中国发展开源产业迫在眉睫
2021-02-07 12:58:58 
阿炯
作者:陈波,中央财经大学数字财经研究中心主任
欧盟委员会在最新的研究报告中指出,开源软件对欧盟的经济贡献巨大。2017年至2018年,开源项目提交数量增加了10%,相当于欧洲GDP每年增长的0.4%,即每年630亿欧元。此外,开源贡献者的数量也增加10%,将使欧盟的GDP提高0.6%,达到每年950亿欧元左右。
开源运动经过近半个世纪浩浩荡荡的发展,已经成为推动全球科技创新的重要力量,但这一概念在中国主流社会认知中仍然是一个小众的存在。随着中国进入科技自主创新的时代,开源这一模式定将担当起重要的支撑性角色。
开源一词最早来源于“开源软件运动”,它本质上是一种鼓励开放协作、去中心化的软件开发模式。从组织科学的角度看,创新活动有两种驱动模式,一种是常见的“私人投资模式”,即通过有效的知识产权保护制度为创新者带来回报,另一种是“集体创新模式”,即假设在私有化市场失灵的情况下,创新者为了生产公共物品而进行合作(Hippel, & Krogh, 2003)。开源属于一种典型的集体创新模式,又可称为分布式创新模式。
开源从萌芽到产业化的四个阶段
开源是科技与人文因素相互叠加的复杂产物,其背后既源于学术界天然的分享精神,也深受软件技术和商业模式发展的影响。总体而言,开源的发展经历了四个阶段。
第一个阶段是开源萌芽期,即上世纪60年代到70年代初。这一时期软件并不是能够重复售卖的产品,尚未出现独立的软件技术公司。软件开发主要发生在学术界和产业界的实验室里,在计算能力和编程技术的限制下,科研人员乐于通过分享来提高软件开发的效率。这种分享精神正是后来开源运动的文化根基。
第二个阶段称为自由软件时代(80年代)。这一时期出现了“软件授权”机制,软件开始作为一种产品进行售卖。当时美国麻省理工学院(MIT)授权一家商业机构使用代码,但是这家公司获得授权之后立刻限制其他人的使用。这种行为受到了黑客的抵制,因此MIT科学家Richard Stallman于1985年创建了自由软件基金会(Free Software Foundation),希望能够为黑客们建立一套合法的自由软件访问机制,即“通用公共许可(General Public License)”。但是这一机制在软件产业的发展浪潮中一直是非主流,因为自由软件的概念很容易被商业界所误解和抵制。
为了解决这个问题,1998年黑客Bruce Perens和Eric Raymond发起了所谓的“开源软件运动”(即第三阶段)。“开源软件运动”更强调经济价值,而弱化了道德属性。由此开源的概念开始被企业界所广泛接受,许多全球性商业公司也参与到开源运动中,如今开源已经成为软件产业的一个重要组成部分和独特的文化标签。
第四个阶段则是互联网产业兴起之后,用户和流量的价值开始超过软件的功能价值,为了加速从软件化到互联网化的转型,软件开源被越来越多的商业机构作为竞争性策略所使用,出现了“开源软件商业化”和“商业软件开源化”的趋势,即开源的产业化时代。
开源是科技竞争的大杀器
从开源的发展历史可以看到,开源出现的原因是为了纠正私人投资模式的失灵问题。然而随着开源模式的不断进化,它与传统的私人创新模式相互融合,形成了开放和封闭相互交替的所谓“私人-集体创新模式”(Hippel, & Krogh, 2003)。即商业公司通过开源软件迅速获得市场和用户,打破原有的市场垄断局面,用较低的成本获取较大的市场份额,然后在此基础上锁定知识产权,从而获取垄断利益。
这一模式已经成为全球科技公司布局下一代科技产业的惯用策略,其中最具代表性的例子是谷歌公司的Chrome/Chromium浏览器。在Chrome出现之前,浏览器市场被微软的捆绑策略所垄断,仅有Firefox、Opera等产品占有少数份额,Google为了打开用户庞大的浏览器市场,于2008年推出了Chromium开源项目。这吸引了全球的开发者,其更新速度很快,每隔数小时即有新的开发版本发布,形成了压倒性的产品优势。最终导致微软放弃自己的捆绑式浏览器产品,也推出了基于Chromium的Edge浏览器。从这个案例可以看到,商业机构通过开源策略提供公共产品,打破原有的垄断市场格局,可以形成新的“垄断”格局和市场优势。该策略的好处是由于借开源之名,这一“垄断”通常不会被监管者所关注。
