1、No.202213 中国信息通信研究院 2022年9月 全球全球开源开源生态研究生态研究报报告告 (20222022 年年)前前 言言 开源是一种开放的产品形态，同时也是一种无边界的协作模式和开放共赢的合作理念。开源有力推动数字技术创新和应用，加速产业与数字技术的深度融合，促进数字经济发展，提升社会生产效能。近年来，全球开源生态发展进一步成熟，开源项目从“重规模”到“提质量”转变，社区活跃度迅速提升，应用场景不断拓展，对开源的投融资持续火热。同时开源伴生的风险也进入了集中暴露期，产业多方主动布局开源风险治理。在此背景下，中国信息通信研究院发布全球开源生态研究报告（2022 年），这是继开源生态

2、白皮书（2020 年）之后第 3次发布开源领域研究报告。本研究报告在上一本白皮书的基础上继续围绕开源项目、开源社区、开源应用、开源商业、开源风险等开源领域热点话题进行探讨。此外，相较前两年，本研究报告首次梳理了全球开源生态发展对数字经济的积极影响，并总结了开源对各技术领域的重要驱动。同时，本研究报告观察到全球开源生态从“高速繁荣”向“稳步求精”趋势演进，开源项目稳步增长，开源社区多态均衡发展，开源应用持续提升，开源投融资异常火热，开源风险影响凸显。最后，本研究报告结合现有形势展望了我国开源生态的发展机遇。目目 录录一、开源创新模式助力数字经济发展.1(一)开源透明公平建立信任，加速数字技术发展

3、.1(二)开源构筑软件生产新范式，增强产业链韧性.2(三)开源拓宽行业应用场景，促进行业优化转型.4(四)开源促进企业降本增效，释放企业发展动能.6 二、开源融合协作深化技术创新应用.8(一)开源深度学习框架推动人工智能大规模应用.8(二)开放融合助力开源操作系统衍生多条技术线.10(三)云计算成为开源圈领跑者，促成企业间合作.12(四)开源加速数据库产品多样化，重塑生态体系.14(五)开源打破中间件市场壁垒，催生产品“专特精”.16 三、全球开源生态愈发成熟，风险挑战依然存在.18(一)开源生态优化升级，迈向高速发展崭新阶段.19(二)开源资本市场持续火热，未来充满无限机遇.27(三)开源生

4、态繁荣发展背后，风险隐患备受关注.30 四、我国开源生态步入新阶段，面临新机遇.36(一)我国开源生态发展迈向新阶段.36(二)我国开源生态积极创造新机遇.40 图图 目目 录录 图 1 开源赋能软件产业需求框架.4 图 2 开源代码在不同行业代码库中的数量.5 图 3 行业开源程度与数字化程度关系图.6 图 4 开源软件成本效益分析模型.7 图 5 开源人工智能发展历程.9 图 6 2021年中国开源深度学习框架使用份额.10 图 7 全球服务器操作系统使用份额（付费+免费）和市场收入份额.11 图 8 Linux 版本衍生情况.12 图 9 2021年 Linux 基金会开源项目分类.13

5、 图 10 数据库产品分类图谱.15 图 11 开源改变数据库管理模式.16 图 12 消息中间件发展历程.17 图 13 主流开源消息中间件技术细分演进图.18 图 14 GitHub近五年开源项目数量及增长率.20 图 15 开源社区成熟度度量模型.22 图 16 全球活跃开源社区成熟度情况.22 图 17 开源社区成员分级与权力利益方格.25 图 18 全球各国近两年开源用户数量.27 图 19 全球主要技术领域 2021-2022年融资金额.28 图 20 2015年-2020年开源安全漏洞数量及变化趋势.31 图 21 全球重点行业开源代码库安全风险热力图.33 图 22 组件漏洞开

6、源依赖传播范围.34 图 23 包含无许可证或自定义许可证的开源代码库占比.35 表表 目目 录录 表 1全球 IaaS 市场份额及开源投入.14 表 2 全球代码库使用过时开源项目占比情况.32 全球开源生态研究报告（2022 年）1 一、开源创新模式助力数字经济发展 开源作为数字经济时代一种新思维、新模式，对促进数字技术创新、优化软件生产模式、赋能传统行业转型升级、推动企业降本增效具有重要作用，为全球数字经济高速发展注入无限活力。在数字产业化方面，开源通过“集众智”的新模式，促进技术的“继承式”发展，优化软件生产体系，提高软件生产能力，成为数字经济快速发展的有力支撑；在产业数字化方面，开源

7、的分布式协作机制，搭建了各个行业交流的平台，不断深化数字技术的行业应用，促进企业降本增效，驱动行业数字化建设。(一)开源透明公平建立信任，加速数字技术发展(一)开源透明公平建立信任，加速数字技术发展 开源通过公开透明的方式降低边际成本，激发技术创新。开源对于参与者更易获取项目信息及发展轨迹，通过社区协作机制进行思想碰撞，通过代码公开、规则公开、过程公开构建可信的协作模式。以 Kubernetes 为例，Kubernetes 开源开放的原则给开发者提供了可扩展的插件机制，鼓励用户通过代码的方式介入每一个阶段。这一举措在社区中催生出了大量基于 Kubernetes API 和扩展接口的二次创新产品

8、，例如 Istio 微服务治理工具、应用部署框架 Operator、云原生存储项目 ROOK等。开源构建数字技术发展的原生信任机制，推动信息技术快速发展。开源通过公平公正的社区环境建立了天然的信任机制。开源项目和开源社区致力于推动所有权中立，让参与者具有平等的技术成全球开源生态研究报告（2022 年）2 长路径，打消企业和个人参与开源社区及部署开源代码的顾虑。高度开放、高效协同、充分赋权正成为开源创新的显著特征。开源基金会凭借中立公平的特点收获了大批开发者的信任，吸引了众多优质开源项目的加入。2021 年，Apache 开源基金会共有 351 个开源项目，其中有 200 个成为顶级开源项目，分

9、布在云计算、大数据、中间件、人工智能等技术热点领域，有效提高了信息技术的创新效率。开源通过开放共享、大众协同等模式扩大技术影响力，加速产业蓬勃发展。拥抱开源不仅有利于企业紧跟技术发展趋势，还有利于企业形成行业影响力，加速产业蓬勃发展。以操作系统为例，作为核心基础软件，操作系统处于信息产业上下游生态的枢纽位置，向下要兼容底层硬件，向上要支持应用软件与中间件，所以操作系统需要大量人员来支撑其生态建设。开源项目的开发者越多、产品生态越丰富、应用领域越广泛、社区就越蓬勃发展。Linux 操作系统进一步衍生而成的安卓操作系统，以开源方式推进移动操作系统的发展，在全球手机操作系统市场的占有率已超过 85%

