開源技術(shù)的行業(yè)應(yīng)用分析

開源技術(shù)的行業(yè)應(yīng)用分析目錄一、開源生態(tài)概述 1（一）開源概念逐漸明晰 1（二）開源生態(tài)以開源項(xiàng)目為中心構(gòu)建 2二、開源成為企業(yè)商業(yè)布局的重要手段 3（一）全球開源商業(yè)模式多樣化發(fā)展 3（二）全球開源企業(yè)已啟動收購模式，進(jìn)一步擴(kuò)大用戶群體 5三、開源生態(tài)未來發(fā)展趨勢與案例 10（一）開源生態(tài)未來發(fā)展趨勢 10（二）我國開源生態(tài)發(fā)展建議 12（一）許可證及合規(guī)風(fēng)險(xiǎn) 1（二）安全漏洞風(fēng)險(xiǎn) 6（一）浦發(fā)銀行開源治理案例 12（二）中信銀行開源治理案例 14（四）中興開源治理案例 16（五）紅帽開源治理案例 19一、開源生態(tài)概述（一）開源概念逐漸明晰開源形態(tài)最早出現(xiàn)于上世紀(jì)六十年代，軟件代碼附屬硬件產(chǎn)品以開源的形式分發(fā)。1983MatthewStallmanGNU1998OSI給出，開源軟件比自有軟件更寬松，開源軟件與免費(fèi)軟件無直接對應(yīng)關(guān)系，公開代碼不一定是開源軟件。圖1開源軟件與自由軟件、免費(fèi)軟件的關(guān)系開源生產(chǎn)模式逐漸成為新一代軟件開發(fā)模式。隨著產(chǎn)業(yè)數(shù)字化發(fā)展，信息技術(shù)需要滿足業(yè)務(wù)場景發(fā)展需求，具有海量數(shù)據(jù)處理能力，點(diǎn)，有效聚集優(yōu)質(zhì)開發(fā)人員，形成分布式協(xié)作，推動產(chǎn)品快速迭代，同時(shí)豐富企業(yè)商業(yè)模式，促進(jìn)科技公司良性競爭。（二）開源生態(tài)以開源項(xiàng)目為中心構(gòu)建開源生態(tài)以開源項(xiàng)目為中心構(gòu)建，依托開源社區(qū)協(xié)作形成軟件、開源生態(tài)涉及開和個人均可參與。開源貢獻(xiàn)者主要最初貢獻(xiàn)開源項(xiàng)目的企業(yè)或個人，開源運(yùn)營推動開發(fā)者持續(xù)貢獻(xiàn)開源項(xiàng)圖2開源生態(tài)架構(gòu)圖二、開源成為企業(yè)商業(yè)布局的重要手段開源貢獻(xiàn)者與開源服務(wù)者結(jié)合自身經(jīng)營模式與開源進(jìn)行有效結(jié)合，實(shí)現(xiàn)商業(yè)轉(zhuǎn)換。（一）全球開源商業(yè)模式多樣化發(fā)展數(shù)據(jù)來源：中國信息通信研究院，2020年8月圖32開源商業(yè)布局的四種方式（二）全球開源企業(yè)已啟動收購模式，進(jìn)一步擴(kuò)大用戶群體ANDREESSENHOROWITZ是一家29家開源公司總計(jì)702.752018年以340在過去五年中投入開源近10億美元；微軟2018年以75億美元收購GitHub；2020年SUSE收購業(yè)界應(yīng)用最為廣泛的Kubernetes管理平臺建設(shè)方Rancher。z圖33開源投資情況

數(shù)據(jù)來源：Pitchbook，2020年4月帽、英特爾等頂級科技公司的員工是開源項(xiàng)目的重要貢獻(xiàn)者。根據(jù)Github77005500人參與20198球移動操作系統(tǒng)市場中占有率高達(dá)75.44%PC操作系統(tǒng)4.82%VScode2016GitHub開源項(xiàng)目Azure2018年市場收益48.617%份額；Facebook開源對象關(guān)PostgreSQL，20203月，DB-Engines數(shù)據(jù)庫流行度排行榜第四名。開源社區(qū)版本多以公開形式這種模式是向企業(yè)客戶提供基于上ApacheHadoop生ClouderaApacheHadoop提供企業(yè)級隨新的開源服務(wù)商業(yè)模式，即采用付費(fèi)直接使用云端服務(wù)的商業(yè)模式，（三）我國開源企業(yè)已初步構(gòu)建形成有影響力的開源項(xiàng)目萬，在全球占比11.8%，Linux項(xiàng)目中國在全球貢獻(xiàn)度排名第三。