与此同时,开源作为一种全新的创新模式,已出现了明显的溢出效应,向更多的技术领域扩散。在内涵上,开源已不仅仅是将代码公开,而是开始深入到技术模型层面,出现了一批开源算法平台。在应用领域上,开源不局限于通用软件领域,而是在一些特定场景下也出现了开源软件,如能源、电力、医疗、管理等。这些趋势表明开源已经成为一种新的创新方法论,开始深入到各行各业。许多科技公司正在利用开源模式布局下一代科技产业,例如谷歌公司2015年将人工智能引擎TensorFlow进行开源,并允许用户使用其开源的图片等数据进行建模。通过这个策略,它可以迅速占领市场,培养生态体系,并在行业标准方面形成话语权。此外,微软以75亿美元的价格收购代码托管和协作平台 GitHub,沃尔玛也发布了其云管理开源软件 OneOps,使得商户能够进行跨云平台的管理。通过收购开源平台极大巩固了科技公司的垄断地位。
国产开源产业方兴未艾
开源是一个高度国际化的产业,已经从黑客的游击战模式演进到了科技巨头引领的阵地战模式。中国的开源产业发展较为落后,虽然国产的开源软件数量上不少,但由于缺少具有国际影响力的头部项目,导致圈子里存在着较强的“崇洋媚外”文化。
国内开源软件的原创能力较弱与商业环境密切相关。由于国内企业普遍倾向于见效快、收益高的应用型开发,较少专注于核心技术的研发。通过梳理开源中国等平台上的开源软件可以发现,大多数项目以应用软件或单一功能服务为主,缺少具备原创性核心技术和系统级的开源项目。
此外,中国的开源项目呈现出小而散的碎片化状态,缺少科技巨头参与和专业的运营团队,难以形成强大的生态体系。开源项目需要长期运营,且需要一定的资金投入,因此个人级开源项目往往发布1-2次版本之后便停止更新。而商业级、规模化的开源项目则由于绝大多数中国企业不具备开源运营的意识和人才,实际上也很难实施。除非企业有明确的战略目标,否则不太可能把最新的技术拿来开源,进行开源的可能都是次优技术,且不会持续投入运营。
开源项目的成功需要具备诸多的条件,失败是一种常态。在大多数开源项目里,只有少数人才是真正的贡献者,绝大多数是使用者。高昂的运营成本与公益性之间的矛盾,使得多数开源项目的更新速度太慢,很难与同类的商业软件竞争,最终被淘汰。根据调研(Coelho, & Valente, 2017),开源项目失败最主要的原因包括:被竞争对手篡夺,项目过时,团队参与时间不足,团队兴趣动机不足,技术落伍,项目可维护性差,开发团队之间的冲突等。
通常一个可持续的开源项目至少需要4-5个人的骨干人员参与,至少每3-4个月更新一个版本。例如较为成功的Kylin项目,技术团队最开始只有4、5个人,后来逐渐壮大发展到10几个核心人员,达到了1-2个月更新一次的频率。具有4-5人的稳定骨干人员,再加上数十名业余爱好者的积极参与,这是开源项目可持续发展的基本指标,但是能够达到这一要求的国产开源项目依然凤毛麟角。
大力构建自主开源生态体系
开源是促进技术创新的有力武器,但对于大多数中国企业来说仍然是一个非常陌生的领域。要在短期内追上全球开源浪潮的步伐,必须进行系统的布局,构建国产化的开源生态体系。对此本文提出以下建议:
第一,破除对开源的错误认识和偏见,加强开源理论体系的建设。许多人误以为开源是免费且没有版权的,许多机构大量使用国外的开源代码,但是极少对开源授权机制进行深入研究和合规性管理。恰恰相反,开源从最初就是要构建一种有利于创新的特殊版权机制,而且开源不等于免费,开源的商业化模式已经有了很多成功案例。目前国内对于开源理论的学术研究和案例分析均非常匮乏,远落后于发达国家。为此建议积极开展开源理论体系建设,从伦理学、组织行为学、经济学等角度开展相关的研究,建立开源案例库。