10、。(二)开源构筑软件生产新范式，增强产业链韧性(二)开源构筑软件生产新范式，增强产业链韧性 开源构筑软件生产新范式。在供给侧，软件产业生产力迎来重大升级。一是开源有效提升软件开发效率，缩短产品上线时间。开源协作模式从软件全生命周期各个流程出发，实现企业内部的技术集成和信息融合，减少由于信息传递不及时造成的资源浪费，有效缩短产品上线时间。Rally Fighter是世界上第一款通过开源模式设计全球开源生态研究报告（2022 年）3 的汽车，Local Motors 依靠其开源社区内成员的共同努力，在 18 个月内完成全新量产车设计，比传统汽车设计快约 4 倍；二是开源建立分布式软件开发模式，搭建

11、信息互通桥梁。通过产业链、价值网络协同等形式共享外部信息，建立透明高效的沟通渠道，跟进行业动态、先进技术应用情况等。在需求侧，开源模式可以突破高效创新边界，通过群智协同快速收集软件定制需求。应万物互联的数字时代发展要求，各行业催生了丰富的应用场景和复杂的产品定制需求。开源模式通过群智协同，突破单一组织边界和资源限制，集结海量用户创新力量，快速收集用户定制需求，在用户场景中不断打磨软件产品。开源有效增强软件产业链韧性，万物互联助推软件生产“合纵连横”，形成良好的规模效应和协同优势。伴随开源生态的发展，当前全球软件研发和应用体系架构正在发生重大变化，从传统的分层架构向现代化平台演进，从上、中、下游

12、的链状结构向跨界融合的网状生态演进，从“信息孤岛”向“网络互通”发展，以实现全链条信息的集成与打通。开源成为软件产业体系中纵向和横向一体化的核心。一方面，开源通过上下游协同研发实现产业链纵向一体化。开源社区集聚了众多软件、芯片和应用厂商，产业链上下游企业可以直接进行供需匹配、协同研发，大幅提高了开发效率，实现软件系统串联协调。另一方面，开源可以实现软件产品端到端横向一体化。开源通过异地协同开发和跨企业信息共享，能够有效破除全球开源生态研究报告（2022 年）4 企业间信息壁垒，辅助产品高效管控，保持生产执行对工艺优化的快速响应，形成平台化、云化的软件生态，实现规模经济的同时获得互补性资源和能力

13、，帮助企业维持市场地位和竞争优势。来源：中国信息通信研究院 图 1 开源赋能软件产业需求框架(三)开源拓宽行业应用场景，促进行业优化转型(三)开源拓宽行业应用场景，促进行业优化转型 开源全面渗透到机械、交通、能源等近20个国民经济重点行业，已成为行业发展重要基石。据新思科技发布的2022开源安全与风险分析报告显示，在可扫描的代码范围内，2022年在物联网、网络安全、能源和清洁技术、计算机硬件和半导体行业的代码库中有100%是开放源代码，其余行业也有93%-99%的开源代码库。很明显，相较2021年，2022年各行业领域的开源代码库占比有了大幅度提升，开源已经成为促进全球各行业转型升级、推动数字

14、经济快速发展的重要力量。全球开源生态研究报告（2022 年）5 来源：新思科技，2022年 5 月 图 2 开源代码在不同行业代码库中的数量 基于开源开放加速数字化转型已成为行业共识，开源应用与行业数字化程度正相关。据麦肯锡全球研究院最新的“行业数字化指数”显示，ICT、金融保险、娱乐休闲、零售贸易、医疗保健等行业数字化转型程度较高，与开源应用程度较高的行业高度吻合。开源开放是数字化催生的新“创新范式”，开源通过数字技术扩散互联促进数字技术创新，进而加速数字化转型。一方面，企业通过开源开放充分集结全社会智力资源，与外部创新主体协同创新，搭建企业技术创新入口和交互平台，获得“数字化生存”的动态技

15、术创新能力。另一方面，开源战略通过核心开源产品快速建立一个以开源技术为平台、参与者相互赋能的行业生态圈。数字企业通过开源产品，与上下游企业形成共享代码、协同开发、成本分摊的战略联盟，0%10%20%30%40%50%60%70%80%90%100%2022年2021年全球开源生态研究报告（2022 年）6 能够充分发挥各个企业的竞争优势与核心能力，增强企业之间的资源互补，有效地扩大行业业务范围，加速行业数字化转型。来源：麦肯锡，中国信息通信研究院 图 3 行业开源程度与数字化程度关系图(四)开源促进企业降本增效，释放企业发展动能(四)开源促进企业降本增效，释放企业发展动能 开源软件为企业带来超

16、过 8%的成本节省。2022 年中国信息通信研究院通过调研企业使用、推广及支持开源软件带来的量化效益、量化效益，同时引入统计误差、劳动力转化率和公开数据资料等综合得出开源软件为企业带来超过 8%的成本节省。在量化效益方面，企业使用开源软件带来的收益主要体现在引入成本节省（18%）、开发成本节省（5.4%）和运维成本节省（0.8%）。与专有软件相比，开源软件可以为企业节省大量软件购买的成本，企业不需要为软件支付高昂的购买费用；同时，由于开源软件具备代码开放这一特点，企业在使用时具备较强灵活性，可以根据自己的需求随时定制和调整。在非量化效益方面，开源软件成为企业与开源社区的“连接全球开源生态研究报

17、告（2022 年）7 器”，一是通过企业开发人员与开源社区的互动，给企业带来技术创造力等增量级优势；二是开源的协作创新模式给企业业务带来灵活性，通过合作开发增强企业员工的工作体验，提升专业能力，让企业员工进行更多创造性工作，进而转化成企业间差异性竞争优势。来源：中国信息通信研究院 图 4 开源软件成本效益分析模型 开源带来的创新能力和协同能力全面助推企业降本增效，加速数字化转型。企业在数字化转型过程中主要涉及到技术产品创新和商业模式创新。一方面，开源技术给企业技术革新带来了巨大优势，技术创新是企业数字化转型过程中的关键一环，企业通过技术升级优化内部业务流，通过流程优化提升公司核心竞争力；另一方

18、面，开源有效将企业的产品思维改变至服务思维，传统的产品思维聚焦标准化和规模效应，企业普遍通过价格和销售能力创造竞争优势。开源模式颠覆了传统的产品思维，各企业无需重复开发公共部分，只需要基于开源进行差异化场景应用，通过个性化定制和用户充分全球开源生态研究报告（2022 年）8 参与改善用户体验，将个性化服务提升至重要地位，不断为企业创造价值。二、开源融合协作深化技术创新应用 开源在全球主流技术领域迅速崛起，逐渐改变软件领域的竞争方式和市场格局，正成为数字技术创新的主流模式。据新程序员统计，截止到 2021 年 5 月，在全球核心技术领域生态体系中，开源项目占比靠前的技术领域分别是人工智能、操作系

19、统、云计算、数据库、中间件。(一)开源深度学习框架推动人工智能大规模应用(一)开源深度学习框架推动人工智能大规模应用 开源加速全球人工智能技术迈入深度学习阶段。人工智能从诞生至今，有 60 多年的发展历史，历经三次浪潮。在前两次浪潮中，由于技术未能取得突破，没有进行大规模的广泛应用。随着计算能力的提升、大数据技术的发展和网络设施的演进等，以深度学习技术的提出为标志，人工智能迎来第三次高速发展，同时大批开源人工智能框架不断涌现，开源开放的价值逐步显性化，加速了人工智能技术创新和产业发展。未来，人工智能将围绕生态构建、技术创新、应用聚焦、垂直行业、基础设施等方面形成全方位竞争格局。全球开源生态研究

