開源技術的行業(yè)應用分析VIP

開源技術的行業(yè)應用分析目錄一、開源生態(tài)概述 1（一）開源概念逐漸明晰 1（二）開源生態(tài)以開源項目為中心構建 2二、開源成為企業(yè)商業(yè)布局的重要手段 3（一）全球開源商業(yè)模式多樣化發(fā)展 3（二）全球開源企業(yè)已啟動收購模式，進一步擴大用戶群體 5三、開源生態(tài)未來發(fā)展趨勢與案例 10（一）開源生態(tài)未來發(fā)展趨勢 10（二）我國開源生態(tài)發(fā)展建議 12（一）許可證及合規(guī)風險 1（二）安全漏洞風險 6（一）浦發(fā)銀行開源治理案例 12（二）中信銀行開源治理案例 14（四）中興開源治理案例 16（五）紅帽開源治理案例 19一、開源生態(tài)概述（一）開源概念逐漸明晰開源形態(tài)最早出現(xiàn)于上世紀六十年代，軟件代碼附屬硬件產(chǎn)品以開源的形式分發(fā)。1983MatthewStallmanGNU1998OSI給出，開源軟件比自有軟件更寬松，開源軟件與免費軟件無直接對應關系，公開代碼不一定是開源軟件。圖1開源軟件與自由軟件、免費軟件的關系開源生產(chǎn)模式逐漸成為新一代軟件開發(fā)模式。隨著產(chǎn)業(yè)數(shù)字化發(fā)展，信息技術需要滿足業(yè)務場景發(fā)展需求，具有海量數(shù)據(jù)處理能力，點，有效聚集優(yōu)質開發(fā)人員，形成分布式協(xié)作，推動產(chǎn)品快速迭代，同時豐富企業(yè)商業(yè)模式，促進科技公司良性競爭。（二）開源生態(tài)以開源項目為中心構建開源生態(tài)以開源項目為中心構建，依托開源社區(qū)協(xié)作形成軟件、開源生態(tài)涉及開和個人均可參與。開源貢獻者主要最初貢獻開源項目的企業(yè)或個人，開源運營推動開發(fā)者持續(xù)貢獻開源項圖2開源生態(tài)架構圖二、開源成為企業(yè)商業(yè)布局的重要手段開源貢獻者與開源服務者結合自身經(jīng)營模式與開源進行有效結合，實現(xiàn)商業(yè)轉換。（一）全球開源商業(yè)模式多樣化發(fā)展數(shù)據(jù)來源：中國信息通信研究院，2020年8月圖32開源商業(yè)布局的四種方式（二）全球開源企業(yè)已啟動收購模式，進一步擴大用戶群體ANDREESSENHOROWITZ是一家29家開源公司總計702.752018年以340在過去五年中投入開源近10億美元；微軟2018年以75億美元收購GitHub；2020年SUSE收購業(yè)界應用最為廣泛的Kubernetes管理平臺建設方Rancher。z圖33開源投資情況

數(shù)據(jù)來源：Pitchbook，2020年4月帽、英特爾等頂級科技公司的員工是開源項目的重要貢獻者。根據(jù)Github77005500人參與20198球移動操作系統(tǒng)市場中占有率高達75.44%PC操作系統(tǒng)4.82%VScode2016GitHub開源項目Azure2018年市場收益48.617%份額；Facebook開源對象關PostgreSQL，20203月，DB-Engines數(shù)據(jù)庫流行度排行榜第四名。開源社區(qū)版本多以公開形式這種模式是向企業(yè)客戶提供基于上ApacheHadoop生ClouderaApacheHadoop提供企業(yè)級隨新的開源服務商業(yè)模式，即采用付費直接使用云端服務的商業(yè)模式，（三）我國開源企業(yè)已初步構建形成有影響力的開源項目萬，在全球占比11.8%，Linux項目中國在全球貢獻度排名第三。我國構建自發(fā)開源生態(tài)，開源項目影響力呈現(xiàn)持續(xù)擴大態(tài)勢。我202092172個15015%20209月，華為開161Apache頂級開源項目。移動互聯(lián)網(wǎng)企業(yè)也在積極開源，小米MACE（AI框架）和Pegasus（KV存儲）Kaldi均已開源。頭部科技公司在代碼托管平臺上的開源項目數(shù)呈明顯增長趨勢，20191Github3000，集中在前端開發(fā)、人工智能、數(shù)據(jù)庫、微服務、中間件等領域。