第二,引导和鼓励科技领军企业对标国际巨头,大力开展国产开源生态体系的构建。中国科技企业应当积极参与到全球开源产业的竞争中,通过开源(复制)-改造(原创)-开源(扩散)的学习模式,形成应用、技术、服务和数据等多层次的开源发展策略。开源不能停留在部门级业务,而是需要上升到公司战略,只有让最顶尖的技术开源,才有成功机会。通过培育一批开源创新项目,吸引更多的机构参与到开源生态体系中,建立以中国企业为引领的国际化开源社区。
第三,推动产学研合作,形成完善的开源人才培养体系。开源生态的核心是运营,运营的核心取决于人才的素质。做出成功的开源产品,必须要有出色的数字社区运营能力。此外,开源是一种全球性的创新协作机制,对人才的国际化水平和复合型背景要求较高。建议积极推进企业与高等院校的合作,开发完善的开源教材和课题体系,培养一批高素质的开源管理运营人才,支撑我国开源生态体系的可持续发展。
第四,加强开源理念的宣传,制定开源标准和认证体系,促进开源的国产化进程。对金融、政务等事关国家安全的领域进行摸底调查,掌握开源软件的对外依赖度。有针对性的开展开源理念、法律等方面的科普和培训,制定国产化开源标准和产品认证体系,并将相关指标纳入到考核体系中,逐步形成开源软件的国产化替代。
参考文献:
Hippel, E. V., & Krogh, G. V. (2003). Open source software and the “private-collective” innovation model: Issues for organization science. Organization science, 14(2), 209-223.
Zhao, L., & Elbaum, S. (2003). Quality assurance under the open source development model. Journal of Systems and Software, 66(1), 65-75.
Coelho, J., & Valente, M. T. (2017, August). Why modern open source projects fail. In Proceedings of the 2017 11th Joint Meeting on Foundations of Software Engineering (pp. 186-196).
The WIRED Guide to Open Source Software
中国信通院发布首批开源供应商名录
2021年5月中旬消息,随着开源技术的热度不断攀升,开源软件应用已成为普遍现象。开源用户对开源软件的商业支持、云服务和服务的需求日益紧迫,因此梳理开源供应商名录势在必行。在此背景下,中国信息通信研究院于2021年1月底开展了第一批开源供应商名录征集活动,活动一经发布得到了众多企业的积极反馈,经过历时3个月的前期调研、公开征集、申报资料验证与分析,2次专家研讨会和近30次的企业实际调研访谈,本次发布的第一批开源供应商名录,共收录26家开源供应商。名单如下:
中兴通讯(参加2021年可信开源供应链风险管理能力评估)
苏州棱镜七彩信息科技有限公司(通过2020可信开源治理工具SaaS版评估)
北京安普诺信息技术有限公司(通过2020可信开源治理工具SaaS+本地部署版评估)
深圳开源互联网安全技术有限公司(参与2021年可信开源治理工具SaaS+本地部署版评估)
中国联通软件研究院
烽火通信科技股份有限公司
浪潮云信息技术股份公司
天津卓朗科技发展有限公司
北京轻元科技有限公司
苏州博纳讯动软件有限公司
北京青云科技股份有限公司
红帽软件(北京)有限公司
广西梯度科技有限公司
网易数帆
IBM
普华基础软件股份有限公司
上海云轴信息科技有限公司
上海跬智信息技术有限公司
优刻得科技股份有限公司
北京一流科技有限公司
易企天创管理咨询有限公司
深圳支流科技有限公司
滴滴云计算有限公司
火山引擎
NEO4J瑞典公司
北京世纪互联宽带数据中心有限公司
杭州默安科技有限公司
本次征集范围涵盖云计算、大数据、中间件、数据库、操作系统、开发框架和安全等领域,企业服务范围包括开源商业解决方案、开源云服务和开源服务。