20、报告（2022 年）9 来源：中国信息通信研究院 图 5 开源人工智能发展历程 作为人工智能应用落地的重要“助推器”，开源深度学习框架不断降低使用门槛，加速人工智能模型创新和应用。随着人工智能应用场景不断丰富，各类算法的新需求大量爆发，为大幅降低人工智能算法生产门槛，提高开发效率，众多人工智能框架纷纷对外开源，帮助企业与开发者大幅节省产品开发流程，提高产品转化周期。据 IDC 调研，2021 年中国深度学习框架使用份额排名前三的是TensorFlow（29.2%）、PyTorch（28.2%）、PaddlePaddle（19.1%）。开源深度学习框架快速增长的市场份额，符合目前人工智能产业和技

21、术发展的规律，各大科技企业在层出不迭地开发各种人工智能应用的同时，也纷纷在深度学习框架加码投入，顺应市场需求。通过开源深度学习框架的规模效应可以聚集开发人才，在标准化平台上加速人工智能算法生产和技术迭代。同时，随着细分场景算法的出现可以催生更加丰富的应用场景，实现产业智能化升级。全球开源生态研究报告（2022 年）10 来源：IDC，2021 年 6月 图 6 2021年中国开源深度学习框架使用份额(二)开放融合助力开源操作系统衍生多条技术线(二)开放融合助力开源操作系统衍生多条技术线 开源操作系统 Linux 占据操作系统领域主流地位。根据 Linux基金会统计，全球 90%的公有云平台采用

22、了 Linux 系统，99%的超级计算机市场、82%的智能手机市场和 62%的嵌入式设备也都是基于 Linux。根据 IDC 统计数据，全球服务器操作系统市场使用份额（付费+免费）中，68%的服务器采用 Linux 系统。根据 Gartner 在2020 年的统计数据，全球服务器操作系统市场收入份额（付费）中，Linux的占比为 35.5%。TensorFlow,29.20%Caffe2/Pytorch,28.20%PaddlePaddle,19.10%Caffee,11.20%MindSpore,2.40%其他,9.90%全球开源生态研究报告（2022 年）11 来源：Gartner，202

23、0年 图 7 全球服务器操作系统使用份额（付费+免费）和市场收入份额 开源是 Linux成功的关键因素，基于开源的 Linux kernel衍生出多种企业级操作系统。Linux 采用开源去中心化的开发方式，快速的汇聚众多开发者持续迭代，快速形成了产业生态，并且 Linux 内核拥有完善的开发工作流，众多的内核维护者在不间断地开发新代码、发现并处理 bug。同时开源模式使操作系统的复杂性问题得到解决，开源吸引了大量操作系统贡献者与企业用户去参与项目并帮助解决复杂问题，降低了开发操作系统的成本与效率风险，开源所代表的公开、共享与共建是处理复杂性的有效方法。随着时间推移，Linux衍生出一些著名版本

24、，如 Ubuntu、SUSE、CentOS、Red Hat Enterprise Linux、Fedora、openEuler。Windows,31.70%Linux,68.00%使用份额（付费+免费）占比Windows,64.50%Linux,35.50%收入份额占比全球开源生态研究报告（2022 年）12 数据来源：中国信息通信研究院 图 8 Linux 版本衍生情况(三)云计算成为开源圈领跑者，促成企业间合作(三)云计算成为开源圈领跑者，促成企业间合作 云计算领域 60%技术栈为开源，Kubernetes 使用占比接近 96%。云计算经过十余年发展，已经形成以云原生为主流技术形态的发展趋

25、势。云计算领域开源项目数量占据 Linux 基金会首位，占比22.7%。根据 CNCF 2022 年度云原生开发报告数据显示，云原生技术栈中开源占比超过 60%，同时 96%的企业正在使用或计划使用Kubernetes。全球超过 560 万开发者使用 Kubernetes，年增长率 67%。全球开源生态研究报告（2022 年）13 来源：Linux 基金会，2021 年 图 9 2021年 Linux 基金会开源项目分类 云计算领域开源生态建设以基金会模式为主。云计算领域技术平台属性强，需要充分考虑上下兼容问题，更适合基金会模式运营。根据云原生全景图显示，在云原生领域 493 个开源技术中，2

26、5%由CNCF基金会运营托管，覆盖云原生全栈技术领域。开源改变云计算市场格局，企业从跟随开源到主导布局。云计算技术经过三个开源发展阶段，第一阶段为开源与闭源虚拟化技术路径博弈阶段，市场份额不分伯仲。第二阶段为开源技术路径占据主流，企业基于开源进行二次开发形成商业产品，丰富云计算市场主体，提升产业活力。当前阶段企业对于开源路径的跟随方式不完全一致，部分企业积极参与上游社区，跟踪开源技术演进；部分企业基于开源分支，形成独立演进的商业产品。企业研发实力在这一过程得到沉淀提升。第三阶段为企业主动对外开源，布局生态。当云计算/容器/虚拟化23%网络/边缘计算15%web/应用程序开发14%人工智能/机器

27、学习/数据分析11%隐私/安全5%交叉技术5%物联网/嵌入式4%区块链4%Devops/CICD 4%最佳实践4%其它11%全球开源生态研究报告（2022 年）14 前阶段云厂商均投入大量人力进入开源生态，云计算细分技术领域不断涌现开源项目。表 1全球 IaaS 市场份额及开源投入 数据来源：Gartner，2021 开源加速云计算上下游企业间生态合作。基于开源开放技术，云厂商与硬件厂商及应用企业更易建立合作关系，开源项目的协作过程，暨实现上下游企业接口互通过程。英特尔积极参与各云计算技术贡献，同时是 CNCF基金会以及 OpenInfra基金会白金会员。(四)开源加速数据库产品多样化，重塑生

28、态体系(四)开源加速数据库产品多样化，重塑生态体系 开源数据库已占据市场半壁江山。2021 年 1 月，根据 DB-Engines 显示，全球数据库开源许可证流行度首次超过商业许可证。此外，2021 年全球数据库排名前十的数据库产品有 7 个是开源形态，开源数据库逐渐成为行业主流。从数据存储方式分，数据库分关系型数据库和非关系型数据库两类，关系型数据库主要采用关系模型来存储结构化数据，典型产品有 Oracle、MySQL、Microsoft SQL Server 等；非关系型数据库主要采用非关系模型来存储非结构化数据，通常有键值数据库、文档型数据库、图数据库等类别，常见产全球开源生态研究报告（

