《中国通信标准化协会:全球开源生态洞察报告(2024年)(38页).pdf》由会员分享,可在线阅读,更多相关《中国通信标准化协会:全球开源生态洞察报告(2024年)(38页).pdf(38页珍藏版)》请在三个皮匠报告上搜索。
1、 中国通信标准化协会 云计算标准和开源推进委员会!#$%$%&()*()*+,-.-.-/001 1+云计算标准和开源推进委员会 版权声明版权声明 !#$%&$%&()*+,-./0()*+,-./0123123,-45,-456789:06789:0;?ABCDEFGHIJKLM;?ABCDEFGHIJKLMNOJ!NOJ!#PQHRSTU;VWXPQHRSTU;VWX“Y6ZY6Z()*+,()*+,-./0123,-456789:0-./0123,-456789:0”B_XR;B_XR;abKcd?efBabKcd?efB 22 33 开源是一种开放共享的新型协作模式,是数字经济创新
2、、开放、共享、可持续发展的源头活水。开源有力激发科技创新突破,构建产业发展新格局,形成多边而紧密的全球化合作格局,全面助力数字社会发展。全球开源生态持续蓬勃发展,相较前几年,全球开源生态在最新一年呈现出以下三个显著特征:45#$67894:;?A!ABCDEFGHIJKLMNOPA=开源具备汇聚众智,促进多方协同的特点,有效提升技术创新及重大科学问题突破速度。QR#SA=传统产业体系吸收开源协同的协作模式,分工链条更长更广,满足复杂技术成果易组装、垂直化的生产要求与场景化、定制化的应用需要。TUVWA=全球通过开源连接广泛的国际合作关系,构建更加紧密的全球协作分工体系,重塑数字时代国际发展新格
3、局。FGXYA=开源概念逐渐外延,已从软件拓展至数字公共产品,覆盖开源软件、开放内容、开放数据等多个领域,促进数字技术为人类共同繁荣服务。Z5#$%&_abcdefg=hci?jALklA=全球开源软件项目稳定增长,总规模突破 40 亿个。2023年 GitHub 托管仓库已达 42 亿,新增仓库 7300 万个,增长率达 21%。NmA=全球开源软件的技术覆盖已经展现出差异化路径。基础领域如操作系统开源软件项目安全能力和法律合规能力较为突出。新兴领域如云计算、人工智能等开源软件项目技术稳健性、技术生产力表现抢眼。noA=开源热点地区发展成熟,美欧仍是开源主导力量,引领开源生态高速增长。FGA
4、=开源模式助推数字公共产品高速发展,对于释放数字技术的巨大潜力以实现可持续发展目标至关重要。p5!#$qrstuv=qrwxyz|L全球开源安全、供应链、合规等风险在行业应用过程中日益加剧,状况未见明显改善。最新一年在全球 84%的代码库中包含至少一个已知开源漏洞,其中有 74%是高风险漏洞。此外,通过调研,企业当前开源治理能力相对薄弱,亟需战略性规划和制度指导。报告在开源生态、开源风险等开源领域热点问题研究的基础上,从五方面全面分析了开源生态发展对数字社会的积极影响,并进一步完善了开源软件项目评价模型,洞察开源生态最新发展现状,为推动开源生态健康可持续发展提供参考。栗蔚 郭雪 张一阳 武倩聿
5、 俊哲 李晓明 张燕 贾宇尘 孔令昊 贾明川 ll 一、开源已成为赋能数字经济高质量发展的原动力.1(一)开源降低创新准入门槛,持续激发技术创新发展活力.1(二)开源助力建设开放的产业体系,构建产业发展新格局.2(三)开源有效打造数字经济发展“高地”,促进经济实力提升.2(四)开源助推可持续发展目标,形成多边紧密的全球化格局.4(五)开源延伸拓展多种概念形态,打造开放协作的数字时代.5 二、全球开源生态愈发成熟,开创数字时代发展新格局.6(一)项目方面开源生态稳健发展,各梯队成熟度差距明显.6(二)技术方面开源生态特征鲜明,各技术栈多元快速发展.10(三)区域方面开源热点地区发展成熟,积极推进
6、开源建设.15(四)社会方面开源生态边界拓宽,数字时代公共价值凸显.19 三、开源风险问题不可忽视,开源治理体系亟需优化.20(一)开源风险问题日益复杂,企业开源治理有待完善.20(二)数字公共产品的风险治理需要多方参与和合作.24 四、开源生态总结与展望.26(一)全球开源发展趋势.26(二)我国开源发展建议.28 ll g 1 56hijk0lmnSopqr.4 g 2 56hi4sQtuvwUdx.6 g 3 GitHub yz56hi|s.7 g 4 56hi|s,.9 g 5 56hi|.10 g 6“”56hi|.11 g 7“”56g.12 g 8 56hi|.16 g 9 20
7、22-2023 )56Rs.17 图 10 开源组件安全漏洞处置方式.22 hh ll 1 56hi|,-.9 2 sQtuvw.25 全球开源生态洞察报告(2024 年)1 4#$iBCDEHJK 开源是一种开放共享的新型协作模式,是数字经济创新、开放、共享、可持续发展的源头活水。开源已从开源软件拓展延伸至开放数据、开放标准、开放人工智能模型、开放内容等多种形态。开源对于科技创新、产业开放、经济共享、全球可持续发展具有重要价值,是赋能数字经济高质量发展的原动力。(一一)!#$%&()*+,-./01#$%&()*+,-./01%&%&/2/23434#$JNmOP=DEMNOPL开源汇聚众智