我國構(gòu)建自發(fā)開源生態(tài)，開源項(xiàng)目影響力呈現(xiàn)持續(xù)擴(kuò)大態(tài)勢。我202092172個15015%20209月，華為開161Apache頂級開源項(xiàng)目。移動互聯(lián)網(wǎng)企業(yè)也在積極開源，小米MACE（AI框架）和Pegasus（KV存儲）Kaldi均已開源。頭部科技公司在代碼托管平臺上的開源項(xiàng)目數(shù)呈明顯增長趨勢，20191Github3000，集中在前端開發(fā)、人工智能、數(shù)據(jù)庫、微服務(wù)、中間件等領(lǐng)域。表3我國企業(yè)在Github代碼貢獻(xiàn)情況國內(nèi)排名全球排名項(xiàng)目名稱公司前端開發(fā)228ant-design/ant-design阿里巴巴337ElemeFE/element阿里巴巴590NervJS/taro京東7107vuejs/vue-cli——10141ant-design/ant-design-pro阿里巴巴11169apache/incubator-echarts百度12193vuejs/vue——14209youzan/vant有贊15237nestjs/nest——26477vuejs/vuepress——人工智能6103PaddlePaddle/Paddle百度18297ApolloAuto/apollo百度20383PaddlePaddle/models百度1/archives/856967.html25452huaweicloud/ModelArts-Lab華為數(shù)據(jù)庫8128pingcap/tidbPingCAP21385tikv/tikvPingCAP微服務(wù)16270apache/dubbo阿里巴巴19362alibaba/nacos阿里巴巴23394apache/skywalking——中間件22389seata/seata阿里巴巴24426apache/shardingsphere京東數(shù)科其它12996icu/996.ICU——483selfteaching/selfteaching-python-camp——9137OpenAPITools/openapi-generator——13207Advanced-Frontend/Daily-Interview-Question——17296xitu/gold-miner掘金數(shù)據(jù)來源：X-lab開放實(shí)驗(yàn)室為未來新技術(shù)發(fā)展的重要抓手。EulerOS，GaussDBAI計(jì)算框架MindSpore；騰訊開源輕量級物聯(lián)網(wǎng)實(shí)時(shí)操作系統(tǒng)TencentOStinyTubeMQ，企業(yè)級分布式OceanBase。Coding9000DataArtisans（開源項(xiàng)目Flink發(fā)起公司，國內(nèi)科技公司積極投資開源基礎(chǔ)設(shè)施，為構(gòu)建自身生態(tài)做好鋪墊。KubernetesDockerMongoDB等熱門開源數(shù)據(jù)庫提供云服務(wù)。三、開源生態(tài)未來發(fā)展趨勢與案例（一）開源生態(tài)未來發(fā)展趨勢開源雖起源于個人行為，層面逐漸借助開源模式實(shí)現(xiàn)市場布局，企業(yè)層面通過主動布局開源，國內(nèi)逐步主動布局基礎(chǔ)軟國內(nèi)早期開源生態(tài)發(fā)展最早集中在應(yīng)用側(cè)開發(fā)軟件近年來國內(nèi)企業(yè)逐漸側(cè)重基礎(chǔ)軟件領(lǐng)域開源項(xiàng)目布局，在操作系統(tǒng)、開源聯(lián)盟組織將持續(xù)開源風(fēng)險(xiǎn)問題得到關(guān)注，開源治理口體系逐步建立開源項(xiàng)目雖最終形成軟件、硬件等最終形態(tài)，但需要滿足開源許可證要求，相比通用軟件具有一定的使用范圍和規(guī)則要求。