29、2022 年）15 品有 Redis、MongoDB、HBase 等。从应用类型来分，目前主要分为联机事务处理（On-Line Transaction Processing，OLTP）数据库和联机分析处理（On-Line Analysis Processing，OLAP）数据库。来源：中国信息通信研究院 图 10 数据库产品分类图谱1 在开源的驱动下，数据库管理平台将与开源数据库合作共生，共同构成新的数据库生态体系。传统的数据库生态体系包含核心的数据库管理系统（Database Management System，DBMS）、支持用户做数据库开发和管理的周边工具，以及针对数据库的部署和运行的支

30、持服务。起初，以 Oracle、IBM 以及微软为代表的几家商业数据库厂商，凭借着领先的数据库产品，以及完善的原厂或第三方工具和服务，几乎垄断了市场，用户使用数据库通常只能选择厂商将“DBMS+工具+服务”绑定的方式。随着开源数据库不断崛起，冲击了传统的数据库生态。在多样化市场格局下，开源数据库产品与 1 图 10 中红框部分为开源数据库产品 全球开源生态研究报告（2022 年）16 周边的工具和服务不再绑定，开源数据库原厂受到技术壁垒、行业分工以及其他市场因素的限制，众多厂商无法提供自身产品以外的跨数据库统一管理和配套服务。为数据库提供统一管理和运维的平台型工具逐渐走向台前，变得越来越重要，

31、“多元混合的数据库+跨数据库管理平台”将形成全新的数据库生态体系。来源：中国信息通信研究院 图 11 开源改变数据库管理模式(五)开源打破中间件市场壁垒，催生产品“专特精”(五)开源打破中间件市场壁垒，催生产品“专特精”开源撬动国际中间件巨头长期领先地位，成为企业应用和技术创新发展的催化剂。中间件可分为基础中间件、集成中间件和行业领域应用平台。其中，基础中间件是构建分布式应用的基础，也是集成中间件和行业领域应用平台的基础，包括应用服务器、消息中间件和交易中间件等。以典型的消息中间件为例，依赖市场先发优势和长期的技术积累，IBM、Oracle 等厂商在中间件市场长期领跑全球。随着 2000200

32、7 年期间开源模式的流行和初代开源消息队列的崛起，以 ActiveMQ 和 RabbitMQ 为代表的开源消息中间件降低了使用门槛，在企业间广泛使用。2007 年2018 年，互联网极速发展，为满足大规模访问流量和数据传输，开源催生出 Kafka、Apache 全球开源生态研究报告（2022 年）17 RocketMQ 等符合新需求的开源消息中间件。2018 年之后，物联网、云计算等大力发展，云原生代表技术层出不穷，开源消息中间件迎来了新的发展阶段。来源：中国信息通信研究院 图 12 消息中间件发展历程 开源有效打破技术垄断，降低使用门槛，涌现出更多专业化、特色化、精细化的中间件产品。随着开源

33、模式的不断推进，许多中间件厂商纷纷将项目捐赠给开源基金会。一方面，开源模式可以加速中间件技术突破；另一方面，依靠开源社区庞大的用户群体，中间件在各细分领域会逐渐基于开源形成行业标准，最终受益广大的中间件开发者和使用者。开源助推中间件技术细分发展，不断适配真实业务场景。存储计算灵活部署为不同场景下的业务架构演进提供了坚实基础。Apache RocketMQ 5.0版本将存储层下沉，提供了可分可合的存储计算分离架构，在保留极简架构带来的优异性的同时，提供了可独立部署的无状态的 proxy；此外，Kafka 在 KIP-405 版本中，实现了分层式的存储模式，通过计算层和存储层分离减轻了Kafka

34、的分区扩缩容带来的大量数据迁移问题。降低基础设施依赖，全球开源生态研究报告（2022 年）18 构建零依赖自治系统有效简化部署问题。在 Kafka 3.0 架构中，最受开发者关注的是其移除了对 ZooKeeper 管理集群元数据的依赖，提供了一种更具扩展性和健壮性的元数据管理方式，简化了 Kafka 的部署和配置，提升系统稳定性以及云原生环境下的可交付性；同样为了简化部署，Apache Pulsar 的改进计划 PIP-45 减轻了对ZooKeeper 的依赖，减少了 Apache Pulsar在基础设施层面的必须依赖。来源：中国信息通信研究院 图 13 主流开源消息中间件技术细分演进图 三、

35、全球开源生态愈发成熟，风险挑战依然存在 近年来，全球开源生态发展进一步成熟。开源项目发展稳健，开源社区多态均衡发展，开源应用进一步提升，开源投融资持续火热。同时开源伴生的风险也进一步凸显，产业多方纷纷布局开源风险治理。全球开源生态研究报告（2022 年）19(一)开源生态优化升级，迈向高速发展崭新阶段(一)开源生态优化升级，迈向高速发展崭新阶段 1.开源项目稳步发展，技术演进将形成以开源为主的发展模式 全球开源项目连续两年增速放缓。据全球最大的代码托管平台GitHub的显示，截至 2021年 GitHub托管仓库已达 2.61亿，2021年新增仓库 6100 万个，增长率达 30.5%。202

36、0 年全球开源项目数量增速从 50%下降到 43%，2021 年继续下降到 31%，连续两年增速放缓。其中，原有项目基数逐年增大，项目贡献接受率降低是主要原因。虽近两年开源项目增长率放缓，但项目的绝对增长数量却逐年增加，主要原因是每年的开源项目基数都会增大。此外，开源项目存在贡献质量较低的问题。据 GitHub 2021年度报告数据显示，有 47.8%的代码贡献者来自私人企业的开发者，学生群体开发者代码的贡献量占比为 27.9%，开源核心贡献者数量较少，新手比例较高。随着开源项目的审核和维护门槛日益增高，有很多贡献者没有足够能力确保贡献代码的质量，造成开源项目的贡献接受度逐渐下降，开源项目逐步

37、从规模化向精细化发展。有偿开发工作岗位数量较少导致开源项目可持续性不足是另一原因。目前，绝大多数开源项目的日常开发和维护工作仍来源于志愿者兼职付出，许多社区开发者由于兴趣和爱好自愿贡献代码。但很多时候，维护正在进行的开源项目需要花费大量时间精力，能够取得报酬会成为大多数开发者积极参与开源的重要理由。全球开源生态研究报告（2022 年）20 来源：GitHub，2022年 3月 图 14 GitHub 近五年开源项目数量及增长率 技术演进将形成以开源为主的发展模式。在以技术开放、开源思维为基础的信息时代，人类生活方式与技术演进正在进入一种面向服务、开放协同的新局面，许多技术理论和创新习惯都面临革

38、新。开源模式为技术创新的扩散应用提供了良好的土壤，也为全球经济的转型发展提供无穷的创新思路。据 GitHub 预测，2025 年全球开发者数量群体将突破一亿，全球开源项目体量也将快速增长。在云计算、大数据、物联网等新一代信息技术快速发展期，开源模式能够快速形成产品门类，保证技术在“开放、平等、协作、分享”的氛围中被充分利用。同时，各行业领域基于共享、开放、协作的创新动力持续带动产业经济效益，技术分享将有效推动行业规模扩展和生态发展，创造“集体共赢”的市场格局。2.开源项目社区、组织社区和平台社区多态发展 6.79.4142026.138%40%50%43%31%0%10%20%30%40%50

