人民银行等多部门联合发布《关于规范金融业开源技术应用与发展的意见》
2021-10-21 09:30:42 
阿炯
中国人民银行官网公告称,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅于近日联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)。
近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。《意见》的出台,有助于规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展。
《意见》要求金融机构在使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划,加强对开源技术应用的组织管理和统筹协调,建立健全开源技术应用管理制度体系,制定合理的开源技术应用策略;鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等;鼓励金融机构积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会组织等。《意见》强调要加强统筹协调,建立跨部门协作配合、信息共享机制,完善金融机构开源技术应用指导政策,探索建立开源技术公共服务平台,加强开源技术及应用标准化建设等。
下一步,人民银行、中央网信办、工业和信息化部、银保监会、证监会将继续协同联动,推进《意见》中的各项工作部署落实落地,切实提升金融业开源技术应用水平。
附件:《关于规范金融业开源技术应用与发展的意见》指出
近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。为规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展,现提出以下意见,请结合实际贯彻执行。
一、本意见所指开源技术是金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。
二、金融机构在使用开源技术时应遵循以下原则:
(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。
(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。
(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。
(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。
三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。
四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。
五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。
六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。
七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。
八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级。
九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。
十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。
十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。
十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。
十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。
十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。
十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。
十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。
十七、人民银行、中央网信办、工业和信息化部、银保监会、证监会等部门加强统筹协调,建立跨部门协作配合、信息共享机制,定期召开跨部门协调会议,完善金融机构开源技术应用指导政策,推动金融机构合理规范使用开源技术。
十八、探索建立开源技术公共服务平台,为金融机构识别开源技术风险、动态管理开源软件、持续跟踪开源前沿技术、共享开源发展动态信息、参与开源社区运营等提供专业化、定制化服务。推动金融机构开展开源技术成熟度评估,进行开源许可安全合规审查,建立开源技术选型评估模型,提升开源技术应用质量与效率。
十九、加强开源技术及应用标准化建设,瞄准急需、重点领域加快标准制定与实施。加快推进开源技术应用和标准研究制定一体化。加强开源技术标准建设与信息化规划的衔接配套,推动金融业开源技术及应用高质量发展。