表3我國企業(yè)在Github代碼貢獻情況國內排名全球排名項目名稱公司前端開發(fā)228ant-design/ant-design阿里巴巴337ElemeFE/element阿里巴巴590NervJS/taro京東7107vuejs/vue-cli——10141ant-design/ant-design-pro阿里巴巴11169apache/incubator-echarts百度12193vuejs/vue——14209youzan/vant有贊15237nestjs/nest——26477vuejs/vuepress——人工智能6103PaddlePaddle/Paddle百度18297ApolloAuto/apollo百度20383PaddlePaddle/models百度1/archives/856967.html25452huaweicloud/ModelArts-Lab華為數(shù)據(jù)庫8128pingcap/tidbPingCAP21385tikv/tikvPingCAP微服務16270apache/dubbo阿里巴巴19362alibaba/nacos阿里巴巴23394apache/skywalking——中間件22389seata/seata阿里巴巴24426apache/shardingsphere京東數(shù)科其它12996icu/996.ICU——483selfteaching/selfteaching-python-camp——9137OpenAPITools/openapi-generator——13207Advanced-Frontend/Daily-Interview-Question——17296xitu/gold-miner掘金數(shù)據(jù)來源：X-lab開放實驗室為未來新技術發(fā)展的重要抓手。EulerOS，GaussDBAI計算框架MindSpore；騰訊開源輕量級物聯(lián)網(wǎng)實時操作系統(tǒng)TencentOStinyTubeMQ，企業(yè)級分布式OceanBase。Coding9000DataArtisans（開源項目Flink發(fā)起公司，國內科技公司積極投資開源基礎設施，為構建自身生態(tài)做好鋪墊。KubernetesDockerMongoDB等熱門開源數(shù)據(jù)庫提供云服務。三、開源生態(tài)未來發(fā)展趨勢與案例（一）開源生態(tài)未來發(fā)展趨勢開源雖起源于個人行為，層面逐漸借助開源模式實現(xiàn)市場布局，企業(yè)層面通過主動布局開源，國內逐步主動布局基礎軟國內早期開源生態(tài)發(fā)展最早集中在應用側開發(fā)軟件近年來國內企業(yè)逐漸側重基礎軟件領域開源項目布局，在操作系統(tǒng)、開源聯(lián)盟組織將持續(xù)開源風險問題得到關注，開源治理口體系逐步建立開源項目雖最終形成軟件、硬件等最終形態(tài)，但需要滿足開源許可證要求，相比通用軟件具有一定的使用范圍和規(guī)則要求。未來開源風險問題進一步凸顯，開源應用情況逐漸透明，開源違約、兼容性、被開源等風險進一步暴露，全球開源違約判例可能進一步增加，企業(yè)內部逐步建立開源治理體系應對開源風險，通過開源管理機制及平臺規(guī)避開源風險。行業(yè)開源生態(tài)興起。行業(yè)用戶在開源生態(tài)的角色逐漸發(fā)生轉變，從開源使用到自發(fā)開源發(fā)展，金融、工業(yè)互聯(lián)網(wǎng)、電信、政府采購等行業(yè)逐漸探索行業(yè)內開源生態(tài)構建，將企業(yè)內部信息建設代碼脫敏輸出，借助開源公開透明的特點快速迭代，形成滿足行業(yè)屬性的特定開源項目，逐步形成行業(yè)開源協(xié)作機制，實現(xiàn)行業(yè)輸出戰(zhàn)略布局。（二）我國開源生態(tài)發(fā)展建議我國自發(fā)開源企業(yè)需要建立穩(wěn)定的一是國內開源聯(lián)盟組織持續(xù)推進附錄一：開源軟件風險掃描本白皮書選取開源衛(wèi)士、BlackDuckFossEye國內外三款工具（一）許可證及合規(guī)風險本白皮書對企業(yè)選擇最多的三個開源容器運行技術（DockerRKT進行掃描，結果顯示：DockerA工具共11個組件帶有傳染性許可證，C4RKT和兩個項目暫未發(fā)現(xiàn)使用傳染性許可證的開源組件。