39、%60%0500202021项目数（千万）增长率全球开源生态研究报告（2022 年）21 开源社区分项目类社区、组织类社区和平台类社区三大类别。项目类社区是围绕单个开源项目形成的的贡献者群体；组织类社区是基于开源组织（开源基金会等）聚集的群体；平台类社区是围绕开源基础设施（开源代码托管平台等）聚集的群体。疫情当下，项目类社区参与度显著提升，头部社区成熟度无明显短板。2021 年，全球项目类社区异常活跃，开源项目和开源社区层出不穷。全球组织与开发者对如何构建活跃的开发者生态，营造健康可信开源社区的关注度越来越高。针对水平不一的市场参与者，中国信息通信研

40、究院构建了可信开源社区成熟度度量模型，围绕开源社区的建设水平、运行机制、管理能力、市场情况等方面进行全方位度量，考察开源社区的流行度、参与度、响应度、安全能力、法律合规、行业应用等方面，帮助开发者构建健康可信的开源社区。通过 GitHub 平台官方数据，2021 中国开源年报计算得出全球活跃度排名前十的开源社区，包括管理容器化工作负载和服务的Kubernetes、开源移动应用软件开发工具包 Flutter、基于 Python 的家庭智能化平台 Home assistant、开源机器学习库 PyTorch、开源软件开发框架.NET、源代码编辑器 VS Code 等。经模型度量分析，全球头部开源社

41、区发展全面，各能力域得分较高。图 7 显示了 GitHub平台上活跃度靠前的六个开源社区，头部开源社区在各能力域的得分显著超过行业平均值，各方面均无明显短板，处于全面发展态势，同时，各开源社区分别有各自的优势领域。总体来说，Flutter 社区全球开源生态研究报告（2022 年）22 和 VS Code 社区的流行度得分较为亮眼，使用者和开发者对该社区的关注度较高；Kubernetes 社区的行业使用情况优势明显，该社区目前在市场上占据重要位置；PyTorch 社区的安全能力突出，该社区高危漏洞数量较少，维护能力较强，文档较为完备；.NET 社区的法律合规表现出色，组件许可证兼容性较高，法律风

42、险较小；Home assistant 社区的响应度得分较高，社区响应效率和新版本更新迭代频率较高。来源：中国信息通信研究院 图 15 开源社区成熟度度量模型 来源：中国信息通信研究院 图 16 全球活跃开源社区成熟度情况 全球开源生态研究报告（2022 年）23 组织型社区关注点从项目垂直孵化过渡到横向治理，安全合规已上升至焦点问题。随着近些年全球开源软件安全事件频繁发生，众多开源基金会和开源组织纷纷关注开源项目的安全合规问题。以Linux 基金会为例，作为全球规模最大的开源基金会，Linux 基金会于 2020 年与多家硬件和软件厂商合作，正式成立开源安全基金会OpenSSF（Open So

43、urce Software Foundation），基金会现有 60多名会员，包括谷歌、微软、亚马逊等科技巨头。2022 年 3 月份，OpenSSF 基金会宣布成立了 Alpha-Omega 计划，将协助开源项目维护人员寻找修补 1 万项开源代码中的新 0day，改进开源软件生态系统的安全。2022 年 1 月，OpenSSF 与软件包数据交换（Software Package Data Exchange，SPDX）、OpenChain 合作发布了软件物料清单和网络安全报告，对软件物料清单的准备和采用进行了全球范围的实证研究，详细探讨了软件物料清单的最新准备进展和采用情况，同时分析了全球软件

44、供应链的安全挑战和机遇。全球开源平台型社区相对成熟，从社交属性逐渐回归到商业属性。作为全球用户规模最大的在线软件源代码托管服务平台，GitHub 经历了 13 年的发展，目前平台积累了全球最大体量的开发者，GitHub 规模增长迅猛得益于成功的商业模式，通过持续扩大免费权益保持开源用户稳定增长，同时通过免费增值产品到付费私人存储库的平滑过渡来提高下游产品市场收益，使得用户和市场规模逐步稳固成熟。自 GitHub 被微软收购后，推出了许多欢迎度极高的全球开源生态研究报告（2022 年）24 产品。2022 年 6 月，GitHub 宣布其 AI 编程工具 Copilot 开始收费，将以每月 10

45、 美元或每年 100 美元的价格对外出售，目前平台上有近40%的代码都是由 Copilot 编写的；此外，GitHub Codespaces 是GitHub 平台推出的一个云端开发环境，开发者可以省去本地部署环境测试环节，节约开发资源，大幅提高开发效率，但目前费用比较高昂，每小时收费从 0.18到 2.88美元不等，配置越高收费越贵。社区运营呈精细化发展趋势，开源社区将逐步通过去中心化构建并扩大用户网络，聚焦核心用户。传统线下运营活动大多在数字化产业较为发达的城市和地区进行开展，线下活动和兴趣小组呈区域化发展形式。以 MindSpore 开源社区为例，社区内成立了开发者学习小组（MindSpo

46、re Study Group，MSG），目前已在香港、北京、上海、深圳、苏州、南京、武汉、成都等多个城市成立 MSG组织，方便本地开发者线下交流。2021 年受疫情影响，全球开源社区线下meetup 数量骤减，传统运营方式受到阻碍，大部分线下活动转为线上。开源社区成员之间关系网的构建逐步呈“去中心化”发展态势。社区开发者分散在各地，通过网络建立联系，逐步形成多元化社区关系链，有很多社区话题和讨论互动在社区内由开发者自然发起，社区逐渐具备了“自生长”能力。社区将通过用户价值分层进行分类分级运营。由于开源社区万众创新的模式和无边界特性，导致社区成员规模更为庞大。社区成员行业背景的差异性导致社区角色

47、和权益更为多样。通常来说，开全球开源生态研究报告（2022 年）25 源社区成员分为五级：第一级是兴趣用户，此类成员角色规模最为庞大，通常为刚接触开源项目，对产品感兴趣的消费用户；第二级是活跃用户，此类成员一般已具备一定时间的产品使用周期，并逐渐向社区反馈些使用需求和建议；第三级是社区贡献者，此类成员是开源社区保持活力的重要动力，一般参与社区的代码贡献，代码bug 提交等社区建设活动，同时还承担一些非代码的社区贡献任务；第四级是核心贡献者，此类成员绝大部分对项目有着大量代码贡献，对项目的代码和架构有清晰的理解，拥有代码审核和合并等社区权限；第五级是社区决策和领导者，主要负责项目重大事项的决策，