二十、鼓励金融机构加强知识产权保护研究与宣传,提升知识产权保护意识,制定软件版权、专利、商标等开源技术知识产权保护策略和制度。依法合规使用开源技术,同时保障自身在使用开源技术、参与开源生态贡献中的合法权益。
中国人民银行办公厅
网信办秘书局
工业和信息化部办公厅
银保监会办公厅
证监会办公厅
2021年9月28日
详情可见官方公告。
央行发布《金融业开源软件应用 评估规范》
2024年1月15日,人民银行发布金融行业标准《金融业开源软件应用 评估规范》(JR/T 0291-2024)(以下简称 “《规范》”),于当天实施。
据悉,在金融业信息系统建设过程中,开源软件得到了广泛应用,在促进金融机构科技创新和数字化转型等方面发挥了积极作用,但也带来安全、合规等方面的风险与挑战。因此,有必要对开源软件的引入、维护、退出阶段进行规范,提出相应的评估指标。
《规范》旨在针对开源软件使用过程中的风险与难点,提出一套完整的开源软件生命周期管理各阶段评估项与评估方法,降低金融机构开源软件评估过程的复杂度和时间成本,提升金融机构开源治理能力。
《规范》规定了金融机构在应用开源软件时的评估要求,对开源软件的引入、维护和退出提出实现要求、评估方法和判定准则。适用于金融机构对应用的开源软件进行评估。
《规范》提到,引入的开源软件按照实际应用情况,可分为开源基础软件、开源组件和开源工具 3 类。
开源软件引入评估
开源软件引入流程分为3个阶段:
1、需求确定阶段。应明确软件功能需求与非功能需求。
2、初步筛选阶段。应根据需求展开调研,依照初选评估要求,对开源软件进行评估,建立若干可进入终选评估的开源软件名单。
3、终选评估阶段。应根据初选阶段建立的开源软件名单,依照终选评估要求进行评估,并确定最终引入的开源软件。
在初选评估要求上,评估维度包括:
1、开源许可证。金融机构在选用开源软件时,应遵守该开源许可证对使用、修改等行为的规定。
2、产品认可度。产品认可度反映了开源软件在行业生产实践中的应用情况。
3、产品活跃度。产品活跃度反映了开源软件的可持续性和可进化能力,主要从开源软件的版本发布情况、开源社区情况、软件关注情况等方面进行评估。
4、行业支持情况。行业支持情况反映开源软件在业界提供专业化服务的情况。
5、功能特性。不同软件用于解决不同场景的特定问题,其功能特性也不相同,对于功能的评测应结合具体场景进行。
6、安全性。初步筛选阶段安全性重点考查已暴露的漏洞情况。
7、可靠性。重点考察开源软件自身或者结合其他开源软件的高可用性,在出现故障时是否具备自动故障切换能力和容错能力。
8、兼容性。可通过查看文档的方式评估开源软件的兼容性,例如开源软件对不同硬件的兼容性、对不同操作系统的兼容性。
在终选评估要求上,评估维度则包括:
1、安全性。终选阶段安全性重点考查安全机制方面的支持情况。
2、可靠性。终选阶段可靠性重点考察外部开源软件长时间无故障运行的能力,系统可在极限情况下长时间稳定运行,保证业务成功率以及执行效率。
3、性能效率。终选阶段性能效率重点考查在实际压测环境下开源软件的 TPS、QPS、平均响应时间、最大响应时间、最大并发数、服务调用成功率、时间标准差、CPU 使用率、内存占用率、带宽占用及 I/O 情况。
4、兼容性。兼容性包括硬件兼容性、操作系统平台兼容性、数据库兼容性、开源软件版本之间的兼容性,以及编程语言的兼容性、协议兼容性、同一运行环境的其他组件兼容性、开源软件与国产操作系统兼容性。
5、可维护性。可维护性即维护人员对该开源软件进行维护的难易程度,具体包括理解、改正、改动和改进该软件的难易程度。
6、可扩展性。可扩展性主要包括分布式系统下节点的水平扩展、动态扩展及代码扩展能力。
7、易用性。易用性描述了开源软件的学习成本、安装和部署的难易程度等。
开源软件维护评估
在开源软件维护过程中,金融机构应根据开源软件的自主可控程度将开源软件进行分类管理,根据其对主营业务的影响程度分为 3 类:
简单使用类开源软件:可搭建环境,且功能可正常使用。
深度使用类开源软件:在满足简单使用类开源软件要求基础上,掌握开源软件容灾容错机制、实现原理、核心算法等重要内容。
定制开发类开源软件:在满足深度使用类开源软件要求基础上,熟悉代码实现、设计思路,通过定制开发能够较好地满足平台需求。
其中,简单实用类开源软件维护评估内容有:
深度使用类开源软件维护评估内容为:
定制开发类开源软件维护评估内容为:
开源软件退出评估
对于开源软件当前版本已无法满足功能、性能需求,或发现当前版本存在重大风险隐患,或该开源软件已停止更新等情况,应进行退出评估。开源软件的退出可通过开源软件版本升级或开源软件更换来实现。
开源软件退出评估内容包括:开源软件退出机制、开源软件的升级具备兼容性、开源软件在升级后开源许可证的变化,以及更换的开源软件。
近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。《意见》的出台,有助于规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展。
《意见》要求金融机构在使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划,加强对开源技术应用的组织管理和统筹协调,建立健全开源技术应用管理制度体系,制定合理的开源技术应用策略;鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等;鼓励金融机构积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会组织等。《意见》强调要加强统筹协调,建立跨部门协作配合、信息共享机制,完善金融机构开源技术应用指导政策,探索建立开源技术公共服务平台,加强开源技术及应用标准化建设等。
