清源 CleanSource SCA已实现对Python生态的深度支持，可精准识别PyPI仓库中的开源组件漏洞、许可证合规问题，支持对Python项目的依赖关系进行完整梳理，生成符合SPDX标准的SBOM 文件，满足金融机构对Python开源项目的管控需求。

《报告》客观指出，金融开源虽已进入成熟期，但仍面临安全风险、合规复杂度、价值量化困难等核心挑战。安势信息的产品与解决方案，针对这些挑战提供了可落地的破局路径，与《报告》提出的“强化安全消费、完善治理框架、量化商业价值”建议高度契合。

图14：你最关注哪些开源相关问题

《报告》显示，52%的受访者将“开源组件安全漏洞”列为最主要担忧，37%关注“供应链攻击”，但仅有43%的机构积极生成SBOM（软件物料清单），34% 要求供应商提供SBOM，30%将SBOM 集成到CI/CD流程。这一认知与行动脱节的现象，是金融开源安全的核心隐患，缺乏对开源组件的全生命周期可视性，难以快速响应漏洞事件、追溯供应链风险。

安势信息的SBOM全生命周期管理支持SBOM的自动生成、校验、存储、查询、更新，兼容SPDX、CycloneDX等主流标准，可与金融机构的CI/CD流程、漏洞管理平台、合规管理系统无缝集成。

金融机构可实现：

• 开源组件全量可视：自动梳理核心业务系统中的所有开源组件及其依赖关系，生成完整SBOM，解决“影子组件”、“未知依赖”等问题；

• 漏洞快速响应：结合SBOM数据与漏洞数据库，实现漏洞影响范围自动分析、修复优先级排序，将漏洞响应时间从数天缩短至数小时；

• 供应链追溯：通过SBOM追踪开源组件的来源、版本、供应商，在遭遇供应链攻击时快速定位受影响模块，降低攻击损失；

• 合规申报支持：自动生成符合监管要求的SBOM申报文件，满足《网络安全法》《数据安全法》对供应链透明度的要求。

《报告》指出，48%的受访者将“法律/许可顾虑”列为开源贡献的主要障碍，36%担忧“许可证、IP或合规风险”。金融行业的合规特殊性，要求开源使用必须严格遵守开源许可证条款（如GPL系列、Apache、MIT等），避免因许可证冲突引发法律纠纷；同时，需确保开源贡献不泄露商业机密、核心算法等IP资产。

安势清源 CleanSource SCA针对开源许可证合规提供了全方位解决方案：支持4000+开源许可证的自动识别与合规性分析，可根据金融机构的业务场景（如核心系统、非核心系统、内部工具）制定差异化合规策略；自动识别“许可证冲突”（如GPL组件与闭源商业软件混用），提供合规整改建议。

《报告》显示，开源的价值已超越单纯的成本节约：63%提升软件质量，59%创造商业价值，58%提升生产力，51%缩短上市时间，50%减少供应商锁定。

图15：使用开源软件解决的成本

但价值量化仍面临挑战：32%的受访者不确定开源带来的年度成本节约，45% 的大型机构表示“无法准确量化”。这一问题导致部分金融机构对开源的投入仍持谨慎态度，难以形成持续的资源支持。

安势信息通过“开源价值量化咨询服务”，帮助金融机构建立多维度的开源价值评估体系，将开源价值分为“直接价值”和“间接价值”：

• 直接价值：包括开源许可证费用节约、开发周期缩短带来的人力成本节约、运维效率提升带来的运营成本节约等，可通过对比开源方案与商业方案的总成本、测算项目交付周期差异等方式量化；

• 间接价值：包括软件质量提升带来的风险成本降低、创新加速带来的市场份额增长、开源贡献带来的品牌价值提升、人才吸引与保留带来的组织能力增强等，可通过安全事件发生率、新产品上市数量、行业影响力评估、员工留存率等指标间接衡量。

《报告》在结论中指出，金融服务行业已全面拥抱开源，未来的竞争焦点将是开源管理专业化、跨行业标准协同、AI开源价值释放。结合安势信息行业实践与洞察，未来金融开源将呈现三大趋势：

随着GenAI技术的成熟，开源治理将从人工主导转向AI赋能。安势信息正推进AI开源治理，将基于大语言模型实现：开源政策的智能解读与适配、开源组件的自动选型推荐、漏洞修复方案的智能生成、SBOM的自动更新与校验、开源贡献的合规性智能审核等功能。例如，当检测到新的开源漏洞时，AI可自动分析漏洞影响范围、匹配修复方案、推送至相关技术团队，实现漏洞响应的“零人工干预”；当技术团队提交开源贡献时，AI可自动审核代码是否包含敏感信息、是否符合许可证要求，提升贡献效率。

《报告》指出，51%的受访者认为“行业标准协作”是开源最具价值的应用场景。未来，金融行业将围绕核心业务领域（如支付清算、风险管理、气候风险评估、数字资产），通过开源方式制定更多统一标准，实现跨机构数据互通、系统互联、流程互认。安势信息也将积极、深度参与金融开源标准制定，推动开源安全、SBOM、合规治理等领域的标准统一，同时将这些标准融入产品解决方案，帮助金融机构快速适配行业标准，降低跨机构协作成本。

随着开源在金融核心系统中的渗透率不断提升，开源安全将从组件级漏洞检测转向体系化纵深防护。安势信息构建“开源安全防护体系”，整合开源组件准入检测、运行时漏洞监测、供应链安全追溯、合规风险管控、应急响应支持等功能，形成“事前预防-事中监测-事后处置”的全流程安全防护，帮助金融机构构建“零信任”开源安全架构，确保开源技术在核心业务场景的安全应用。

《2025年金融服务开源现状报告》清晰地表明，开源已成为金融服务行业数字化转型的必选项，而非可选项。从治理规范化到价值多元化，从技术聚焦到社区协同，金融开源正迈入高质量发展的新阶段。但安全合规风险、技能缺口、价值量化困难等挑战，仍需要专业的产品与解决方案提供支撑。

安势信息作为金融开源治理与安全领域的践行者，始终以“让金融机构安全、合规、高效地使用开源”为使命，通过旗下清源 CleanSource SCA软件成分分析系统、清流 PureStream AI风险治理平台、清本 CleanCode SAST企业级静态代码扫描工具、可信开源软件服务平台、开源治理咨询服务等产品及解决方案，保障金融机构开源安全与合规。

未来，安势信息将持续深耕金融行业需求，紧跟开源技术发展趋势，迭代优化产品与服务，助力金融机构充分释放开源价值，推动金融服务行业向更敏捷、更安全、更创新的方向发展。

开源重塑金融生态，安全护航创新未来。在开源与金融深度融合的时代，只有将开源治理纳入战略层面，构建“安全为基、合规为纲、价值为核”的开源应用体系，金融机构才能在数字化转型的浪潮中占据先机，实现可持续发展。

*获取完整版报告，先关注【安势信息】公众号，在后台留言“安势”，即可获取下载链接。