未來開源風(fēng)險(xiǎn)問題進(jìn)一步凸顯，開源應(yīng)用情況逐漸透明，開源違約、兼容性、被開源等風(fēng)險(xiǎn)進(jìn)一步暴露，全球開源違約判例可能進(jìn)一步增加，企業(yè)內(nèi)部逐步建立開源治理體系應(yīng)對開源風(fēng)險(xiǎn)，通過開源管理機(jī)制及平臺規(guī)避開源風(fēng)險(xiǎn)。行業(yè)開源生態(tài)興起。行業(yè)用戶在開源生態(tài)的角色逐漸發(fā)生轉(zhuǎn)變，從開源使用到自發(fā)開源發(fā)展，金融、工業(yè)互聯(lián)網(wǎng)、電信、政府采購等行業(yè)逐漸探索行業(yè)內(nèi)開源生態(tài)構(gòu)建，將企業(yè)內(nèi)部信息建設(shè)代碼脫敏輸出，借助開源公開透明的特點(diǎn)快速迭代，形成滿足行業(yè)屬性的特定開源項(xiàng)目，逐步形成行業(yè)開源協(xié)作機(jī)制，實(shí)現(xiàn)行業(yè)輸出戰(zhàn)略布局。（二）我國開源生態(tài)發(fā)展建議我國自發(fā)開源企業(yè)需要建立穩(wěn)定的一是國內(nèi)開源聯(lián)盟組織持續(xù)推進(jìn)附錄一：開源軟件風(fēng)險(xiǎn)掃描本白皮書選取開源衛(wèi)士、BlackDuckFossEye國內(nèi)外三款工具（一）許可證及合規(guī)風(fēng)險(xiǎn)本白皮書對企業(yè)選擇最多的三個開源容器運(yùn)行技術(shù)（DockerRKT進(jìn)行掃描，結(jié)果顯示：DockerA工具共11個組件帶有傳染性許可證，C4RKT和兩個項(xiàng)目暫未發(fā)現(xiàn)使用傳染性許可證的開源組件。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖37容器運(yùn)行技術(shù)領(lǐng)域開源許可證風(fēng)險(xiǎn)情況本白皮書對企業(yè)選擇最多的三個開源容器編排技術(shù)（Kubernetes、Swarm和Mesos）進(jìn)行掃描，結(jié)果顯示：Kubernetes項(xiàng)目中B工具共識別出1個開源組件帶有傳染性許可證，1個開源組件帶有強(qiáng)傳染性許可證；swarm項(xiàng)目中B工具共識別出2個開源組件帶有傳染性許可證，2個開源組件帶有強(qiáng)傳染性許可證；mesos項(xiàng)目中A工具識別出2個開源組件帶有傳染性許可證，B工具識別出8個開源組件帶有傳染性許可證，1個開源組件帶有強(qiáng)傳染性許可證，C工具識別出1個開源組件帶有傳染性許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖38容器編排技術(shù)領(lǐng)域開源許可證風(fēng)險(xiǎn)情況（Dubbo、istio工具共識別出1個開源組件帶有傳染性許可證，B42個開源組件帶C工具共識別出43個開源組件帶有傳染性許可證；istio項(xiàng)目中，B8項(xiàng)目中，B6個開源組件帶有傳染性許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖39微服務(wù)框架領(lǐng)域開源許可證風(fēng)險(xiǎn)情況2DevOps（JenkinsAnsible）進(jìn)行掃描，結(jié)果顯示：Jenkins項(xiàng)目中，B工具共識別出13個開源組件帶有傳染性許可證，1個開源組件帶有強(qiáng)傳染性許可證，C工具識別出6個開源組件帶有傳染性許可證；Ansible項(xiàng)目三款工具均未檢測出帶有傳染性開源許可證的開源組件。