下一步,人民银行、中央网信办、工业和信息化部、银保监会、证监会将继续协同联动,推进《意见》中的各项工作部署落实落地,切实提升金融业开源技术应用水平。
附件:《关于规范金融业开源技术应用与发展的意见》指出
近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。为规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展,现提出以下意见,请结合实际贯彻执行。
一、本意见所指开源技术是金融机构从代码托管平台、技术社区、开源机构官方网站等渠道获取,或通过合作研发、商业采购等方式引入的开源代码、开源组件、开源软件和基于开源技术的云服务等。
二、金融机构在使用开源技术时应遵循以下原则:
(一)坚持安全可控。金融机构应当把保障信息系统安全作为使用开源技术的底线,认真开展事前技术评估和安全评估,堵塞安全漏洞,切实保证技术可持续和供应链安全,提升信息系统业务连续性水平。
(二)坚持合规使用。金融机构应当遵循开源技术相关法律和许可要求,合规使用开源技术,明确开源技术的使用范围和使用的权利与义务,保障开源技术作者或权利人的合法权益。
(三)坚持问题导向。鼓励金融机构有针对性地选择和使用开源技术,建立开源技术使用问题发现、反馈、解决等闭环机制,推动开源技术不断迭代升级。
(四)坚持开放创新。鼓励金融机构重视开源技术应用与发展,积极参与国际国内开源技术社区建设,汲取先进技术,贡献中国智慧,培育适合金融场景的开源产业链,提升开源技术话语权。
三、金融机构可以将开源技术应用纳入自身信息化发展规划,明确开源技术应用目标,制定开源技术应用工作方案并组织实施。
四、鼓励金融机构加强对开源技术应用的组织管理和统筹协调,成立由科技、法务、采购等部门组成的开源技术应用协调机制,负责开源技术评估、选择、应用等工作,协调解决应用中遇到的困难和问题。
五、鼓励金融机构建立健全开源技术应用管理制度体系,规范开源技术的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出等行为。
六、金融机构可以根据金融业务场景,选择适宜的技术路线,制定合理的开源技术应用策略,包括独立完成开源技术应用及运维、引入第三方机构的开源技术支持服务、采购开源技术提供商的商业软件版本及服务等。
七、金融机构可以根据开源技术使用情况,建立开源技术应用台账,及时掌握开源许可证变更、漏洞、闭源、停服等变化情况,实行常态化管理,规避风险。
八、鼓励金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段,加强开源技术研究储备,掌握开源技术核心,以应用促提升,依托金融业丰富的业务场景促进开源技术迭代升级。
九、推动金融机构建立健全对开源技术基本功能、性能指标、安全性、社区成熟度、商业支持度、行业认可度等方面的评估体系,对开源技术引入、使用、更新、退出等环节开展定期评估,在提升自身评估能力的同时,可结合实际引入第三方评估服务。
十、支持金融机构对开源技术版权、专利、商标、声明等进行事前合规审查,通过审查开源许可证遵从性和兼容性、梳理开源技术间依赖性等,避免法律纠纷。可根据需要引入第三方合规审查服务。
十一、支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。通过规划备选方案、限制使用场景、储备核心技术人才等措施降低风险。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。
十二、支持金融机构加强开源技术供应链管理,保障开源技术产品和服务质量,通过合同或协议条款,明确开源技术提供商义务和责任,并要求开源技术提供商对其提供的开源技术进行技术评估、合规审查等。
十三、鼓励金融机构积极参与开源生态建设,依法合规分享开源技术应用经验,共享开源技术研究成果。通过主动开源、贡献代码解决行业共性问题,提升开源技术整体应用水平。鼓励金融机构之间开展开源项目合作,实现优势互补、互利共赢、共同发展。
十四、鼓励金融机构与科技企业、高等院校、科研院所、中介服务等机构加强交流合作,基于市场化原则开展开源技术联合研发和运营,加强开源技术人才培养,推进开源技术迭代升级,促进开源技术成果转化。
十五、支持金融机构加入合法合规的开源社区、开源基金会等开源社会组织,参与开源技术规划设计、研发决策、社区运营等活动。开源社会组织发挥自律作用,研究出台自律公约,规范开源技术参与机构行为,保障开源技术贡献者合法权益。发挥桥梁纽带作用,建立稳定、高效的交流分享机制,定期开展开源技术交流、产金对接、应用推广等活动。
十六、鼓励开源技术提供商加快提升技术创新能力,切实掌握开源技术核心代码,形成自主知识产权,夯实产业支撑能力。在提供基于开源技术的商业软件或服务时,遵循开源许可协议和相关法律法规要求,明确开源技术的使用范围和使用的权利与义务,保障用户合法权益。探索自主开源生态,重点在操作系统、数据库、中间件等基础软件领域和云计算、大数据、人工智能、区块链等新兴技术领域加快生态建设,利用开源模式加速推动信息技术创新发展。