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖37容器運行技術領域開源許可證風險情況本白皮書對企業(yè)選擇最多的三個開源容器編排技術（Kubernetes、Swarm和Mesos）進行掃描，結果顯示：Kubernetes項目中B工具共識別出1個開源組件帶有傳染性許可證，1個開源組件帶有強傳染性許可證；swarm項目中B工具共識別出2個開源組件帶有傳染性許可證，2個開源組件帶有強傳染性許可證；mesos項目中A工具識別出2個開源組件帶有傳染性許可證，B工具識別出8個開源組件帶有傳染性許可證，1個開源組件帶有強傳染性許可證，C工具識別出1個開源組件帶有傳染性許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖38容器編排技術領域開源許可證風險情況（Dubbo、istio工具共識別出1個開源組件帶有傳染性許可證，B42個開源組件帶C工具共識別出43個開源組件帶有傳染性許可證；istio項目中，B8項目中，B6個開源組件帶有傳染性許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖39微服務框架領域開源許可證風險情況2DevOps（JenkinsAnsible）進行掃描，結果顯示：Jenkins項目中，B工具共識別出13個開源組件帶有傳染性許可證，1個開源組件帶有強傳染性許可證，C工具識別出6個開源組件帶有傳染性許可證；Ansible項目三款工具均未檢測出帶有傳染性開源許可證的開源組件。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖40DevOps領域開源許可證風險情況本白皮書對企業(yè)選擇較多的2個無服務架構領域開源軟件（OpenwhiskKubeless）Openwhisk項目1工具識別2個開源組件帶有強傳染性開源許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖41無服務器架構領域開源許可證風險情況本白皮書對企業(yè)選擇較多的3個人工智能領域開源軟件（TensorFlow、KerasPytorch）進行掃描，結果顯示：TensorFlow1工具29個開源組件帶有傳染性開源許可證，3個開源組件帶有強C14個開源組件帶有傳染性開源許可證；Ketas項目中，三款工具均未檢測出帶有傳染性開源許可證的開源組件；Pytorch項目中，三款工具均未檢測出帶有傳染性開源許可證的開源組件。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖42人工智能領域開源許可證風險情況1個數(shù)據(jù)庫領域開源軟件MySQL進行掃描，結果顯示：MySQL項目中，A2個開源組件帶1個開源組件帶有傳染性開源許可證，C2個開源組件帶有傳染性開源許可證。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖43數(shù)據(jù)庫領域開源許可證風險情況（二）安全漏洞風險本白皮書對企業(yè)選擇最多的三個開源容器運行技術（Docker、RKT進行掃描，結果顯示：DockerA工具共1個超高危漏洞、11個中危漏洞，B工具共識158個低危漏洞，C1個超高危漏163個項目暫未發(fā)現(xiàn)開源漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖44容器運行技術領域開源漏洞風險情況（Kubernetes、SwarmA工具共6個超高危漏洞、6個高危漏洞、81個低危漏3051工具共識別個高危漏洞、162個低危漏洞；swarm項目中未A55個高危漏洞、101個低危漏洞，B1個高危漏24個中危漏洞和41C工具識別出9個超高危漏洞、4957個中危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖45容器編排技術領域開源漏洞風險情況（Dubbo、istio進行掃描，結果顯示：Dubbo項目中，A工具共識別34個超高危漏洞、32個高危漏洞、3020個低危漏洞，B7個高危漏洞、358個低危漏604662個中危漏8工1個高危漏洞、2210個低危漏洞，C工具627工具共識73129個低危