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖40DevOps領(lǐng)域開源許可證風(fēng)險(xiǎn)情況本白皮書對企業(yè)選擇較多的2個無服務(wù)架構(gòu)領(lǐng)域開源軟件（OpenwhiskKubeless）Openwhisk項(xiàng)目1工具識別2個開源組件帶有強(qiáng)傳染性開源許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖41無服務(wù)器架構(gòu)領(lǐng)域開源許可證風(fēng)險(xiǎn)情況本白皮書對企業(yè)選擇較多的3個人工智能領(lǐng)域開源軟件（TensorFlow、KerasPytorch）進(jìn)行掃描，結(jié)果顯示：TensorFlow1工具29個開源組件帶有傳染性開源許可證，3個開源組件帶有強(qiáng)C14個開源組件帶有傳染性開源許可證；Ketas項(xiàng)目中，三款工具均未檢測出帶有傳染性開源許可證的開源組件；Pytorch項(xiàng)目中，三款工具均未檢測出帶有傳染性開源許可證的開源組件。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖42人工智能領(lǐng)域開源許可證風(fēng)險(xiǎn)情況1個數(shù)據(jù)庫領(lǐng)域開源軟件MySQL進(jìn)行掃描，結(jié)果顯示：MySQL項(xiàng)目中，A2個開源組件帶1個開源組件帶有傳染性開源許可證，C2個開源組件帶有傳染性開源許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖43數(shù)據(jù)庫領(lǐng)域開源許可證風(fēng)險(xiǎn)情況（二）安全漏洞風(fēng)險(xiǎn)本白皮書對企業(yè)選擇最多的三個開源容器運(yùn)行技術(shù)（Docker、RKT進(jìn)行掃描，結(jié)果顯示：DockerA工具共1個超高危漏洞、11個中危漏洞，B工具共識158個低危漏洞，C1個超高危漏163個項(xiàng)目暫未發(fā)現(xiàn)開源漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖44容器運(yùn)行技術(shù)領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況（Kubernetes、SwarmA工具共6個超高危漏洞、6個高危漏洞、81個低危漏3051工具共識別個高危漏洞、162個低危漏洞；swarm項(xiàng)目中未A55個高危漏洞、101個低危漏洞，B1個高危漏24個中危漏洞和41C工具識別出9個超高危漏洞、4957個中危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖45容器編排技術(shù)領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況（Dubbo、istio進(jìn)行掃描，結(jié)果顯示：Dubbo項(xiàng)目中，A工具共識別34個超高危漏洞、32個高危漏洞、3020個低危漏洞，B7個高危漏洞、358個低危漏604662個中危漏8工1個高危漏洞、2210個低危漏洞，C工具627工具共識73129個低危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖46微服務(wù)領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況2DevOps（JenkinsAnsible）進(jìn)行掃描，結(jié)果顯示：Jenkins項(xiàng)目中，A工具共識別出14個超高危漏洞、13個高危漏洞、211個低危漏洞，B2個高危漏洞、3730個低危漏洞，C2個超高危漏洞、1225個中危漏洞；Ansible項(xiàng)目三款工具均未檢測出開源漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖47DevOps領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況本白皮書對企業(yè)選擇較多的2個無服務(wù)架構(gòu)領(lǐng)域開源軟件（OpenwhiskKubeless）Openwhisk項(xiàng)目中，A62個低危漏洞，B1014319535個超高危漏洞、21個高危漏洞、212個低危漏洞；在Kuberless112個中危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖48無服務(wù)器架構(gòu)