當(dāng)前簡(jiǎn)訊:國內(nèi)開源軟件的發(fā)展現(xiàn)狀與風(fēng)險(xiǎn)分析

（CWW）全球開源項(xiàng)目的數(shù)量增長(zhǎng)迅速，中國開發(fā)者與開源項(xiàng)目均實(shí)現(xiàn)迅速增長(zhǎng)，高質(zhì)量項(xiàng)目數(shù)量同步增多。“十四五”規(guī)劃中也提出了支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開源知識(shí)產(chǎn)權(quán)和法律體系，鼓勵(lì)企業(yè)開放軟件源代碼、硬件設(shè)計(jì)和應(yīng)用服務(wù)。

中國信通院發(fā)布的《開源生態(tài)白皮書（2021）》顯示，我國在全球最大開源平臺(tái)GitHub上的貢獻(xiàn)者數(shù)量已經(jīng)達(dá)到了全球第二，僅次于美國。2020年，GitHub平臺(tái)上中國貢獻(xiàn)者數(shù)量增加了37%；而在另一個(gè)開源平臺(tái)Gitee上，中國貢獻(xiàn)者的數(shù)量更是增加了50%，總量超過了600萬人。第三方中立的支持開源項(xiàng)目孵化的組織和基金會(huì)在國內(nèi)也開始興起。

隨著“支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開源知識(shí)產(chǎn)權(quán)和法律體系，鼓勵(lì)企業(yè)開放軟件源代碼、硬件設(shè)計(jì)和應(yīng)用服務(wù)”被明確寫入國家“十四五”規(guī)劃，工信部也于2021年底發(fā)布《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》，提出“到2025年建設(shè)2~3個(gè)有國際影響力的開源社區(qū)，培育超過10個(gè)優(yōu)質(zhì)開源項(xiàng)目”的目標(biāo)，并積極推動(dòng)開源項(xiàng)目的發(fā)展。

(資料圖片)

中國開源社區(qū)的三大特點(diǎn)

我國開源軟件產(chǎn)業(yè)相較于歐美發(fā)達(dá)國家起步相對(duì)較晚，在開源社區(qū)觸發(fā)期、發(fā)展期、協(xié)作期、結(jié)晶期與流行期的5個(gè)發(fā)展階段中，中國的開源社區(qū)平臺(tái)大多處于前3個(gè)階段，僅有極少數(shù)開啟了商業(yè)化良性互動(dòng)。從參與企業(yè)類型來看，云計(jì)算企業(yè)是國內(nèi)參與開源軟件市場(chǎng)的主體。

目前我國開源社區(qū)平臺(tái)主要有開發(fā)者社區(qū)、代碼托管平臺(tái)、開源基金會(huì)、開源組織。從現(xiàn)狀上看，我國的開源軟件發(fā)展時(shí)間較短，目前處于起步階段，未來3~5年將迎來高速發(fā)展時(shí)期，處于發(fā)展成熟期的各軟件企業(yè)都有望加入到開源陣營中來，為國內(nèi)的軟件產(chǎn)業(yè)發(fā)展帶來更強(qiáng)增長(zhǎng)動(dòng)力。

通過中國開源軟件推進(jìn)聯(lián)盟時(shí)隔12年發(fā)布的兩次開源社區(qū)統(tǒng)計(jì)分析，可以看出我國開源社區(qū)發(fā)展逐步呈現(xiàn)兩級(jí)分化趨勢(shì)，項(xiàng)目型社區(qū)的數(shù)量有所增加，可是發(fā)展后勁不足。關(guān)注這些項(xiàng)目型社區(qū)，可以發(fā)現(xiàn)其轉(zhuǎn)型分化有3個(gè)特點(diǎn)。

第一，部分項(xiàng)目型社區(qū)正在試圖直接選擇第三代開源社區(qū)（全球開源社區(qū)、開源基金會(huì)）作為宿主社區(qū)，如CNCF基金會(huì)下的TiKV項(xiàng)目，Apache基金會(huì)下的SkyWalking、Kylin、Pulsar等。此類走國際路線的項(xiàng)目型社區(qū)，可以凝聚更多資源，項(xiàng)目可服務(wù)全球市場(chǎng)，最終融入全球領(lǐng)先的第三代社區(qū)。這一整套國際化路線的門檻較高，需要對(duì)語言溝通、開源文化、國際社區(qū)規(guī)則和管理機(jī)制全面了解并熟練運(yùn)用，這讓很多國內(nèi)開發(fā)者望而卻步。