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖46微服務領域開源漏洞風險情況2DevOps（JenkinsAnsible）進行掃描，結果顯示：Jenkins項目中，A工具共識別出14個超高危漏洞、13個高危漏洞、211個低危漏洞，B2個高危漏洞、3730個低危漏洞，C2個超高危漏洞、1225個中危漏洞；Ansible項目三款工具均未檢測出開源漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖47DevOps領域開源漏洞風險情況本白皮書對企業(yè)選擇較多的2個無服務架構領域開源軟件（OpenwhiskKubeless）Openwhisk項目中，A62個低危漏洞，B1014319535個超高危漏洞、21個高危漏洞、212個低危漏洞；在Kuberless112個中危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖48無服務器架構領域開源漏洞風險情況本白皮書對企業(yè)選擇較多的3個人工智能領域開源軟件（TensorFlow、KerasPytorch）進行掃描，結果顯示：TensorFlow343365個中危8個低危漏洞，B12個高危漏洞、131個中危漏洞和96C工具識別出718個高危漏洞、442個低危漏洞；Ketas4個中危漏洞，B工具識別出1個中危漏洞；Pytorch項目中，三款工具均未檢測出開源漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖49人工智能領域開源漏洞風險情況本白皮書對企業(yè)選擇較多的1個數(shù)據(jù)庫領域開源軟件MySQL進行掃描，結果顯示：MySQL項目中，B工具識別出2個中危漏洞。數(shù)據(jù)來源：中國信息通信研究院，2020年4月圖50數(shù)據(jù)庫領域開源漏洞風險情況附錄二：企業(yè)開源治理案例（一）浦發(fā)銀行開源治理案例概述代快速、人才資源集中等好處。但同時，開源軟件有別于商用軟件，開源治理體系建設（1）開源治理的配套組織機制。指組織架構或開源治理分工，。開源治理團隊：主要負責制定和執(zhí)行開源軟件應用管理規(guī)則及開源軟件日常管理工作。同時，開源治理團隊熟悉開源軟件社區(qū)的各種指標含義和獲取方法，有效保證了開源軟件社區(qū)信息獲取和評估的效率。制定相關管理制度對開源一套適合于金融行業(yè)業(yè)務和管理型。E-OSMM(EnterpriseOpenSourceMaturityModel)一個用于支撐開源軟件治理的平臺系統(tǒng)，是整個開源治理工作高效運行的技術保障。開源治理流程在源頭上控制了高風險開源軟件版本的引入，有通過信息共享，推動開源技術和軟件在金融行業(yè)內安全可靠的使用?？偨Y浦發(fā)銀行從無到體系化了開源治理工作，并和行內軟件項目流程相結合實現(xiàn)了落地運行，形成了包括相應工具平臺在內的工作機制。云計算開源產(chǎn)業(yè)聯(lián)盟（二）中信銀行開源治理案例中信銀行入的測評工作，根據(jù)開源軟件類型，從專家資源池中選擇相應專家，開源軟件歸口管理員：作為歸口角色向開源軟件主管部門提出開開源軟件審批團隊：由各領域推薦技術專家，共同維護開源軟件評審專家資源池。引入與升級流程：較低級別的開源軟件進行線上會簽評審并編寫測評報告和試用新進行軟件準入流程（需求申請、測評、評審。對需要二次開發(fā)后（三）中國銀行開源應用案例中國銀行ZABBIX用于對各個大數(shù)據(jù)Zabbix-agent并發(fā)送至zabbix-serverzabbix會將數(shù)據(jù)存儲到數(shù)據(jù)庫databaseZabbixAPITiDBAjax請求獲取響應并展示數(shù)據(jù)。（四）中興開源治理案例IT工具系統(tǒng)的支撐下，形成了完善的開源軟件管理和治理機制。1、概述產(chǎn)品開發(fā)人員從非官方托管地等不可靠的地方下載可能存在病毒等2、開源軟件的選型和引入開源專家團隊從若干方面因素對所申請的開源軟件版本進行評估打軟件所使用的開源許可證，漏洞情況，業(yè)界采納度，版本發(fā)布周期，開發(fā)者社區(qū)規(guī)模，是否有開源基金會支持等等。以及其他可靠托管地下載其源碼和/（如rpmjar包等等，經(jīng)