48、同时把控项目整体发展方向。其中，开源社区的三级贡献者和四级核心贡献者是社区主要力量，少数群体能为社区创造最大价值。因此社区运营遵循“帕累托原则”，通过聚焦为核心社区成员服务来获得社区最大收益。例如部分开源社区针对不同成员的工作内容和技术等级，开展阶梯型分级活动，openGauss 和 openEuler 纷纷开展了高校行、线上 meetup 等入门级活动；开源之夏、应用创新大赛等基础级活动；训练营、创新实践课等高深级活动。来源：中国信息通信研究院 图 17 开源社区成员分级与权力利益方格 全球开源生态研究报告（2022 年）26 3.开源应用持续提升，推进全球信息化建设 深化开源软件应用，推动

49、信息化建设正在成为当前世界各国新一轮竞争焦点。据国际电信联盟统计，信息化发展指数（ICT Development Index，IDI）较高的国家或地区有冰岛、韩国、瑞士、丹麦、英国、中国、荷兰、挪威、日本、瑞典、德国、新西兰、澳大利亚、法国、美国等2。此外，据GitHub 2021年度报告数据统计，美国以13551846的总用户数持续排名第一，相较2020年增长率为22%，中国则以7555311的总用户数排名第二，较2020年同比增长16%。可以看出，当前全球信息化程度较高的国家集中于欧洲、北美州和亚洲部分国家，尤其是欧洲国家，信息化程度排名前十的国家中有7个欧洲国家，且信息化程度较高的国家普

50、遍积极推动开源软件的使用。欧盟政府大力采购开源软件，促进开源软件使用，已将开源发展提升至国家战略层面。在过去20年来，欧盟成员国（包括英国）针对开源软件出台了不少于25份政策文件和6份法律文件。2021年12月，欧盟委员会对外宣布将采纳有关开源软件的新规则，使之能在开源许可下发布软件，帮助委员会和欧洲各地的公民、企业、以及公共服务机构从开源软件的开发过程中更加受益；2020年10月21日欧盟委员会批准了欧盟委员会新的开源软件战略2020-2023，提出了鼓励和利用开源，促进软件解决方案，知识和专长的共享和重用，以提供更好的欧洲服务，使社会受益并降低社会成 2 https:/www.itu.in

51、t/en/ITU-D/Statistics/Pages/IDI/history.aspx 全球开源生态研究报告（2022 年）27 本。美国政府注重推动软件开源和公共数据开放。2016年8月，美国政府发布“联邦源代码政策”，要求联邦机构每年必须将不少于20%的新开发源代码以开源形式公开发布，并且要求开源至少3年；2019年1月，美国国会通过了开放政府数据法案，将开放数据作为美国法典的一部分，由此，美国也成为最早一批将开放政府公共数据从政府政策上升为国家法律的国家之一。来源：GitHub，2022年 3月 图 18 全球各国近两年开源用户数量(二)开源资本市场持续火热，未来充满无限机遇(二)开源

52、资本市场持续火热，未来充满无限机遇 1.开源投融资迎来“亿时代”，热情逐渐高涨 开源投融资呈现单笔数量大、融资速度快的新特点。根据不完全数据统计，2021-2022 年共有 32 家开源商业公司获得融资且有多8378778532276780236909672072369652902000000400000060000008000000 10000000 1

53、2000000 14000000 16000000法国印度尼西亚加拿大日本德国俄罗斯英国巴西印度中国美国2020年2021年全球开源生态研究报告（2022 年）28 家公司在短时间内获得多轮融资，其中单轮融资数达到 1 亿美元的企业数量占比接近 2 成，达到 1 千万美元的企业数量占比超过 5 成，与前几年相比整体开源融资市场呈现融资时间缩短、融资金额显著增长的趋势，开源商业化价值提到了一个新阶段。数据库领域成为开源融资界宠儿。截至 2022 年 6 月，数据库商业公司获得融资的数量占比为 25%，数据库类型向细分功能领域分化；大数据商业公司获得融资的数量占比为 19%，大数据类型向数据分析方

54、向倾斜。来源：公开数据整理，2022 年 6月 图 19 全球主要技术领域 2021-2022年融资金额 2.全球开源商业模式多元发展，市场渐成规模 开源不等于免费这一观念逐渐深入人心，以开源软件为中心衍生的开源商业化发展至今，从单一化商业模式转变为多元化，具体可分为以下几种。40005080530008050000003000000020000300004000050000人工智能人工智能数据库数据库中间件中间件大数据大数据容器容器工具工具云计算云计算芯片芯片安全安全微服务微服务集成测试集成测试融资金额（

55、万美元）企业数全球开源生态研究报告（2022 年）29 提供商业版本、技术服务和云服务商业模式已成为主流商业化模式，呈现从产品化到服务的发展趋势。企业基于开源软件打造闭源的商业软件并进行售卖，此种商业模式为大众接受度最高、发展时间最久的，也是当前众多开源软件背后的商业公司的盈利模式；企业通过提供开源软件技术服务来获得利润，服务形式可包括培训、技术支持、咨询等，而软件本身是不收取任何费用的。此类商业模式以 IBM、红帽为典型代表，一些开源软件背后的商业公司也开始尝试此类商业模式，例如 Nginx 等，此类商业模式需要与上游开源社区形成深度联动机制，通过不断投入贡献来获取稳定服务，花费企业的人力物

56、力较多；随着云服务模式的发展，以软件即服务的方式赚取利润成为小型软件提供商的主要商业模式，即让在线用户按需付费、即用即付的订阅方式来完成整个过程，而软件本身是开源的。通过构建生态和广告支持获取利益为科技巨头企业提供商业化模式。此类企业以开源软件作为流量入口，构建开源软件应用生态，从而获取利益。该种模式以头部企业为典型代表，例如谷歌开源安卓系统，通过安卓应用软件获取利润，同时通过开源软件赢得企业声誉，增加客户粘性；使用开源软件本身不收费，但是通过附加的一些广告等业务来进行盈利。比如社交、电商、游戏、交易平台、信息流（搜索、新闻、短视频、微博）等这些软件，即在开源软件全球开源生态研究报告（2022

57、 年）30 中安装广告的播放插件，Google、Mozilla、Canonical 等公司大多使用此种商业模式。通过招募会员和售卖周边成为开源组织的收益来源。目前主流的开源基金会均采用会员制，不同等级会员需要缴纳相应数量的会员费来享受开源组织的投票、决策等权益；一些开源组织，诸如Mozilla 基金会、维基百科基金会等，销售一些如 T 恤、咖啡杯子等，这也可以视之为一种为用户社区提供额外服务的形式。(三)开源生态繁荣发展背后，风险隐患备受关注(三)开源生态繁荣发展背后，风险隐患备受关注 1.开源治理进入高速发展期，获得国家层面关注 随着开源产业繁荣兴起，开源技术一方面可以帮助用户突破技术壁垒，

58、推动技术创新；另一方面又带来安全、合规、供应链等一系列问题。开源治理是推动开源生态健康发展的有效手段，其中涉及开源社区构建、开源许可证合规、代码安全审查等众多方面。国际政府组织与科技巨头正积极采取治理行动改善开源风险。随着开源组件的不断增多，大量的第三方开源组件被集成到软件中，导致软件供应链变得越来越复杂。开源软件供应链关系网络越发复杂多元化，导致信息系统的防护难度越来越大。去年，Apache Log4j 等基础开源软件频现高危风险，多个国家和大量企业均因此遭受严重损失。2022年 1月和 5月，美国白宫集结 30余家科技企业与政府机关举行开源软件安全峰会，商讨开源软件供应链风险挑战。全球开源