8、、促进多方协同,有效实现了优势互补,激发技术创新活力。开源开放的创新模式相比于工业时代封闭专利的创新模式,更顺应数字时代Nm“”的发展规律,解决单一主体创新成本过高问题,通过去中心化的异步协作激发各类主体的创新创造活力,以开放协作实现智慧累积,对创新效率和创新质量带来巨大提升。2024 年 4 月 18 日,美国 Meta 公司开源 80 亿和 700 亿参数规模的 LLaMA3 系列大模型,在语言理解、编程、数学和逻辑等方面表现优异,再度登顶最新开源大模型排行榜,超越了 3 月相继登顶的DBRX、Grok-1 等开源大模型。Llama 系列开源大模型为初创企业和科研机构等主体提供了一个强大的
9、免费选择,可以作为 OpenAI 和谷歌出售的专有模型的补充,有效激发了人工智能大模型共创浪潮。LLaMA 系列大模型依托优异的性能打造大模型生态圈,目前已超过全球开源生态洞察报告(2024 年)2 3000 万次下载使用,形成超过 7000 个衍生模型,加速推动人工智能大模型场景化应用创新。(二二)!54675467!89:;6:;/2&!89:;6:;/2&?#$BCQRDE=DEQRL科技创新开放共享的模式引领产业协作模式开放化。传统产业吸收开放、共享、协同的协作模式,促进了产业分工体系更紧密更高效,分工链条更长更广,满足复杂技术成果易组装、垂直化的生产要求与场景化、定制化的应用需要。数
10、字时代产业体系相比于工业时代以专利为牵引的封闭产业体系,具有 sHWs的特点,能够建设多元合作的产业平台,顺应分布式分工趋势,促进产业内资源共享,构建产业发展新格局。2024 年 3 月,开放机器人基金会宣布成立开源机器人联盟(OSRA),该联盟旨在推动机器人操作系统(ROS)等开源机器人项目的开发和维护,确保项目的长期稳定性和健康性。OSRA 将采用类似 Linux基金会的组织架构,将会员分为白金、黄金、白银三个等级。目前已经有包括英伟达、高通等在内的十余家头部企业加入联盟。(三三)!ABCDEFGH/2IJKLABCDEFGH/2IJKL+MNGH+MNGHO4PQO4PQ#$fgFGo=
11、DE-L根据欧盟委员会发布的开源软硬件对欧盟经济的技术独立性、全球开源生态洞察报告(2024 年)3 竞争力和创新的影响研究报告1,2018 年欧盟在开源软件领域投资了大约 10 亿欧元,开源软件带来的经济影响力在 650 亿至 950 亿欧元之间,每增加10%的投入就将产生0.4%-0.6%的收益。同时,结合相关文献调研,开源软件对 GDP 将产生和。A=开源软件通过吸引全球贡献者共同参与,提升软件产品在全球范围内的影响力,进一步提升软件产品净出口额,对 GDP 产生直接正向影响。A=4=开源软件通过协作与培训等多种方式提供了广泛的就业机会,提升 IT 行业内从业者的知识技能,增加 IT领域
12、就业人口数量,对劳动生产率因素产生促进作用2,进一步对 GDP 产生间接正向影响。Z=开源软件有效促进软件持续快速迭代与技术升级,提升知识产权转化能力,扩充专利与商标规模3,增加知识产权相关费用收入,进而对 GDP 产生间接正向影响。此外,开源软件源代码作为初创企业的重要技术信息来源,能够降低软件市场的准入壁垒,改善市场竞争环境,进而影响初创企业数量变化。1 https:/digital-strategy.ec.europa.eu/en/library/study-about-impact-open-source-software-and-hardware-technological-inde
13、pendence-competitiveness-and 2 Ghosh,R.A.(2007).Economic impact of open source software on innovation and the competitiveness of the Information and Communication Technologies(ICT)sector in the EU.Maastricht:UNU-MERIT.Retrieved January 17,2007 from http:/ec.europa.eu/enterprise/ict/policy/doc/2006-1
14、1-20-flossimpact.pdf 3 Blind,K.,Schubert,T.Estimating the GDP effect of Open Source Software and its complementarities with R&D and patents:evidence and policy implications.J Technol Transf(2023).https:/doi.org/10.1007/s10961-023-09993-x 全球开源生态洞察报告(2024 年)4 Y6Z()+*12356v;9:0 g 1 56hijk0lmnSopqr(四四)!