第二，開源項(xiàng)目由發(fā)起公司來主導(dǎo)運(yùn)營的第二代開源社區(qū)，如OpenEuler、Deepin深度操作系統(tǒng)社區(qū)、Ubuntu-Kylin等，此類走自主路線的項(xiàng)目社區(qū)面臨的最大挑戰(zhàn)是：如何將企業(yè)自主與開放共治的社區(qū)基因再平衡？這是社區(qū)可以獲取外部資源的前提條件，此外還需要有專業(yè)的開源治理專家和社區(qū)運(yùn)營團(tuán)隊(duì)，僅以企業(yè)的管理理念和模式難以玩轉(zhuǎn)社區(qū)。

第三，開源項(xiàng)目圍繞具體的特定技術(shù)生態(tài)系統(tǒng)來匯集，如阿里的云棲開發(fā)者社區(qū)，其雖有多個(gè)項(xiàng)目孵化，但核心技術(shù)或產(chǎn)品是由單一公司提供，依然屬于第二代開源社區(qū)，受發(fā)起公司或核心技術(shù)企業(yè)資助。此類走生態(tài)路線的項(xiàng)目社區(qū)需要有足夠的資源投入，如果體量不夠，這種模式很難堅(jiān)持下去，畢竟社區(qū)內(nèi)多個(gè)項(xiàng)目客觀上分散了關(guān)注度和資源，選擇這條路線的企業(yè)需要有“打持久戰(zhàn)”的準(zhǔn)備；否則就應(yīng)該聚焦于一個(gè)項(xiàng)目，集中力量，循序漸進(jìn)。

面臨的風(fēng)險(xiǎn)和挑戰(zhàn)

根據(jù)紅帽公司不久前發(fā)布的《2022企業(yè)開源現(xiàn)狀》市場(chǎng)研究報(bào)告，95%的IT領(lǐng)導(dǎo)者認(rèn)為開源對(duì)其公司非常重要，這與去年的90%相比增加了5%。同時(shí)，紅帽預(yù)測(cè)在接下來的兩年里，受訪企業(yè)使用開源軟件占總軟件數(shù)將上升8%。開源軟件在給全世界的開發(fā)者和用戶帶來便利的同時(shí)，也帶來了包括技術(shù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)在內(nèi)的挑戰(zhàn)。其中開源軟件不斷爆出的安全漏洞、惡意軟件包植入、開源許可證沖突以及開源關(guān)鍵組件的瓶頸風(fēng)險(xiǎn)等，已成為全球范圍內(nèi)亟待解決的共性問題。對(duì)于我國而言，還要面對(duì)來自美國的開源技術(shù)供應(yīng)商和服務(wù)商潛在的技術(shù)出口限制風(fēng)險(xiǎn)。因此，中國開發(fā)者和用戶應(yīng)盡早建立全面的開源風(fēng)險(xiǎn)防范體系，以迎接這些挑戰(zhàn)。

技術(shù)風(fēng)險(xiǎn)

開源軟件涉及源代碼共享，很多配置信息中也涉及賬號(hào)、密碼等敏感信息，如果不對(duì)代碼進(jìn)行審核檢查，可能造成大量敏感信息與數(shù)據(jù)隨著代碼的共享而泄露。開源軟件公開的源代碼，如果包含對(duì)企業(yè)數(shù)據(jù)庫的訪問代碼，則可能導(dǎo)致整個(gè)數(shù)據(jù)庫面臨數(shù)據(jù)泄露的險(xiǎn)，也可能導(dǎo)致企業(yè)內(nèi)部文件與用戶信息的泄露。美國網(wǎng)絡(luò)安全公司Snyk發(fā)布的《2019年開源安全現(xiàn)狀調(diào)查報(bào)告》顯示，78％的漏洞存在于間接依賴關(guān)系中；37％的開源開發(fā)者在持續(xù)集成期間沒有實(shí)施任何類型的安全測(cè)試，54％的開發(fā)者沒有對(duì)Docker鏡像進(jìn)行任何安全測(cè)試；兩年內(nèi)應(yīng)用程序的漏洞數(shù)量增長(zhǎng)了88％。而新思科技《2021開源安全與風(fēng)險(xiǎn)分析報(bào)告》顯示，84%的代碼庫至少含有一個(gè)漏洞，近3年漏洞比例逐年增高，60%的已審核代碼庫包含高風(fēng)險(xiǎn)漏洞。從開源網(wǎng)安Source Check工具對(duì)熱門開源項(xiàng)目的掃描結(jié)果看，53.8%的項(xiàng)目存在超危風(fēng)險(xiǎn)。有鑒于此，開源軟件在部署后需支付較高的維護(hù)費(fèi)用。