59、生态研究报告（2022 年）31 会议指出当前开源软件供应链存在标准不清晰、风险处置能力滞后、生态体系不透明等问题。2.开源代码安全问题凸显，影响较为严重 代码库中的安全漏洞风险较为严重。根据 Snyk 和 Linux 基金会2022 年发布的开源安全调查报告，一个应用程序开发项目平均有 49个漏洞和 80 个直接依赖项。此外，修复开源项目漏洞所需的时间也在稳步增加。2018年修复安全漏洞平均需要 4天，而 2021年修复一个补丁大约需要 110 天。根据2021 年开源软件供应链安全风险研究报告调查结果显示，2020 年新增漏洞中，高危漏洞占比最高，数量为 1826 个。使用过时的、存在漏洞

60、的开源组件仍然是软件开发过程中的常态。2022 开源安全与风险分析报告围绕五个指标对代码库中的开源项目维护情况进行了统计，结果显示包含两年无任何开发活动的组件在代码库中的占比为 88%，包含过时四年多的开源代码在代码库中的占比为 85%。来源：CNCERT 图 20 2015年-2020年开源安全漏洞数量及变化趋势 468220205488874050002015年2016年2017年2018年2019年2020年超危高危中危低危全球开源生态研究报告（2022 年

61、）32 表 2 全球代码库使用过时开源项目占比情况 来源：新思科技，中国信息通信研究院 物联网、航天、互联网行业的安全风险极为突出。根据新思科技2022 开源安全与风险分析报告显示，2021 年 17 个行业的统计数据中，有 10 个行业包含开源漏洞的代码库占比相较于 2020 年统计数据出现了下降，6 个行业包含开源漏洞的代码库占比相较于2020 年统计数据出现了上升。2021 年的统计数据中包含开源漏洞的代码库最高的五个的行业有物联网、航空航天、汽车、运输和物流、互联网和移动 APP。最低的三个行业为网络安全、电信和无线、互联网和软件基础架构。全球开源生态研究报告（2022 年）33 来源

62、：新思科技，中国信息通信研究院 图 21 全球重点行业开源代码库安全风险热力图 开源漏洞传播性风险非常严重。根据国家计算机网络应急技术处理协调中心发布的2021 年开源软件供应链安全风险研究报告显示，原始样本中有 6416 个开源组件，受组件依赖关系的影响，开源漏洞一级传播一共波及 801164 个直接依赖组件，其影响范围扩大125 倍。二级传播一共波及 1109519 个间接依赖组件，影响范围扩大 174 倍。开源模式下开源软件传播快、应用广，客观上加剧了安全漏洞传播的速度和范围，造成传染性传播的局面。以 Apache Log4j 漏洞为例，自 2021 年 12 月 10 日 Apache

63、 Log4j 库首次公开披露 Log4Shell高危漏洞已过去 6个月，至今该漏洞造成影响余波未平。根据 Rezilion 公司发布的研究报告显示，60%的开源组件仍包含该全球开源生态研究报告（2022 年）34 漏洞，近 40%易受攻击的 Log4j2 组件仍被下载，许多易受Log4Shell漏洞影响的应用程序未更新修复。来源：CNCERT 图 22 组件漏洞开源依赖传播范围 3.开源许可证无处不在，合规风险得到逐渐重视 随着各行各业越来越多地使用开源代码，围绕开源合规的讨论成为焦点。软件自由保护协会诉讼 Vizio 违反 GPL、甲骨文诉谷歌版权侵权案尘埃落定等事件表明，软件行业对于开源法

64、务和合规的意识正在增强。开源许可证风险值得关注。根据新思科技发布的2022 开源安全与风险分析报告指出，2021 年审计的代码库中有 53%包含有许可证冲突的开源代码,有 17%存在许可证兼容性问题。无许可证或自定义许可证问题得到改善。2018-2021 年无许可证或自定义许可证的开源代码的代码库的占比在 2019 年出现上升后，2020 年、2021 年逐年下降，2020 年无许可证或自定义许可证的开源代码的代码库的占比由 26%下降到 2021年的 20%。拥有自定义许可证的代码库需要全球开源生态研究报告（2022 年）35 评估可能存在的法律问题。例如，JSON 许可证实质上是宽松型MI

65、T 许可证，由于添加了“该款软件严禁用于恶意用途，仅限用于善意用途”的注释。许多项目的责任单位（例如 Apache 基金会的项目）都因为许可证定义含糊不清而删除了使用 JSON 许可证的代码。来源：新思科技，2022年 5 月 图 23 包含无许可证或自定义许可证的开源代码库占比 4.供应链风险较为隐蔽，发展形势极其严峻 开源软件供应链关系网络复杂，蕴含严重风险问题。目前，“供应链”通常牵涉数十个（甚至数千个）个体开发人员、组织机构、软件片段以及将它们交织在一起的工具、策略和程序。虽然这种趋势降低了编程人员的准入门槛、缩短了产品的上市时间，但同样也留下了严重的风险隐患，主要包括关键开源组件的可

66、持续维护挑战。2022年 3月发生的 faker.js与 colors.js开源库遭作者 Marak恶意破坏的事件就是典型的例子。作者通过向两个包提交恶意代码进行供应链投毒，并发布到 GitHub 和 npm 包管理器中，之后又将项25%33%26%20%0%5%10%15%20%25%30%35%2002202021全球开源生态研究报告（2022 年）36 目仓库所有代码清空，完全停止维护，从而使依赖于这两个库的数千个项目无法运行。开源风险管控机制不完善，未来开源风险将进入集中暴露期。根据 Snyk 和 Linux Foundation 调查结果，

67、只有 49%的组织制定了开源软件开发或使用的风险管控策略，企业更偏向于对功能需求的验证，忽视了源代码和使用的基础开源组件的安全性。企业未建立完整的开源软件使用管理机制，导致开发人员对开源软件基本处于“只用不说”的状态，企业更无法了解正在使用的软件系统是否包含了开源软件。一旦软件产品交付，开源软件的风险问题也将为整个信息系统的安全运营带来极大的安全挑战。如果产业不能建立完善的开源安全审查评估和风险治理机制，开源风险事件数量将不断攀升、发生频率将不断提高、后果将越发严重。四、我国开源生态步入新阶段，面临新机遇(一)我国开源生态发展迈向新阶段(一)我国开源生态发展迈向新阶段 1.发展环境不断完善，开