15、5RS,-/2TU+VWXYZ9!5RS,-/2TU+VWXYZ9?#$SVW=FG=!JKL开源依托网络实现“万物互联”,建立共同参与、共同享有、共同管理、共同维护的合作模式,推动实现全球共同维护的发展路径,共同解决社会化冲突问题,促进生态保护和疫情防控等工作开展,实现全球可持续发展目标。开源形成的全球分工格局相较于工业时代具有XYC的特点,能够汇聚全球资源、跨越数字鸿沟,构筑共商共建共享的全球数字治理体系,打造数字命运共同体。谷歌的开源软件 Open Health Stack 已成功协助肯尼亚孕产妇健康应用程序 Mamas Hub、WHO 紧急医疗项目 Em Care 等数字健康产品的开发
16、、建设工作,有效加速第三世界国家的数字健康服务普及。全球开源生态洞察报告(2024 年)5(五五)!_a2XbcdVe+CD!8fg9E!_a2XbcdVe+CD!8fg9EFhiFhi#$Wz%&L广为人知的#$与闭源软件相对,其概念由 OSI(开放源代码促进会)重新定义并推广,强调软件的源代码开放。2020 年,联合国秘书长安东尼奥古特雷斯以开源软件为核心,以公益价值为出发点,在美国经济学家Shane Greenstein的基础上4,提出了目前广为接受的DEXYQ概念:尊重隐私和遵守其他适用的国际和国内法律、标准和最佳做法且无害的开源软件、开放数据、开放人工智能模型、开放标准和开放内容。”
17、DEXYQVTJKlL围绕减贫、健康、教育、环保、和平等可持续发展目标,联合国开发计划署在内的多家实体共同发起了数字公共品联盟(DPGA),截至目前其数字公共产品库中已登记 150 余个产品,覆盖开源软件、开放内容、开放数据等多个领域,促进数字技术为人类共同繁荣服务。4 S.Greenstein,Digital Public Goods,in IEEE Micro,vol.33,no.5,pp.62-63,Sept.-Oct.2013,doi:10.1109/MM.2013.96.全球开源生态洞察报告(2024 年)6 Y6Z()+*12356v g 2 56hi4sQtuvwUdx Z!#$
18、%&J=#ODEJKP 全球开源生态稳中向好,持续突破圈层并实现边界渗透,表现为四个方面:即以开源项目群为核心的项目方面开源生态,以技术成果转化为特征的技术方面开源生态,以区域开源政策、开源人才为支撑的区域方面开源生态,以数字公共产品为代表的社会方面开源生态。(一一)jTjTklkl!meno/2meno/2+pqrWstuv+pqrWstuvwxwx!#$klD=4 jL据全球最大的代码托管平台 GitHub 数据显示,2023 年 GitHub 托管仓库已达 4.2 亿,新增仓库 7300 万个,增长率达 21%。=;H9#$klDJK57L开源软件项目的贡献质量直接影响开源软件项目的接受
19、度,进而影响开源软件项目全球开源生态洞察报告(2024 年)7 的活跃度和长期稳定发展。据 GitHub 2023 年度报告数据显示,2023年 GitHub 平台上贡献总量超过 45 亿,较 2022 年增长了近 29%。开源软件项目的贡献接受度逐渐提升,驱动开源软件项目逐步规模化发展。#$JK2=9#$x54L开源活动对开源文化传播、促进和推动开源软件项目构建至关重要,疫情后开源活动持续增多,线下活动逐步恢复常态,开源理念被广大开发者认可,纷纷投入到开源软件项目建设中,使得项目逐渐具备了“自生长”能力。Y6ZGitHub;2023 11-g 3 GitHub yz56hi|s#$!AV C
20、2Nm=#$#JL2021 年,GitHub 使用 OpenAI Codex 模型制造出大规模生成AI 开发工具 GitHub Copilot,发布近两年来,GitHub Copilot 通过自动完成注释和代码,已经成功帮助开源开发者完成 46%的代码编写,同时帮助开源开发者将编码速度提高了 55%。2023 年,随着OpenAI9.4142026.134.74240%50%43%31%33%21%0%10%20%30%40%50%60%05540452002120222023项目数(千万)增长率全球开源生态洞察报告(2024 年)8 推出 GPT-
21、4 模型,GitHub 随即推出 Copilot X 计划,将 chatGPT-4 引入 IDE,使得开发者在整个开发流程中获得更多全新体验,如语音生成代码、自动发现 bug、自动解释输入代码、自动完善 Pull Request 等变革性开发功能。!klA#$%&=%&L随着开源软件项目层出不穷,越来越多的企业、开发者纷纷加入开源生态,开源贡献形态也更为多样。为更好的观测项目方面开源生态发展情况,中国信通院云计算开源产业联盟在 2022 年可信开源社区成熟度度量模型的基础上,依据业界权威的开源社区标准可信开源社区评估规范 第 1 部分:通用要求,细化三级度量指标,构建 2023 年开源软件项目