图1 开源供应商全景图
注:图中标红为此次提供征集材料的开源供应商,其他为前期调研收集的开源供应商
表1 开源供应商产品列表
第二批开源供应商名录征集报名
征集时间及流程
即日起至2021年7月1日。
征集结束后,联盟将组织相关专家对解决方案进行评审,视情况开展实地调研,综合专家意见、调研情况进行开源供应商筛选,第二批名录将于2021年9月份开源产业大会公布。
征集要求
申报主体须为开源供应商。具体要求如下:
1、主要征集类型包括基于开源提供商业解决方案、基于开源提供云服务、基于开源提供服务支持的企业。
2、主要征集方向包括且不限于数据库、云计算、大数据、操作系统、中间件、基础开发框架以及安全领域。
图2 开源供应商名录框架
发布方式
本次征集评选结果将向社会公开发布,并汇编成开源供应商案例集,在2021年9月发布,并在2021年开源产业大会、联盟官网/官微、第三方会议论坛中进行宣传推广,加强开源供应商推广。
提交要求及方式
1、申报主体以企业为单位,可接受联合主体申报。
2、请提交Word材料(可在信通院主页上下载),填写完毕后请将相关材料发送至lixiaoming1@caict.ac.cn,邮件主题请按“XXX公司/企业-开源供应商”格式填写。
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
上文源自:中国信息通信研究院CAICT
中国信通院牵头制定的软件安全相关团体标准正式发布
2024年1月29日,由中国信息通信研究院(简称 “中国信通院”)牵头制定的软件安全相关团体标准《软件安全开发能力评估技术规范》(标准编号 T/ISC 0042—2024)、《软件代码自主率测评方法》(标准编号 T/ISC 0043—2024)、《软件供应链安全要求》(标准编号 T/ISC 0044—2024)正式批准发布。软件安全相关团体标准于 2023 年 4 月在中国互联网协会申请立项,由中国信通院数字安全护航计划组织起草,20 余家单位共同参与编制。
软件安全相关团体标准围绕软件及应用安全开发体系在不同等级中的实践活动要求、对软件和应用产品代码自主率的技术要求、对自身的软件供应链安全的建设、评估和改进三个方面进行编写。主要提出三大核心内容:
1、软件安全开发能力成熟度模型 (SSDCMM)
模型分别由安全能力维度、能力成熟度等级维度、安全开发过程维度三个维度组成,覆盖需求、设计、编码、测试、部署 / 发布、运维全生命周期开发阶段,以业务安全和信息安全为出发点,通过对流程、制度、规范的梳理,以及开展相关人员安全意识的培训、威胁资源库、安全测试资源库等相关资源的建设,充分保障业务系统满足业务安全和信息安全的需求,有效提升软件开发团队的安全意识和安全开发能力,做到信息安全的 “早预防、早发现、早响应”,实现安全左移。
2、代码自主率检测方法
代码自主率反映了软件产品的自主创新能力和知识产权保护程度。一般来说,代码自主率越高,软件产品越具有竞争优势和市场价值。基于此,我们将代码自主率的技术要求以及检测方法写入标准,帮助软件开发企业开展软件和应用产品代码自主率的检测评价工作,减少对开源源代码和组件的依赖,提升自主率,实现自主可控。
3、软件供应链安全体系模型
体系主要包括安全管理和安全技术两部分,以管理和技术两个方面实现对软件供应链生命周期的把控,通过开展代码评审、代码检测、代码走查等方式,识别并修复源代码安全漏洞,通过建立漏洞库,持续对漏洞进行管理和整改来规范开源组件的使用,从而保障软件供应链的安全性。
2024年,中国信通院数字安全护航计划将继续推动软件安全相关标准评估体系的建设与完善,重点任务包括:启动软件安全开发、代码自主率等评估测试工作,推进标准体系中其他部分的发布与实施等。旨在帮助企业提升安全意识,制定合理的安全体系,从而提升软件质量。
欧盟委员会在最新的研究报告中指出,开源软件对欧盟的经济贡献巨大。2017年至2018年,开源项目提交数量增加了10%,相当于欧洲GDP每年增长的0.4%,即每年630亿欧元。此外,开源贡献者的数量也增加10%,将使欧盟的GDP提高0.6%,达到每年950亿欧元左右。