十七、人民银行、中央网信办、工业和信息化部、银保监会、证监会等部门加强统筹协调,建立跨部门协作配合、信息共享机制,定期召开跨部门协调会议,完善金融机构开源技术应用指导政策,推动金融机构合理规范使用开源技术。
十八、探索建立开源技术公共服务平台,为金融机构识别开源技术风险、动态管理开源软件、持续跟踪开源前沿技术、共享开源发展动态信息、参与开源社区运营等提供专业化、定制化服务。推动金融机构开展开源技术成熟度评估,进行开源许可安全合规审查,建立开源技术选型评估模型,提升开源技术应用质量与效率。
十九、加强开源技术及应用标准化建设,瞄准急需、重点领域加快标准制定与实施。加快推进开源技术应用和标准研究制定一体化。加强开源技术标准建设与信息化规划的衔接配套,推动金融业开源技术及应用高质量发展。
二十、鼓励金融机构加强知识产权保护研究与宣传,提升知识产权保护意识,制定软件版权、专利、商标等开源技术知识产权保护策略和制度。依法合规使用开源技术,同时保障自身在使用开源技术、参与开源生态贡献中的合法权益。
中国人民银行办公厅
网信办秘书局
工业和信息化部办公厅
银保监会办公厅
证监会办公厅
2021年9月28日
详情可见官方公告。
央行发布《金融业开源软件应用 评估规范》
2024年1月15日,人民银行发布金融行业标准《金融业开源软件应用 评估规范》(JR/T 0291-2024)(以下简称 “《规范》”),于当天实施。
据悉,在金融业信息系统建设过程中,开源软件得到了广泛应用,在促进金融机构科技创新和数字化转型等方面发挥了积极作用,但也带来安全、合规等方面的风险与挑战。因此,有必要对开源软件的引入、维护、退出阶段进行规范,提出相应的评估指标。
《规范》旨在针对开源软件使用过程中的风险与难点,提出一套完整的开源软件生命周期管理各阶段评估项与评估方法,降低金融机构开源软件评估过程的复杂度和时间成本,提升金融机构开源治理能力。
《规范》规定了金融机构在应用开源软件时的评估要求,对开源软件的引入、维护和退出提出实现要求、评估方法和判定准则。适用于金融机构对应用的开源软件进行评估。
《规范》提到,引入的开源软件按照实际应用情况,可分为开源基础软件、开源组件和开源工具 3 类。
开源软件引入评估
开源软件引入流程分为3个阶段:
1、需求确定阶段。应明确软件功能需求与非功能需求。
2、初步筛选阶段。应根据需求展开调研,依照初选评估要求,对开源软件进行评估,建立若干可进入终选评估的开源软件名单。
3、终选评估阶段。应根据初选阶段建立的开源软件名单,依照终选评估要求进行评估,并确定最终引入的开源软件。
在初选评估要求上,评估维度包括:
1、开源许可证。金融机构在选用开源软件时,应遵守该开源许可证对使用、修改等行为的规定。
2、产品认可度。产品认可度反映了开源软件在行业生产实践中的应用情况。
3、产品活跃度。产品活跃度反映了开源软件的可持续性和可进化能力,主要从开源软件的版本发布情况、开源社区情况、软件关注情况等方面进行评估。
4、行业支持情况。行业支持情况反映开源软件在业界提供专业化服务的情况。
5、功能特性。不同软件用于解决不同场景的特定问题,其功能特性也不相同,对于功能的评测应结合具体场景进行。
6、安全性。初步筛选阶段安全性重点考查已暴露的漏洞情况。
7、可靠性。重点考察开源软件自身或者结合其他开源软件的高可用性,在出现故障时是否具备自动故障切换能力和容错能力。
8、兼容性。可通过查看文档的方式评估开源软件的兼容性,例如开源软件对不同硬件的兼容性、对不同操作系统的兼容性。
在终选评估要求上,评估维度则包括:
1、安全性。终选阶段安全性重点考查安全机制方面的支持情况。
2、可靠性。终选阶段可靠性重点考察外部开源软件长时间无故障运行的能力,系统可在极限情况下长时间稳定运行,保证业务成功率以及执行效率。
3、性能效率。终选阶段性能效率重点考查在实际压测环境下开源软件的 TPS、QPS、平均响应时间、最大响应时间、最大并发数、服务调用成功率、时间标准差、CPU 使用率、内存占用率、带宽占用及 I/O 情况。
4、兼容性。兼容性包括硬件兼容性、操作系统平台兼容性、数据库兼容性、开源软件版本之间的兼容性,以及编程语言的兼容性、协议兼容性、同一运行环境的其他组件兼容性、开源软件与国产操作系统兼容性。
5、可维护性。可维护性即维护人员对该开源软件进行维护的难易程度,具体包括理解、改正、改动和改进该软件的难易程度。
6、可扩展性。可扩展性主要包括分布式系统下节点的水平扩展、动态扩展及代码扩展能力。
7、易用性。易用性描述了开源软件的学习成本、安装和部署的难易程度等。
开源软件维护评估
在开源软件维护过程中,金融机构应根据开源软件的自主可控程度将开源软件进行分类管理,根据其对主营业务的影响程度分为 3 类:
简单使用类开源软件:可搭建环境,且功能可正常使用。
深度使用类开源软件:在满足简单使用类开源软件要求基础上,掌握开源软件容灾容错机制、实现原理、核心算法等重要内容。
定制开发类开源软件:在满足深度使用类开源软件要求基础上,熟悉代码实现、设计思路,通过定制开发能够较好地满足平台需求。
其中,简单实用类开源软件维护评估内容有:
深度使用类开源软件维护评估内容为:
定制开发类开源软件维护评估内容为:
开源软件退出评估
对于开源软件当前版本已无法满足功能、性能需求,或发现当前版本存在重大风险隐患,或该开源软件已停止更新等情况,应进行退出评估。开源软件的退出可通过开源软件版本升级或开源软件更换来实现。
开源软件退出评估内容包括:开源软件退出机制、开源软件的升级具备兼容性、开源软件在升级后开源许可证的变化,以及更换的开源软件。