68、源发展迈入崭新阶段 政策环境不断完善。继开源写入“十四五”规划之后，国家层面对开源的重视程度不断加深，相较往年开源支持政策体现在新技术发展的推动方式，近年开源政策更加体系化和多样化。国家积极推动产业用户认知开源，引导开源公共资源的建设及优化。国务院发布知识产权强国建设纲要（20212035 年），提及完善开源知识产权和法律体系，推动开源合规发展；工信部发布“十四五”软全球开源生态研究报告（2022 年）37 件和信息技术服务业发展规划中明确提出繁荣国内开源生态建设，推动国内开源项目与开源社区发展；2021 年，人民银行联合五部委发布关于规范金融业开源技术应用与发展的意见，积极推动产业用户正确认

69、识开源。企业重视程度持续提高。科技公司与行业企业对开源的认知和理解不断深入，将开源生态建设与企业发展战略统筹规划，同时关注开源风险治理问题。科技公司相继设置开源相关部门，华为、阿里、腾讯、蚂蚁金服、百度、微众银行、滴滴、抖音集团均成立开源管理办公室（OSPO）或类 OSPO 部门，不乏专职开源人员，连接企业内部技术、法务、安全、效能等多线条。以金融机构为代表的产业用户企业，设立开源管理虚拟小组，推动企业内部开源使用管理。开发者队伍持续扩大。国内开源开发者众多，开发者数量以及重点项目的贡献人数均在第一梯队范畴。2021 年 GitHub 开发者中10.3%来自中国，2021 年 Gitee 注册

70、开发者增长 180 万，总用户数量超过 800 万。华为、腾讯、阿里均有上千名员工参与开源代码贡献。开源人才培养氛围日益浓厚。面向高校学生和企业工程师的开源培训不断涌现，极大推动国内开源人才储备。国内 30 余个高校成立开源兴趣小组，维护开源镜像站，方便学生使用开源。中国信息通信研究院开设可信开源治理培训技术，面向企业培训开源治理。开源生态日趋成熟。我国开源生态从项目数量、社区活跃度、国际影响力、重点领域布局等方面均不断成熟。我国开源项目数量全球开源生态研究报告（2022 年）38 持续保持快速增长，根据 Gitee 统计，2021 年新增活跃仓库数超过200 万，自 2013 年以来年复合增

71、长率达到 79%。开源项目的国际影响力不断提升，2021 年我国已有 50 余个项目进入国际开源基金会。开源社区活跃度持续提升，根据 Gitee 统计，2021 年 issue 和 PR 数量相比 2020 年增长 102%。基础软件领域不断涌现开源项目，操作系统方面 openEuler、open Anolis、Tencent OS 快速建立生态，数据库方面，2021 年国内发起的开源数据库超 10 个。我国建立覆盖领域广泛的开源组织社区，中国信息通信研究院自 2018 年以来，依托云计算开源产业联盟相继成立 金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、科技制造行

72、业开源社区（TMOSC）、汽车行业开源社区（AOS），为行业搭建开源技术应用交流平台，探讨行业开源技术应用、开源治理与自发开源生态构建。2.开源市场空间巨大，商业环境不断成熟完善 开源应用市场逐渐显现。开源应用程度体现在使用开源的企业数量以及企业内部开源软件/组件的使用数量不断提升。据 2022 年中国信息通信研究院调研显示，超过 90%的金融机构使用开源软件，64.7%的金融机构开源软件/组件使用数量超过 1000，中间件、大数据、数据库、人工智能是开源的主要应用领域。行业用户逐步正视开源应用情况，并不断提升开源软件管理能力。全球开源生态研究报告（2022 年）39 开源独立采购成为趋势。开

73、源相关商业供应逐渐成熟，相较于前几年开源即免费的认知，行业用户在开源应用过程中产生大量专业服务支持需求，开源商业支持的必要性逐渐显现。开源采购涉及开源服务支持、开源管理咨询及平台建设三方面。运营商开源采购以开源服务支持为主，金融机构近几年开源治理咨询与平台建设采购需求增多。开源资本市场保持活跃。受政策、市场等因素影响，2021 年国内开源资本市场活跃，新兴技术领域创业公司不断涌现。2021 年国内 30 余家企业成功融资，最高金额 30 亿美元，聚焦云原生（33%）、数据库（33%）、人工智能（10%）技术领域，超过半数企业单笔融资金额上亿人民币。2022 年开源资本市场保持活跃，截至 202

74、2年 6月，融资事件数量占到三年融资数量的 36%。3.开源风险集中暴露，风险治理体系加速落地 开源风险防范意识增强。2022 年初爆发一系列开源组件安全事件，对国内信息系统稳定运行造成一定影响，推动企业正视开源使用与安全问题，探索建立开源安全态势感知及应急响应长效机制。开源合规方面，开源许可证相关诉讼案件推动国内开源合规认知，同时积累相关法律依据。各行业开源治理进一步落地。传统行业从安全开发、研发效能、安全态势感知等多角度切入开源风险治理，同时探索开源风险治理策略归一至软件供应链治理。中国信息通信研究院调研显示，2022全球开源生态研究报告（2022 年）40 年金融行业 71%的企业组建开

75、源管理团队，39%的企业具有专职开源管理人员；通信行业各省市运营商开源治理落地多复用集团统一平台与规则，但面临 CT 与 IT 侧开源治理难以统一的困境；汽车行业互联网应用优先进行开源治理。(二)我国开源生态积极创造新机遇(二)我国开源生态积极创造新机遇 提炼新理念。当前产业对开源的认知大多停留在开放源代码的软件形态，尚未充分理解开放协作的发展模式。推动产业深度认识开源，理解无边界协作带来的网络效应，信息透明互通带来的创造价值。将开源理念从软件开发过程抽象提炼，形成指导个人行为以及社会分工协作的理念。探索新方向。在新技术领域积极探索开源发展模式，通过开源模式形成新技术的市场优势和组织优势。新的

76、技术方向或具备颠覆性理念，或为适配多样性上下游，或为通用平台。例如，元宇宙建立科技实践与现实世界的映射关系，试图改变现实社会的运转规则，其核心技术涉及 3D 引擎、Web3 等，相关技术方向可积极探索开源发展，充分发挥开源在技术发展初期的创新引领作用。融合新形态。开源基金会是开源生态的重要组成，为推动开源中立发展起到重要推动作用。我国开源组织不仅有开源基金会一种形态，还包含各类开源联盟、社团、委员会，积极推动开源发展与产业应用结合以及特定领域开源技术发展。后续，开源将应用于各全球开源生态研究报告（2022 年）41 行业开放场景，服务于代码互通、需求互通、接口互通等多样场景，应充分应用开源组织新形态。应用新模式。开源商业模式覆盖发行版、云服务、开源服务等多种形态，其核心是将以产品为中心的商业模式演进为以服务为中心的商业模式，核心不是获取开源代码，而是用好开源代码发挥价值。未来企业应广泛应用开源商业模式，通过服务价值化应对当前应用场景变化快、研发成本高的问题。治理新机制。当前开源治理聚焦在明确开源治理规则，建立开源规章制度，落实开源管理组织架构，建设开源治理平台。然而开源治理是生态问题，单个企业很难解决产业共性问题。未来产业应积极探索共享群治新机制，形成公共知识沉淀与运行机制，共同应对开源风险问题。