領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況本白皮書對企業(yè)選擇較多的3個人工智能領(lǐng)域開源軟件（TensorFlow、KerasPytorch）進(jìn)行掃描，結(jié)果顯示：TensorFlow343365個中危8個低危漏洞，B12個高危漏洞、131個中危漏洞和96C工具識別出718個高危漏洞、442個低危漏洞；Ketas4個中危漏洞，B工具識別出1個中危漏洞；Pytorch項(xiàng)目中，三款工具均未檢測出開源漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖49人工智能領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況本白皮書對企業(yè)選擇較多的1個數(shù)據(jù)庫領(lǐng)域開源軟件MySQL進(jìn)行掃描，結(jié)果顯示：MySQL項(xiàng)目中，B工具識別出2個中危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖50數(shù)據(jù)庫領(lǐng)域開源漏洞風(fēng)險(xiǎn)情況附錄二：企業(yè)開源治理案例（一）浦發(fā)銀行開源治理案例概述代快速、人才資源集中等好處。但同時(shí)，開源軟件有別于商用軟件，開源治理體系建設(shè)（1）開源治理的配套組織機(jī)制。指組織架構(gòu)或開源治理分工，。開源治理團(tuán)隊(duì)：主要負(fù)責(zé)制定和執(zhí)行開源軟件應(yīng)用管理規(guī)則及開源軟件日常管理工作。同時(shí)，開源治理團(tuán)隊(duì)熟悉開源軟件社區(qū)的各種指標(biāo)含義和獲取方法，有效保證了開源軟件社區(qū)信息獲取和評估的效率。制定相關(guān)管理制度對開源一套適合于金融行業(yè)業(yè)務(wù)和管理型。E-OSMM(EnterpriseOpenSourceMaturityModel)一個用于支撐開源軟件治理的平臺系統(tǒng)，是整個開源治理工作高效運(yùn)行的技術(shù)保障。開源治理流程在源頭上控制了高風(fēng)險(xiǎn)開源軟件版本的引入，有通過信息共享，推動開源技術(shù)和軟件在金融行業(yè)內(nèi)安全可靠的使用?？偨Y(jié)浦發(fā)銀行從無到體系化了開源治理工作，并和行內(nèi)軟件項(xiàng)目流程相結(jié)合實(shí)現(xiàn)了落地運(yùn)行，形成了包括相應(yīng)工具平臺在內(nèi)的工作機(jī)制。云計(jì)算開源產(chǎn)業(yè)聯(lián)盟（二）中信銀行開源治理案例中信銀行入的測評工作，根據(jù)開源軟件類型，從專家資源池中選擇相應(yīng)專家，開源軟件歸口管理員：作為歸口角色向開源軟件主管部門提出開開源軟件審批團(tuán)隊(duì)：由各領(lǐng)域推薦技術(shù)專家，共同維護(hù)開源軟件評審專家資源池。引入與升級流程：較低級別的開源軟件進(jìn)行線上會簽評審并編寫測評報(bào)告和試用新進(jìn)行軟件準(zhǔn)入流程（需求申請、測評、評審。對需要二次開發(fā)后（三）中國銀行開源應(yīng)用案例中國銀行ZABBIX用于對各個大數(shù)據(jù)Zabbix-agent并發(fā)送至zabbix-serverzabbix會將數(shù)據(jù)存儲到數(shù)據(jù)庫databaseZabbixAPITiDBAjax請求獲取響應(yīng)并展示數(shù)據(jù)。（四）中興開源治理案例IT工具系統(tǒng)的支撐下，形成了完善的開源軟件管理和治理機(jī)制。1、概述產(chǎn)品開發(fā)人員從非官方托管地等不可靠的地方下載可能存在病毒等2、開源軟件的選型和引入開源專家團(tuán)隊(duì)從若干方面因素對所申請的開源軟件版本進(jìn)行評估打軟件所使用的開源許可證，漏洞情況，業(yè)界采納度，版本發(fā)布周期，開發(fā)者社區(qū)規(guī)模，是否有開源基金會支持等等。以及其他可靠托管地下載其源碼和/（如rpmjar包等等，經(jīng)