22、竞争力评价模型,包含 2 项 1 级指标,6 项 2 级指标和25 项 3 级指标,并从可信性和可持续性两大方面持续监测项目方面开源生态发展状况。可信性主要考察开源软件项目的安全合规能力以及响应能力,可持续性主要从开源软件项目的流行性和项目贡献者参与度来度量项目情况。+全球开源生态洞察报告(2024 年)9 Y6Z()+*12356v g 4 56hi|s,#$kl”94:!=#$#$kl%&()L中国信通院云计算开源产业联盟以项目可持续性和项目可信性的中间值为坐标轴,构建并划分了包括孵化型、成长型、挑战型、领导型四个类型的开源软件项目竞争力魔力象限。图 5 显示了 GitHub 平台上活跃度
23、靠前的开源软件项目依据开源软件项目竞争力评价模型的度量结果,总体来说,大多头部开源软件项目位列领导者和成长者地位,处于领导者地位的开源软件项目在可信性和可持续性方面均无明显短板,处于全面发展态势。处于成长者地位的开源软件项目在可信性方面较强,项目质量较高。1 56hi|,-项目类型项目类型 具体特征具体特征 衡量标准衡量标准(满分(满分 1 10 0 分)分)孵化型 l 上线初始发行版,技术不成熟 l 社区治理运营尚不规范,对用户需求响应不够及时,项目使用用户较少 l 社区存在一些安全漏洞与高风险许可证 可信性量化得分(0,5 可持续性量化得分(0,5 成长型 l 技术较为成熟,治理运营较为规
24、范 l 对用户需求响应较为及时,但使用用户增长速度缓慢 l 几乎不存在安全漏洞与高风险许可证 可信性量化得分(5,10 可持续性量化得分(0,5 全球开源生态洞察报告(2024 年)10 挑战型 l 功能较为完善,使用用户数量较多,社区技术较为成熟 l 社区治理运营能力有待提高,存在一些安全漏洞和高风险许可证 可信性量化得分(0,5 可持续性量化得分(5,10 领导型 l 用户群体庞大,轻易不会流失,同时对用户需求能够快速响应 l 技术成熟,社区运营能力强 l 几乎不存在安全漏洞与高风险许可证,已形成行业标准规范 可信性量化得分(5,10 可持续性量化得分(5,10 Y6Z()+*12356v
25、 g 5 56hi|(二二)0101klkl!meyzwmeyzw+p+p01|01|XX/2/2#$i!NmoOP*=2+Nmo#$kl,-H.97%L根据 CSDN、新程序员联合调研,在全球开源生态洞察报告(2024 年)11 全球核心技术领域生态体系中,前端领域开源软件项目占比高达97%,人工智能、区块链、操作系统等领域开源软件项目占比也超过 80%,开发工具和环境、云计算领域开源软件项目占比超 60%。开源逐渐改变软件领域的竞争方式和市场格局,正成为数字技术创新的主流模式。+Y6ZCSDN;2023 g 6“”56hi|*Nmo#$%&JK/012=3()4L中国信通院云计算开源产业联
26、盟依据 2023 年全球活跃度靠前的开源软件项目,围绕技术流行度、技术生产力、技术稳健性、安全能力、法律合规和创新转化能力 6 大方面洞察各技术领域开源生态成熟度情况。总体来看,5W6o安全能力和法律合规能力较为突出,该领域开源软件项目高危漏洞数量较少,修复能力较强,同时该领域注重项目许可证的限制条件。789o法律合规能力较为出色,该领域开源软件项目的许可性冲突风险较小。D:o具备较好的技术稳健性,该领域开源项目响应效率较高,支持力度较强。97%89%83%81%64%62%51%51%24%0%10%20%30%40%50%60%70%80%90%100%前端人工智能区块链操作系统 开发工具
27、云计算数据库物联网芯片全球开源生态洞察报告(2024 年)12 Co具备较好的技术生产力和创新转化能力,该领域开源软件项目更容易吸引贡献者的参与,同时该技术领域开发者普遍利用开源模式进行技术创新。2+o创新转化能力和安全能力表现抢眼,该领域开源软件项目关注度更高,与 2023 年 GitHub 上编程语言 JavaScript 关注度排名第一相吻合,同时项目发展较为稳健。+Y6ZGitHub;()+*12356v;2023 6-g 7“”56g 5W6o%J()=#$2L操作系统是承载各种硬件设备和软件应用的重要纽带件。全球操作系统巨头纷纷依靠生态建设奠定行业地位。#$%;%&8=5W6o?#