法律風(fēng)險(xiǎn)

法律風(fēng)險(xiǎn)主要是知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn)，知識(shí)產(chǎn)權(quán)主要指版權(quán)、專利和商標(biāo)。開源軟件也是享受知識(shí)產(chǎn)權(quán)保護(hù)的，而很多人誤以為開源軟件是免費(fèi)軟件。近年來關(guān)于開源軟件的知識(shí)產(chǎn)權(quán)糾紛層出不窮，這是由于大家在享受開源軟件靈活便捷的同時(shí)，忽略了它也享有知識(shí)產(chǎn)權(quán)相關(guān)條例的保護(hù)。

版權(quán)侵權(quán)風(fēng)險(xiǎn)主要源于兩個(gè)方面：一是開源軟件使用者沒有按照開源許可協(xié)議的規(guī)定使用軟件；二是貢獻(xiàn)者將自己不具有版權(quán)的代碼貢獻(xiàn)到開源社區(qū)，使得開源軟件本身存在版權(quán)瑕疵。

專利可以享受20年的保護(hù)。開源軟件一旦侵犯軟件專利權(quán)，不僅要追溯“發(fā)行者”的法律責(zé)任，還要追溯“使用者”的法律責(zé)任。

軟件商標(biāo)是指軟件生產(chǎn)者為使自己開發(fā)、制造的軟件區(qū)別于其他軟件產(chǎn)品，而置于軟件包裝表面或軟件運(yùn)行時(shí)屏幕中所顯示的文字、圖形等特殊標(biāo)志。開源軟件的商標(biāo)與其他軟件產(chǎn)品一樣，受到商標(biāo)法的保護(hù)。我國商標(biāo)注冊(cè)使用年限為10年，10年之后可以續(xù)展，每次續(xù)展的時(shí)間為10年。

供應(yīng)鏈風(fēng)險(xiǎn)

開源軟件可能會(huì)受地緣政治影響。開源軟件雖然是公開的，可開源平臺(tái)和社區(qū)是有國界的。在俄烏沖突中，GitHub就限制俄羅斯開發(fā)人員使用開源軟件。

三大發(fā)展建議

促進(jìn)開源組織和社區(qū)聯(lián)合多元化發(fā)展

鼓勵(lì)開發(fā)者社區(qū)發(fā)展，“產(chǎn)學(xué)研”聯(lián)合起來交叉賦能，推動(dòng)中國開源社區(qū)等創(chuàng)新聯(lián)合體全面發(fā)展。

完善開源托管和風(fēng)控體系

建設(shè)開源風(fēng)控體系，完善開源代碼托管平臺(tái)，對(duì)我國開源軟件進(jìn)行知識(shí)產(chǎn)權(quán)推廣和保護(hù)。

構(gòu)建開源治理體系

針對(duì)自發(fā)開源企業(yè)、開源使用企業(yè)建立開源軟件管理體系，第三方組織應(yīng)制定開源軟件治理的行業(yè)標(biāo)準(zhǔn)，通過制定開源軟件管理規(guī)則、明確開源軟件檢測(cè)方法，建設(shè)開源軟件監(jiān)測(cè)平臺(tái)，推動(dòng)開源治理體系建設(shè)。

關(guān)鍵詞： 國內(nèi)開源軟件 開源平臺(tái) 技術(shù)生態(tài) 供應(yīng)鏈風(fēng)險(xiǎn)