开源运动经过近半个世纪浩浩荡荡的发展,已经成为推动全球科技创新的重要力量,但这一概念在中国主流社会认知中仍然是一个小众的存在。随着中国进入科技自主创新的时代,开源这一模式定将担当起重要的支撑性角色。
开源一词最早来源于“开源软件运动”,它本质上是一种鼓励开放协作、去中心化的软件开发模式。从组织科学的角度看,创新活动有两种驱动模式,一种是常见的“私人投资模式”,即通过有效的知识产权保护制度为创新者带来回报,另一种是“集体创新模式”,即假设在私有化市场失灵的情况下,创新者为了生产公共物品而进行合作(Hippel, & Krogh, 2003)。开源属于一种典型的集体创新模式,又可称为分布式创新模式。
开源从萌芽到产业化的四个阶段
开源是科技与人文因素相互叠加的复杂产物,其背后既源于学术界天然的分享精神,也深受软件技术和商业模式发展的影响。总体而言,开源的发展经历了四个阶段。
第一个阶段是开源萌芽期,即上世纪60年代到70年代初。这一时期软件并不是能够重复售卖的产品,尚未出现独立的软件技术公司。软件开发主要发生在学术界和产业界的实验室里,在计算能力和编程技术的限制下,科研人员乐于通过分享来提高软件开发的效率。这种分享精神正是后来开源运动的文化根基。
第二个阶段称为自由软件时代(80年代)。这一时期出现了“软件授权”机制,软件开始作为一种产品进行售卖。当时美国麻省理工学院(MIT)授权一家商业机构使用代码,但是这家公司获得授权之后立刻限制其他人的使用。这种行为受到了黑客的抵制,因此MIT科学家Richard Stallman于1985年创建了自由软件基金会(Free Software Foundation),希望能够为黑客们建立一套合法的自由软件访问机制,即“通用公共许可(General Public License)”。但是这一机制在软件产业的发展浪潮中一直是非主流,因为自由软件的概念很容易被商业界所误解和抵制。
为了解决这个问题,1998年黑客Bruce Perens和Eric Raymond发起了所谓的“开源软件运动”(即第三阶段)。“开源软件运动”更强调经济价值,而弱化了道德属性。由此开源的概念开始被企业界所广泛接受,许多全球性商业公司也参与到开源运动中,如今开源已经成为软件产业的一个重要组成部分和独特的文化标签。
第四个阶段则是互联网产业兴起之后,用户和流量的价值开始超过软件的功能价值,为了加速从软件化到互联网化的转型,软件开源被越来越多的商业机构作为竞争性策略所使用,出现了“开源软件商业化”和“商业软件开源化”的趋势,即开源的产业化时代。
开源是科技竞争的大杀器
从开源的发展历史可以看到,开源出现的原因是为了纠正私人投资模式的失灵问题。然而随着开源模式的不断进化,它与传统的私人创新模式相互融合,形成了开放和封闭相互交替的所谓“私人-集体创新模式”(Hippel, & Krogh, 2003)。即商业公司通过开源软件迅速获得市场和用户,打破原有的市场垄断局面,用较低的成本获取较大的市场份额,然后在此基础上锁定知识产权,从而获取垄断利益。
这一模式已经成为全球科技公司布局下一代科技产业的惯用策略,其中最具代表性的例子是谷歌公司的Chrome/Chromium浏览器。在Chrome出现之前,浏览器市场被微软的捆绑策略所垄断,仅有Firefox、Opera等产品占有少数份额,Google为了打开用户庞大的浏览器市场,于2008年推出了Chromium开源项目。这吸引了全球的开发者,其更新速度很快,每隔数小时即有新的开发版本发布,形成了压倒性的产品优势。最终导致微软放弃自己的捆绑式浏览器产品,也推出了基于Chromium的Edge浏览器。从这个案例可以看到,商业机构通过开源策略提供公共产品,打破原有的垄断市场格局,可以形成新的“垄断”格局和市场优势。该策略的好处是由于借开源之名,这一“垄断”通常不会被监管者所关注。
