當(dāng)前簡(jiǎn)訊:國內(nèi)開源軟件的發(fā)展現(xiàn)狀與風(fēng)險(xiǎn)分析

發(fā)布時(shí)間:2022-08-09 17:33:28  |  來源:通信世界全媒體  

(CWW)全球開源項(xiàng)目的數(shù)量增長(zhǎng)迅速,中國開發(fā)者與開源項(xiàng)目均實(shí)現(xiàn)迅速增長(zhǎng),高質(zhì)量項(xiàng)目數(shù)量同步增多。“十四五”規(guī)劃中也提出了支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展,完善開源知識(shí)產(chǎn)權(quán)和法律體系,鼓勵(lì)企業(yè)開放軟件源代碼、硬件設(shè)計(jì)和應(yīng)用服務(wù)。

中國信通院發(fā)布的《開源生態(tài)白皮書(2021)》顯示,我國在全球最大開源平臺(tái)GitHub上的貢獻(xiàn)者數(shù)量已經(jīng)達(dá)到了全球第二,僅次于美國。2020年,GitHub平臺(tái)上中國貢獻(xiàn)者數(shù)量增加了37%;而在另一個(gè)開源平臺(tái)Gitee上,中國貢獻(xiàn)者的數(shù)量更是增加了50%,總量超過了600萬人。第三方中立的支持開源項(xiàng)目孵化的組織和基金會(huì)在國內(nèi)也開始興起。

隨著“支持?jǐn)?shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展,完善開源知識(shí)產(chǎn)權(quán)和法律體系,鼓勵(lì)企業(yè)開放軟件源代碼、硬件設(shè)計(jì)和應(yīng)用服務(wù)”被明確寫入國家“十四五”規(guī)劃,工信部也于2021年底發(fā)布《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》,提出“到2025年建設(shè)2~3個(gè)有國際影響力的開源社區(qū),培育超過10個(gè)優(yōu)質(zhì)開源項(xiàng)目”的目標(biāo),并積極推動(dòng)開源項(xiàng)目的發(fā)展。


(資料圖片)

中國開源社區(qū)的三大特點(diǎn)

我國開源軟件產(chǎn)業(yè)相較于歐美發(fā)達(dá)國家起步相對(duì)較晚,在開源社區(qū)觸發(fā)期、發(fā)展期、協(xié)作期、結(jié)晶期與流行期的5個(gè)發(fā)展階段中,中國的開源社區(qū)平臺(tái)大多處于前3個(gè)階段,僅有極少數(shù)開啟了商業(yè)化良性互動(dòng)。從參與企業(yè)類型來看,云計(jì)算企業(yè)是國內(nèi)參與開源軟件市場(chǎng)的主體。

目前我國開源社區(qū)平臺(tái)主要有開發(fā)者社區(qū)、代碼托管平臺(tái)、開源基金會(huì)、開源組織。從現(xiàn)狀上看,我國的開源軟件發(fā)展時(shí)間較短,目前處于起步階段,未來3~5年將迎來高速發(fā)展時(shí)期,處于發(fā)展成熟期的各軟件企業(yè)都有望加入到開源陣營中來,為國內(nèi)的軟件產(chǎn)業(yè)發(fā)展帶來更強(qiáng)增長(zhǎng)動(dòng)力。

通過中國開源軟件推進(jìn)聯(lián)盟時(shí)隔12年發(fā)布的兩次開源社區(qū)統(tǒng)計(jì)分析,可以看出我國開源社區(qū)發(fā)展逐步呈現(xiàn)兩級(jí)分化趨勢(shì),項(xiàng)目型社區(qū)的數(shù)量有所增加,可是發(fā)展后勁不足。關(guān)注這些項(xiàng)目型社區(qū),可以發(fā)現(xiàn)其轉(zhuǎn)型分化有3個(gè)特點(diǎn)。

第一,部分項(xiàng)目型社區(qū)正在試圖直接選擇第三代開源社區(qū)(全球開源社區(qū)、開源基金會(huì))作為宿主社區(qū),如CNCF基金會(huì)下的TiKV項(xiàng)目,Apache基金會(huì)下的SkyWalking、Kylin、Pulsar等。此類走國際路線的項(xiàng)目型社區(qū),可以凝聚更多資源,項(xiàng)目可服務(wù)全球市場(chǎng),最終融入全球領(lǐng)先的第三代社區(qū)。這一整套國際化路線的門檻較高,需要對(duì)語言溝通、開源文化、國際社區(qū)規(guī)則和管理機(jī)制全面了解并熟練運(yùn)用,這讓很多國內(nèi)開發(fā)者望而卻步。

