数字化时代,全球数字经济是开放和紧密相连的整体,经验与知识体系的构建面临海量数据和场景提取。开源能够集众智、采众长,加速软件迭代升级,促进产用协同创新,推动产业生态完善,已成为全球软件技术和产业创新的主导模式。如今越来越多的中国企业都加入了开源的浪潮中,他们既练就了技术,也让更多人领悟了开源的重要意义。随着国家政策的引导、基础软件的崛起、企业的大力投入……毫无疑问,这是开源最好的时代。处于开源热潮之下,如何把握开源发展趋势,迎接未来挑战,成为企业、开源组织与开发者不可不知的“必修课”。
2022年1月5日,由中国信息通信研究院(以下简称“中国信通院”)主办,云计算开源产业联盟承办,云计算标准与开源推进委员会与金融行业开源技术应用社区支持的2021 OSCAR开源先锋日&金融行业开源技术应用社区闭门会议在北京开幕,旨在为开源企业与开源软件提供分享与交流的平台,促进开源软件的繁荣发展。
首先,中国信息通信研究院云计算与大数据研究所副所长栗蔚为活动开幕致辞。栗蔚表示:“随着我国开源相关政策陆续出台,开源行业迎来最好发展时期。应用方面,我国目前超九成企业已经使用开源技术,使用开源技术已成主流。开源一方面可以推动技术创新,另一方面也面临安全漏洞、知识产权风险、技术运维能力等一系列问题。对此,树立开源风险意识,加强开源治理,是推动我国开源生态良性发展的有效手段。”
随着近些年开源技术的广泛应用,针对水平不一的市场参与者,中国信通院从2018年开始,以“公开+透明+合规+安全=可信任”为原则,依据开源生命周期建立了一系列可信开源标准体系,并落地评估测试,规范了对外开源管理、开源使用管理、开源供应链管理,同时对开源项目、开源社区、开源产品和SCA工具进行评价,以帮助企业降低开源软件的使用风险,推动建立可信开源生态。
作为会议的重要环节之一,中国信通院云计算与大数据研究所副所长栗蔚对可信开源评估结果进行重磅发布,并颁发证书。具体评估结果如下:
可信开源供应链(2021年第三批新增)
网易数帆
可信开源治理工具(2021年第三批新增)
安势信息 清源 CleanSource(SaaS版本)
中电拟态 电科•安测•探巡-代码成分分析平台(本地部署版本)
可信开源社区(2021年第三批新增)
NGINX、JingOS、DoKit
可信开源项目(2021年第三批新增)
Know Streaming (版本号:2.4.2)
LogicFlow (版本号:0.7.14)
NGINX (版本号:1.21.4)
DELTA (版本号:0.3.3)
Harrier (版本号:2.3)
中国信通院累计完成55项可信开源评估
从2018年底,中国信通院陆续成立了金融行业、通信行业、科技制造行业开源社区以及可信开源社区共同体,聚焦行业开源痛点问题,促进行业间开源协作交流和开源治理的经验分享。此次会议对社区新成员进行公布,中国信通院云计算与大数据研究所副所长栗蔚为2021年度下半年开源社区新成员颁发证书。
金融行业开源技术应用社区新增5个成员单位,分别是:
中国建设银行股份有限公司
中国邮政储蓄银行股份有限公司
大连银行股份有限公司
渤海银行股份有限公司
广东省农村信用社联合社
通信行业开源社区新增2个成员单位,分别是:
中国电信研究院
天翼数字生活股份有限公司
科技制造开源社区新增3个成员单位和2位委员会顾问专家,分别是:
3个成员单位
HONOR荣耀
北京市商汤科技开发有限公司
红帽软件(北京)有限公司
2位委员会顾问专家
钱海远
田忠
可信开源社区共同体新增6个正式成员单位和2个预备成员单位,分别是:
6个正式成员单位
NGINX
JingOS
DoKit
LogicFlow
DELTA
Know Streaming
2个预备成员单位
PolarDB
Apache DolphinScheduler