28、$ABC=z&%&_=DEF%GL以 Linux 操作系统为例,Linux 在上世纪 90 年代通过开源模式快速汇聚众多开发者持续迭代,使得全球开源操作系统技术爆发式发展,形成规模庞大的产业生态,奠定市场基础。基于开源的Linux kernel 衍生出 Ubuntu、SUSE、CentOS、Red Hat Enterprise 全球开源生态洞察报告(2024 年)13 Linux、Fedora 等多种服务器操作系统,汇聚众多开发者不断推进技术迭代,持续为其快速发展提供助力。789o?#$HIJKLMQR=QREFJKL云计算技术领域经过多年发展,已成为数字化转型的关键基础设施,全面赋能产业转型
29、升级。根据 CNCF 2022 年度云原生开发报告数据显示,云原生技术栈中开源软件项目占比超过 67%。2023 年 4 月,由 CNCF 主办的云原生峰会上,来自航空航天、能源、医疗、金融等多个行业纷纷分享了关于 Kubernetes 的应用案例。#$7NV=OPRQR=“ISTQRUVL以云网融合为核心特征的数字信息基础设施,正成为数字经济发展的坚实底座,赋能千行百业数字化转型。开源可以聚合要素,打造云网融合的新型能力体系,同时助力产业链上下游企业通力合作,构筑更大范围的生态合作。2023 年 6 月,中国信息通信研究院联合相关企业成立了算网云开放社区(CNCOS),并发布算网云开源操作系
30、统 CNCOS 项目 1.0,积极培育算力互联互通产业创新发展生态。#$D:z&WP=D:NmJK=XYoL根据 Datanyze 的统计,全球大数据处理软件应用排名前五的均为开源软件,共占据 51.43%的市场份额。4A=6D:QNmZL原有 Hadoop 体系的产品稳定迭代,部分Hadoop 生态项目成为其他新兴技术的基础依赖,一些常见的开源大数据产品组合,如 Flink+Kafka、Spark+HDFS 等,经过开源生态市全球开源生态洞察报告(2024 年)14 场的检验,成熟易上手,已经成为相对固定的标准化选择。4A=P#$D:Qz&j8JKL随着企业业务规模增大,大数据应用场景越来越
31、庞杂,企业对大数据平台的稳定性、安全性和高可用能力的要求也随之提高。开源大数据产品能够有效解决企业需求。Twitter Rainbird、Yahoo S4、Twitter Storm 等流式计算组件能够提升实时数据流分析效率,实现数据库高可用。Nagios、Ganglia、Apache Ambari 等集群管理工具能够合理调整、分配系统资源,提高系统整体性能,提高数据库的稳定性。Acra、Snort 等通过使用经过验证的加密方案选择性保护敏感记录或监测网络流量以防止入侵,从而提升数据库的安全性能。#$;#JnFGJKL2016年8月,美国政府发布“联邦源代码政策”,要求联邦机构每年必须将不少于
32、20%的新开发源代码以开源形式公开发布,并且要求开源至少3年。2022年9 月,美国参议院国土安全和政府事务委员会通过一项新法案,法案明确提出开源软件是数字基础设施的一部分,联邦政府应在确保开源软件长期安全上发挥支持作用。#$=#$L2022 年初,欧盟委员会宣布正在采纳有关开源软件的6236256277329876972603053927002500法国印度尼西亚加拿大日本德国俄罗斯英国巴西中国印度美国2023年2022年全球开源生态洞察报告(2024 年)18 新规则5,该规则指出
33、,只要对民众、公司或其他社会公共服务有潜在益处,就可以公开访问其软件解决方案。!PT#$%&=L据 GitHub 统计显示,2022 年开源贡献者增速排名前三的国家是印度(32.4%)、中国(15.6%)和巴西(11.6%)。可以看出,当前开源贡献者增速较高的国家集中在全球新兴经济体国家6。uv3n#$“IJKL2015 年,为更好实施数字印度计划,印度政府宣布其政府的所有软件服务和应用都将强制采用开源软件,将开源软件作为印度技术革命的驱动力。同时,印度通过“数字印度RISC-V处理器(DIR-V)计划”大力资助相关机构研发 RISC-V 处理器,将RISC-V 打造成印度的国家指令集。“”=
34、7$(#$L巴西联邦政府将推广开源软件的应用作为推进电子政务、促进本国信息产业发展的一项基本政策,一些州和市政当局已经通过法律要求公共行政部门优先选择开源软件,许多巴西政府部门、大学和大型企业参与了这项政策。目前,有 1300余个政府机构、1900 余家企业,以及巴西中央银行和全国 4800 余家支行基本使用基于开放源码的操作系统。5 https:/ec.europa.eu/commission/presscorner/detail/en/ip_21_6649 6 https:/en.wikipedia.org/wiki/Emerging_market 全球开源生态洞察报告(2024 年)19