第二,開源項(xiàng)目由發(fā)起公司來主導(dǎo)運(yùn)營的第二代開源社區(qū),如OpenEuler、Deepin深度操作系統(tǒng)社區(qū)、Ubuntu-Kylin等,此類走自主路線的項(xiàng)目社區(qū)面臨的最大挑戰(zhàn)是:如何將企業(yè)自主與開放共治的社區(qū)基因再平衡?這是社區(qū)可以獲取外部資源的前提條件,此外還需要有專業(yè)的開源治理專家和社區(qū)運(yùn)營團(tuán)隊(duì),僅以企業(yè)的管理理念和模式難以玩轉(zhuǎn)社區(qū)。

第三,開源項(xiàng)目圍繞具體的特定技術(shù)生態(tài)系統(tǒng)來匯集,如阿里的云棲開發(fā)者社區(qū),其雖有多個(gè)項(xiàng)目孵化,但核心技術(shù)或產(chǎn)品是由單一公司提供,依然屬于第二代開源社區(qū),受發(fā)起公司或核心技術(shù)企業(yè)資助。此類走生態(tài)路線的項(xiàng)目社區(qū)需要有足夠的資源投入,如果體量不夠,這種模式很難堅(jiān)持下去,畢竟社區(qū)內(nèi)多個(gè)項(xiàng)目客觀上分散了關(guān)注度和資源,選擇這條路線的企業(yè)需要有“打持久戰(zhàn)”的準(zhǔn)備;否則就應(yīng)該聚焦于一個(gè)項(xiàng)目,集中力量,循序漸進(jìn)。

面臨的風(fēng)險(xiǎn)和挑戰(zhàn)

根據(jù)紅帽公司不久前發(fā)布的《2022企業(yè)開源現(xiàn)狀》市場(chǎng)研究報(bào)告,95%的IT領(lǐng)導(dǎo)者認(rèn)為開源對(duì)其公司非常重要,這與去年的90%相比增加了5%。同時(shí),紅帽預(yù)測(cè)在接下來的兩年里,受訪企業(yè)使用開源軟件占總軟件數(shù)將上升8%。開源軟件在給全世界的開發(fā)者和用戶帶來便利的同時(shí),也帶來了包括技術(shù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)在內(nèi)的挑戰(zhàn)。其中開源軟件不斷爆出的安全漏洞、惡意軟件包植入、開源許可證沖突以及開源關(guān)鍵組件的瓶頸風(fēng)險(xiǎn)等,已成為全球范圍內(nèi)亟待解決的共性問題。對(duì)于我國而言,還要面對(duì)來自美國的開源技術(shù)供應(yīng)商和服務(wù)商潛在的技術(shù)出口限制風(fēng)險(xiǎn)。因此,中國開發(fā)者和用戶應(yīng)盡早建立全面的開源風(fēng)險(xiǎn)防范體系,以迎接這些挑戰(zhàn)。

技術(shù)風(fēng)險(xiǎn)

開源軟件涉及源代碼共享,很多配置信息中也涉及賬號(hào)、密碼等敏感信息,如果不對(duì)代碼進(jìn)行審核檢查,可能造成大量敏感信息與數(shù)據(jù)隨著代碼的共享而泄露。開源軟件公開的源代碼,如果包含對(duì)企業(yè)數(shù)據(jù)庫的訪問代碼,則可能導(dǎo)致整個(gè)數(shù)據(jù)庫面臨數(shù)據(jù)泄露的險(xiǎn),也可能導(dǎo)致企業(yè)內(nèi)部文件與用戶信息的泄露。美國網(wǎng)絡(luò)安全公司Snyk發(fā)布的《2019年開源安全現(xiàn)狀調(diào)查報(bào)告》顯示,78%的漏洞存在于間接依賴關(guān)系中;37%的開源開發(fā)者在持續(xù)集成期間沒有實(shí)施任何類型的安全測(cè)試,54%的開發(fā)者沒有對(duì)Docker鏡像進(jìn)行任何安全測(cè)試;兩年內(nèi)應(yīng)用程序的漏洞數(shù)量增長(zhǎng)了88%。而新思科技《2021開源安全與風(fēng)險(xiǎn)分析報(bào)告》顯示,84%的代碼庫至少含有一個(gè)漏洞,近3年漏洞比例逐年增高,60%的已審核代碼庫包含高風(fēng)險(xiǎn)漏洞。從開源網(wǎng)安Source Check工具對(duì)熱門開源項(xiàng)目的掃描結(jié)果看,53.8%的項(xiàng)目存在超危風(fēng)險(xiǎn)。有鑒于此,開源軟件在部署后需支付較高的維護(hù)費(fèi)用。