近年来,开源从特定产品形态逐步发展为广泛的协作模式,其重要性和价值已经得到了充分的理解与认同。然而,不同行业因自身行业属性和业务场景,其开源生态发展阶段与实践模式都有很大的差别。作为开源领域的重要交流平台,中国信通院积极推动我国开源生态的体系建设,依托“可信开源”这一品牌,形成一系列面向行业的开源核心标准体系。会议上,中国信通院云计算与大数据研究所计算部副主任郭雪针对中国信通院“可信开源”全景规划进行详细阐述。郭雪首先进一步理清开源发展路径,展现我国技术开源与产业开放的新型协作模式,并就如何从应用侧和供给侧双向推动开源生态建设进行说明。之后,她针对中国信通院开源治理平台、开源治理培训体系、企业开源赋能计划、开源安全守卫计划等服务和工具进行更为深入的讲解,通过构建开源培训、诊断、咨询、订阅、评估全生命周期赋能体系,帮助企业从“开源使用者”迈向“开源引领者”。
随着开源热度在全球持续升温,企业引入开源软件构建平台、系统、软件趋势日益明显,企业在享受开源引入带来的成本降低、技术迭代速度加快等便利的同时,也面临着管理风险、安全风险、运维风险、知识产权风险等,为了更好地规避开源软件上述风险问题,企业需逐步开展开源治理工作。中国信通院云计算与大数据研究所云计算部工程师俊哲针对企业治理能力成熟度、项目治理能力标准、开源治理平台三大标准进行解读,力求切实帮助企业提升开源治理能力,让用户在进行开源治理时“有据可依”。
开源技术的蓬勃发展,给我国的金融行业带来了莫大的助力。金融行业长期以来一直是开源软件的消费者,相比于其他行业用户最早关注开源软件使用治理领域。金融机构想要用好开源技术,必须先对其风险有理性的认知,以进一步完善开源治理、开源运营、开源安全合规等问题。针对这些问题,浦发银行创新研究中心技术主管杨欣捷、中国农业银行研发中心高级工程师刘建珍、中信银行软件开发中心工程师李沅桐分别就各自企业的开源技术实践与大家进行分享。
在企业使用开源软件构建产品过程中,开源供应链的开源合规治理至关重要,未按照开源许可证条款使用开源软件可造成侵权和被迫开源的风险,开源软件中的开源漏洞问题屡屡出现,如何构建开源供应链风险管理成为众多产品企业的痛点问题。针对开源供应链管理规范以及开源服务商能力要求,中国信通院云计算与大数据研究所云计算部工程师李晓明展开详细解读,帮助企业提高对软件供应过程中的开源风险的管控能力,保障交付物中开源部分的合规和安全。
如今,很多企业使用的开源软件通常来源于开源社区或各大代码托管平台,如何保证这些软件的安全性与合规性,就成为了每个使用开源软件的企业必须思考的问题。国内企业已经开始逐步建立开源治理体系应对开源风险,但是依然任重道远。上海安势信息技术有限公司产品研发总监杨钦就《如何识别开源软件中的安全与合规风险》进行分享。
随着开源技术的广泛应用,组织和个人对如何构建活跃的开发者生态,营造健康可信开源社区的关注度越来越高。对此,中国信通院推动开源项目与社区标准制定,对开源项目的健康程度与可持续性展开评测,以降低开源项目的安全风险,完善开源项目的开发者、用户生态。中国信通院云大所云计算部工程师张一阳此次梳理开源项目与社区应关注的内容及指标,聚焦于如何构建活跃的开发者生态与可信的开源项目与社区,分享开源项目系列标准,并对开源发展态势洞察报告进行解读。
尽管开源社区可称为“开放源代码社区”,但如果仅仅只是开放源码,忽视开源社区建设,将引发众多不良后果。长此以往,如大树失去养分,整个开源社区将会失去生命力,更无需谈开源项目的持续发展。因此,丰富开源社区的多样性和包容性,需要积极从开发者的需求出发来运营社区,让其快速成长。在具体运营社区的过程中,有哪些维度的指标可以作为参考标准?有哪些举措可以不断激发社区生命力?F5 NGINX开源社区经理孔令子带来《成熟开源项目的社区治理》的主题演讲。
JingOS开源社区运营总监张煜靖为大家分享《JingOS开源项目:让Linux真正走进移动世界》。
作为金融行业的重要分支,证券行业核心应用系统业务越来越复杂,其对开源技术风险防控、开源治理有着更高的要求。对此问题,恒生电子股份有限公司云基础系统发展部产品经理洪婷婷分享《证券行业开源治理实现路径》,对证券行业在开源治理的具体实施方面给出建议。
开源既可以是一个开放协作、共享共治的治理理念,也可以是一个资源重组的商业契机。如今,国内开发者和企业对开源的认知正在迅速革新,开源文化、社区文化缩短了世界的边界、开发的边界,促进了全球化的软件研发与创新。随着越来越多的企业、组织与开发者参与到开源事业之中,相信会有更多从业者发现其蕴藏的无限可能,并打开一个未知的全新世界,中国信通院也将继续和产业界的各企业和专家一起共同推动我国开源生态健康发展。