35、(四四)klkl!me!meYaYa+EFhiEFhixx#$DEXYQlDEHIJK=Tl,L当前一些关于数字公共产品平台陆续出现,其中最重要的是联合国数字公共产品联盟。法国国务秘书塞德里克欧先生在 2022 年 2 月 7 日至 8 日以“构建欧盟数字主权”为主题的会议上呼吁成立一个负责提出欧盟数字公共产品倡议的欧盟工作小组。2022 年 5 月,总部位于罗马的联合国粮食及农业组织正式成为数字公共产品联盟的成员,致力于发展和倡导数字公共产品以发展可持续农业粮食体系。DEXYQSDENm-bcJKl67L当前数字公共产品已经在多个领域发挥出巨大价值。lXY%A=20142015 年西非爆发埃
36、博拉疫情期间,以开放数据为代表的数字公共产品在遏制病毒方面发挥了至关重要的作用,非洲当局依据疫情区域移动手机中的数据信息,绘制了该区域典型人口迁移的详细地图,确定了建立治疗中心的最佳地点,有效控制疫情发展。lDEA=数字公共产品在确保政府快速安全地发放社会援助方面可以发挥的重要作用。在新冠大流行的社会背景下,全球 100 多个国家宣布扩大社会援助支付计划,2020 年世界银行启动 G2Px倡议,旨在建立开放标准,制定最佳做法,并提供上游技术援助,以从根本上改善 G2P(政府对个人)支付现状,目前已全球开源生态洞察报告(2024 年)20 累计向 34 个国家提供了技术援助。l!A=数字公共产品
37、有效促进全球粮食及农业数字化工作加速推进。2023 年,联合国粮农组织已加入数字公共产品联盟,旨在积极影响粮食和农业生态系统,以创建和使用数字公共产品,并创建粮农组织数字公共产品框架。p#$qrzp=#$wx(一一)!“”+;!A!“”+;!A 1.开源风险状况未见明显改善,仍需各行业高度重视#$a!-qrt=$PRHqr-u8!L根据2024 年开源安全和风险分析报告,开源安全问题依然是开源应用的首要隐患。2023 年全球 84%的代码库包含至少一个已知开源漏洞,这些代码库中有 74%包含高风险漏洞,较 2022 年增长 54%。自 2018 年起,物联网、汽车等领域的高风险漏洞连年增长。由
38、于物联网行业涉及大量敏感数据和个人信息,一旦漏洞被利用,将对相关软硬件设备造成重大危害,对用户形成严重威胁。2022 年11 月,网络安全公司 Quarkslab 披露了漏洞 CVE-2023-1017、CVE-2023-1018,据悉,这些漏洞致使数十亿物联网设备受到严重影响。#$qr=;#$wL根据2023 年开源安全和风险分析报告,在 2022 年审计的代码库中,1/3 的代码库存在开源许可证无法识别问题或使用了自定义许可证,同比增长 55%。大多数软件开发者版权意识相对薄弱,随意使用网全球开源生态洞察报告(2024 年)21 络上出现的无许可证项目代码,从而加剧了开源软件版权侵权风险。
39、大量未通过 OSI 认证的许可证也广泛应用于公开代码中,如Commons Clause 条款限制公开代码的商业使用,若开发者未仔细甄别,将可能为应用项目引入额外合规风险。t”Zuv=#$t”Nqrz&UL开源模式为传统的软件供应链路引入开源软件的上游社区、基金会、开发者、维护者以及源码包、包管理器和存储仓库等诸多节点,导致软件供应链复杂度全面升级、多样性显著增强。同时开源产品具有更新迭代速度快、软件模块数量多、供应全球化、用户多样化等特点,也加剧了软件供应链的安全风险。据美国 Sonatype 发布的2023 年软件供应链状况报告显示,2023 年共发现 245000 个恶意软件包,为 202
40、2 年的两倍。同时超过 96%受到攻击的下载版本均可以通过修复避免。因此,针对开源软件建立起上下游联防联控的安全验证机制是构筑软件供应链风险屏障的有效手段。+2.企业开源治理进入高速发展期,诸多领域仍待完善 PR:9#$wx=a!RYL在政策及市场的引导下,各行业开始推进开源治理,安全防范成为企业开源治理的重中之重。根据中国信通院云计算开源产业联盟调研结果,受访企业在漏洞识别方面,约 88%的被调研企业在引入开源软件后,会对开源漏洞信息进行持续跟踪,以及时采取措施,最大程度降低开源漏洞所带来的安全风险。在漏洞处置方面,约 87%的全球开源生态洞察报告(2024 年)22 被调研企业通过版本升级