法律風(fēng)險(xiǎn)

法律風(fēng)險(xiǎn)主要是知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn),知識(shí)產(chǎn)權(quán)主要指版權(quán)、專利和商標(biāo)。開源軟件也是享受知識(shí)產(chǎn)權(quán)保護(hù)的,而很多人誤以為開源軟件是免費(fèi)軟件。近年來關(guān)于開源軟件的知識(shí)產(chǎn)權(quán)糾紛層出不窮,這是由于大家在享受開源軟件靈活便捷的同時(shí),忽略了它也享有知識(shí)產(chǎn)權(quán)相關(guān)條例的保護(hù)。

版權(quán)侵權(quán)風(fēng)險(xiǎn)主要源于兩個(gè)方面:一是開源軟件使用者沒有按照開源許可協(xié)議的規(guī)定使用軟件;二是貢獻(xiàn)者將自己不具有版權(quán)的代碼貢獻(xiàn)到開源社區(qū),使得開源軟件本身存在版權(quán)瑕疵。

專利可以享受20年的保護(hù)。開源軟件一旦侵犯軟件專利權(quán),不僅要追溯“發(fā)行者”的法律責(zé)任,還要追溯“使用者”的法律責(zé)任。

軟件商標(biāo)是指軟件生產(chǎn)者為使自己開發(fā)、制造的軟件區(qū)別于其他軟件產(chǎn)品,而置于軟件包裝表面或軟件運(yùn)行時(shí)屏幕中所顯示的文字、圖形等特殊標(biāo)志。開源軟件的商標(biāo)與其他軟件產(chǎn)品一樣,受到商標(biāo)法的保護(hù)。我國商標(biāo)注冊(cè)使用年限為10年,10年之后可以續(xù)展,每次續(xù)展的時(shí)間為10年。

供應(yīng)鏈風(fēng)險(xiǎn)

開源軟件可能會(huì)受地緣政治影響。開源軟件雖然是公開的,可開源平臺(tái)和社區(qū)是有國界的。在俄烏沖突中,GitHub就限制俄羅斯開發(fā)人員使用開源軟件。

三大發(fā)展建議

促進(jìn)開源組織和社區(qū)聯(lián)合多元化發(fā)展

鼓勵(lì)開發(fā)者社區(qū)發(fā)展,“產(chǎn)學(xué)研”聯(lián)合起來交叉賦能,推動(dòng)中國開源社區(qū)等創(chuàng)新聯(lián)合體全面發(fā)展。

完善開源托管和風(fēng)控體系

建設(shè)開源風(fēng)控體系,完善開源代碼托管平臺(tái),對(duì)我國開源軟件進(jìn)行知識(shí)產(chǎn)權(quán)推廣和保護(hù)。

構(gòu)建開源治理體系

針對(duì)自發(fā)開源企業(yè)、開源使用企業(yè)建立開源軟件管理體系,第三方組織應(yīng)制定開源軟件治理的行業(yè)標(biāo)準(zhǔn),通過制定開源軟件管理規(guī)則、明確開源軟件檢測(cè)方法,建設(shè)開源軟件監(jiān)測(cè)平臺(tái),推動(dòng)開源治理體系建設(shè)。

關(guān)鍵詞: 國內(nèi)開源軟件 開源平臺(tái) 技術(shù)生態(tài) 供應(yīng)鏈風(fēng)險(xiǎn)

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號(hào):京ICP備2022016840號(hào)-16 營業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com