JRT0291-2024金融业开源软件应用评估规范.pdf

ICS35.240.40

CCSA11

JR

中华人民共和国金融行业标准

JR/T0291—2024

金融业开源软件应用评估规范

Opensourcesoftwareapplicationsinfinancialindustry—Specification

forevaluation

2024-01-15发布2024-01-15实施

中国人民银行  发布

JR/T0291—2024

金融业开源软件应用评估规范

1范围

本文件规定了金融机构在应用开源软件时的评估要求，对开源软件的引入、维护和退出提出了实现

要求、评估方法和判定准则。

本文件适用于金融机构对应用的开源软件进行评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

JR/T0289—2024金融业开源技术术语

3术语和定义

JR/T0289—2024界定的以及下列术语和定义适用于本文件。

信息系统informationsystem

由计算机系统、网络系统软件硬件及其相关设备、设施、应用软件等构成的，按照一定的应用目标

和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

[来源：JR/T0140—2017，3.2]

4缩略语

下列缩略语适用于本文件。

CPU：中央处理单元（CentralProcessingUnit）

CVE：公共漏洞与曝光（CommonVulnerabilitiesandExposures）

HTTP：超文本传输协议（HypertextTransferProtocol）

I/O：输入/输出（Input/Output）

QPS：每秒请求查询次数（QueryPerSecond）

TCP：传输控制协议（TransmissionControlProtocol）

TPS：每秒事务处理次数（TransactionPerSecond）

5总体要求

在金融业信息系统的建设过程中，引入的开源软件按照实际应用情况，可分为开源基础软件、开源

组件和开源工具3类，各阶段应用评估要求主要包括以下内容。

1

JR/T0291—2024

a）引入时，不同开源软件的功能特性、性能效率存在差异，且可靠性、安全性、兼容性、可扩展

性等方面也应全面考察，因此开源软件引入评估应包含引入流程和较为全面的引入指标。

b）维护时，规范阐述如何确保开源软件运行过程的自主可控，对简单使用类、深度使用类与定制

开发类的开源软件分别提出不同的维护要求。

c）退出时，应根据业务需求或软件迭代进展，有序完成版本更新或软件更换。

6开源软件引入评估

6.1开源软件引入流程

开源软件引入流程共分为3个阶段，如下图所示。

图开源软件引入流程图

开源软件的引入流程具体内容如下。

a）需求确定阶段应明确软件功能需求与非功能需求。

b）初步筛选阶段应根据需求展开调研，依照初选评估要求（见6.2），对开源软件进行评估，建立

若干可进入终选评估的开源软件名单。

c）终选评估阶段应根据初选阶段建立的开源软件名单，依照终选评估要求（见6.3）进行评估，并

确定最终引入的开源软件。