41、的方式处理开源组件安全漏洞。版本升级是一种相对快速且可行的安全解决方案,不需要大量的定制开发或系统重构。同时,版本升级还能够让企业受益于开源社区的集体智慧,从中获得更好的安全性和性能。来源:中国信通院云计算开源产业联盟,2023 年 5 月 图 10 开源组件安全漏洞处置方式 R#$wx8v=d$vzL调研中大部分企业对于开源软件治理战略重要性认识不足,开源治理重度依赖过往经验,缺乏客观性和系统性。超 60%的被调研企业不具备明确的开源软件治理规划或治理目标,未制定企业级的开源软件流程制度规范。在存量开源软件治理方面,由于我国企业开源治理工作开展较晚,存量开源软件量级较大,因此对于全量存量软件
42、的周期性管理存在一定困难。超过 70%的企业仅在新增安全事件、生态变化等外部因素触发时针对存量开源软件进行非周期检查,由此可能会导致软件系统中的安全漏洞或依赖问题长时87%72%77%10%0%50%100%版本升级手动应用补丁替换或删除组件不做处理版本升级手动应用补丁替换或删除组件不做处理全球开源生态洞察报告(2024 年)23 间存在,开源风险得不到及时的发现和解决,从而给企业生产经营的安全性和可靠性带来潜在威胁。#$y|=#$wxvL统一、规范的开源软件引入测评模型和方法有助于整合和引导企业内部资源,提高治理效率、保证治理质量、确定优化方向,从而实现开源软件治理成效可量化、可追溯、可提升
43、。部分调研企业在开源治理流程和方式上仍缺乏统一、可信标准。超过 53%的被调研企业缺乏企业级开源软件引入评估模型,同时超过 60%的企业仅对软件的大版本进行管控,对小版本的使用采用相对简化的引入评估流程,且主要关注安全漏洞情况。过于粗放的开源管理,将可能导致潜在的安全风险和合规问题被遗漏,从而出现治理失灵的状况。R#$VxC=pxL由于开源合规风险通常较为隐蔽,仅在第三方主张权利时才可能引发严重后果,同时合规治理的成本较高,因此大多数企业未对开源合规风险予以足够重视。超过60%的调研企业允许引入AGPL、GPL类许可证,却未建立严格的开源合规评估流程。同时,企业对于第三方软件管理的重视程度不足
44、,缺乏开源合规相关专业人员,难以规范审查第三方软件中专有代码、开源代码的交互方式是否合规。根据调研,超过 80%的企业仅通过合同义务来规范软件供应商。虽然通过合同条款设计能够在一定程度上转嫁第三方违规使用开源软全球开源生态洞察报告(2024 年)24 件的责任,但缺乏对软件供应商交付物的实际检查和验证,将对企业的实际运行产生巨大隐患。(二二)EFEF:9Xk g:9Xk g DEXYQJKAAqrL数字公共产品在促进数字主权、推动数字化转型、提供公共服务等方面发挥着重要作用,但也面临着数据安全、法律缺位等困难。45_D:a!qrL数字公共产品通常涉及个人和敏感信息的收集、存储和处理。不当的数据
45、处理和安全漏洞可能导致个人隐私泄露、身份盗窃、数据滥用或不合规的数据跨境传输等问题。Z5D:8qrL数字公共产品依赖于数据的准确性和质量。不准确、过时或篡改的数据可能导致错误的决策和不可靠的结果,进而影响公众信任。p5DEqrL技术和经济差距可能导致某些群体无法适当利用数字公共产品,从而加剧不平等问题。?5qrL数字公共产品的开发和使用必须符合各国适用的法律和法规,并遵守伦理和道德标准。不当的数据使用、侵犯知识产权、滥用人工智能等行为可能引发法律纠纷和道德争议。5Nm8qrL数字公共产品通常依赖于特定的技术和基础设施。技术变迁、软件更新或基础设施问题可能导致数字公共产品的运行中断或降低效能,从
46、而影响可持续发展目标的实现。5FGqrL数字公共产品的设计和应用可能对社会产生深远全球开源生态洞察报告(2024 年)25 影响。不当的算法决策、信息操纵或数据偏见可能加剧社会不平等,影响公众利益和社会权力关系。?vVwx=DEXYQJKbcFGL数字公共产品风险治理主体以政府和企业为主。政府重点工作在于建立适用的法律和监管框架,以规范数字公共产品的发展,并提供公正的竞争环境;企业在推动技术创新和开放标准的同时,需要确保其产品和服务的安全性和可靠性,同时企业应以透明、公平的方式对用户数据进行管理,持续关注产品可能带来的社会影响。2 sQtuvw 风险分类风险分类 治理措施治理措施 隐私和数据安
47、全风险 l 强化数据保护法律和法规,确保合法、透明的数据收集和处理;建立数据安全标准和最佳实践,包括数据加密、访问控制和风险评估等。l 加强数据安全培训和意识提高,促进用户和组织的数据安全意识。数据质量和准确性风险 l 建立数据质量管理框架,包括数据验证、清洗和验证机制;采用开放的数据标准和元数据描述,提高数据互操作性和可信度。l 鼓励数据共享和合作,通过多方验证和交叉验证确保数据的准确性;建立数据质量监测和反馈机制,及时修正和改进数据质量问题。数字鸿沟风险 l 提供普遍可及的基础设施和互联网接入,弥合数字鸿沟。l 开展数字素养培训和技能提升计划,提高公众对数字技术的认知和使用能力。全球开源生
48、态洞察报告(2024 年)26 法律和道德风险 l 加强知识产权保护和侵权行为打击,鼓励创新和公平竞争。l 设立独立的监管机构或审查机制,监督和评估数字公共产品的合规性和社会影响。技术依赖和可持续性风险 l 保证数字公共产品的弹性和可持续性,包括备份、灾难恢复和升级计划。社会影响和权力关系治理 l 建立透明的算法和决策过程,提高公众对数字公共产品的理解和参与度。l 开展算法审查和评估,确保算法的公正性、无偏见和透明度。来源:中国信通院云计算开源产业联盟,2023 年 5 月?#$%&K(一一)!/2!/2 开源为全球数字经济高速发展注入无限活力,为新一代信息技术的迭代升级和融合发展注入强大动力
49、,对新时代促进经济发展、科技创新、文化繁荣、社会治理、开放合作、共同富裕具有重要意义。总体来说,开源生态呈现如下五方面发展趋势:Z)45#$klJK|NmJKL全球软硬件开源经历了操作系统、云计算、大数据、人工智能从底层软件到上层应用的历程,再到硬件和行业开源,遵循了技术螺旋发展,从技术到产业的普遍发展规律。云网融合等底层技术开源项目将是未来的一个重要方面。#$|JKL开源的快速发展并不会完全取代闭源发展,在特定应用领域,闭源仍保持明显领跑优势。全球开源生态洞察报告(2024 年)27 Z)Z5PNm”|#J=9;#$”#$”L行业将充分运用开源在产业链、数据、平台等方面进行开放协作,推动各行
50、业数字化转型。随着各行业数字化转型程度不断加深,对于开源的理解不断深入,逐步将开源的协作模式应用于各行业间协作,通过开放共享的方式打破层层嵌套的供应模式,从树状连接变为网状连接,创造更广阔合作空间,提升生产效能。Z)?5#$wx|JK=#$qrlZL既往开源治理侧重局部探索,在摸清治理规则之后,在新一轮的开源治理落地中将侧重企业级统筹战略规划。企业级开源治理落地涉及部门较多,需梳理资产庞大,很难一蹴而就,同时在考虑安全合规要求及平台建设同时,需全生命周期考虑开源应用的持续性。随着开源治理的落地,开源风险会短期凸显,随着治理程度的持续开展,开源风险将趋于常态化显现。全球开源生态洞察报告(2024
51、 年)28(二二)!/26!/26 T”=T#$%&=JKa!L根据我国技术创新现状及发展优势,应积极培育开源生态,更有效的促进我国技术创新和产业发展。具体有如下五方面建议:klA=T”?JKFn!#$%&L持续投入关键技术领域开源发展,同时结合新技术领域代差小的特点探索生态建设模式。开源基金会运营模式统筹关键领域开源发展,形成各地方开发者与产业应用合力。金融、通信、汽车等行业持续发力,充分发挥已有开源联盟运营能力,重点运营具有行业属性的开源项目。各技术领域联盟充分支持具有发展潜力尚未具有规模效应的开源项目,以支撑大量开源项目的精细化运营需求。fgA=T”z&;fg%a!D$C=(#$%&
52、JK%&L加大平台开放功能,以吸引更多的开发者加入,提升开源代码托管平台的影响力,同时不断优化开发环境。不断扩大代码库中代码数量,为企业和个人提供常用开源软件安全检测和下载入口,提升可信能力。()A=T”|(*+=J,j-C8=z&.#$%&=L不断完善高校开源课程体系,补齐各组织开源培训机制。推进国际化开源人才建设,重视青年开源人才储备。投入重金吸引开源人才,构建具有竞争力的薪全球开源生态洞察报告(2024 年)29 酬体系。构建积极的工作氛围和良好的工作环境,科学建立开源人才及企事业单位的评价体,加大开源人才表彰奖励力度。PR”A=T”#$/PR#$=!FG#$QR=;#$%&01L在云计
53、算、大数据等新兴领域持续提升话语权,带动整体开源产业繁荣。在操作系统、云网融合等底层技术领域持续攻关,实现技术突破。持续扩大行业开源范围,推动各行业数字化转型。金融、电信行业持续发力,形成明星级开源项目。制造业借鉴其发展经验,逐步探索,建立开放供应链。公共卫生行业依托开源解决社会难题。qrwxA=T”t“#$a!/#$wxL加快制定完成开源安全国标,明确开源治理规则,以评促建推动各行业提升开源治理重视程度,梳理开源应用及掌握情况。重点培育开源治理技术厂商,完善源代码、制品等多种扫描场景,提升开源治理落地程度。+2#$+34)*56=7=8934)*56=7=89+ 云计算标准和开源推进委员会