与此同时,开源作为一种全新的创新模式,已出现了明显的溢出效应,向更多的技术领域扩散。在内涵上,开源已不仅仅是将代码公开,而是开始深入到技术模型层面,出现了一批开源算法平台。在应用领域上,开源不局限于通用软件领域,而是在一些特定场景下也出现了开源软件,如能源、电力、医疗、管理等。这些趋势表明开源已经成为一种新的创新方法论,开始深入到各行各业。许多科技公司正在利用开源模式布局下一代科技产业,例如谷歌公司2015年将人工智能引擎TensorFlow进行开源,并允许用户使用其开源的图片等数据进行建模。通过这个策略,它可以迅速占领市场,培养生态体系,并在行业标准方面形成话语权。此外,微软以75亿美元的价格收购代码托管和协作平台 GitHub,沃尔玛也发布了其云管理开源软件 OneOps,使得商户能够进行跨云平台的管理。通过收购开源平台极大巩固了科技公司的垄断地位。
国产开源产业方兴未艾
开源是一个高度国际化的产业,已经从黑客的游击战模式演进到了科技巨头引领的阵地战模式。中国的开源产业发展较为落后,虽然国产的开源软件数量上不少,但由于缺少具有国际影响力的头部项目,导致圈子里存在着较强的“崇洋媚外”文化。
国内开源软件的原创能力较弱与商业环境密切相关。由于国内企业普遍倾向于见效快、收益高的应用型开发,较少专注于核心技术的研发。通过梳理开源中国等平台上的开源软件可以发现,大多数项目以应用软件或单一功能服务为主,缺少具备原创性核心技术和系统级的开源项目。
此外,中国的开源项目呈现出小而散的碎片化状态,缺少科技巨头参与和专业的运营团队,难以形成强大的生态体系。开源项目需要长期运营,且需要一定的资金投入,因此个人级开源项目往往发布1-2次版本之后便停止更新。而商业级、规模化的开源项目则由于绝大多数中国企业不具备开源运营的意识和人才,实际上也很难实施。除非企业有明确的战略目标,否则不太可能把最新的技术拿来开源,进行开源的可能都是次优技术,且不会持续投入运营。
开源项目的成功需要具备诸多的条件,失败是一种常态。在大多数开源项目里,只有少数人才是真正的贡献者,绝大多数是使用者。高昂的运营成本与公益性之间的矛盾,使得多数开源项目的更新速度太慢,很难与同类的商业软件竞争,最终被淘汰。根据调研(Coelho, & Valente, 2017),开源项目失败最主要的原因包括:被竞争对手篡夺,项目过时,团队参与时间不足,团队兴趣动机不足,技术落伍,项目可维护性差,开发团队之间的冲突等。
通常一个可持续的开源项目至少需要4-5个人的骨干人员参与,至少每3-4个月更新一个版本。例如较为成功的Kylin项目,技术团队最开始只有4、5个人,后来逐渐壮大发展到10几个核心人员,达到了1-2个月更新一次的频率。具有4-5人的稳定骨干人员,再加上数十名业余爱好者的积极参与,这是开源项目可持续发展的基本指标,但是能够达到这一要求的国产开源项目依然凤毛麟角。
大力构建自主开源生态体系
开源是促进技术创新的有力武器,但对于大多数中国企业来说仍然是一个非常陌生的领域。要在短期内追上全球开源浪潮的步伐,必须进行系统的布局,构建国产化的开源生态体系。对此本文提出以下建议:
第一,破除对开源的错误认识和偏见,加强开源理论体系的建设。许多人误以为开源是免费且没有版权的,许多机构大量使用国外的开源代码,但是极少对开源授权机制进行深入研究和合规性管理。恰恰相反,开源从最初就是要构建一种有利于创新的特殊版权机制,而且开源不等于免费,开源的商业化模式已经有了很多成功案例。目前国内对于开源理论的学术研究和案例分析均非常匮乏,远落后于发达国家。为此建议积极开展开源理论体系建设,从伦理学、组织行为学、经济学等角度开展相关的研究,建立开源案例库。
第二,引导和鼓励科技领军企业对标国际巨头,大力开展国产开源生态体系的构建。中国科技企业应当积极参与到全球开源产业的竞争中,通过开源(复制)-改造(原创)-开源(扩散)的学习模式,形成应用、技术、服务和数据等多层次的开源发展策略。开源不能停留在部门级业务,而是需要上升到公司战略,只有让最顶尖的技术开源,才有成功机会。通过培育一批开源创新项目,吸引更多的机构参与到开源生态体系中,建立以中国企业为引领的国际化开源社区。
第三,推动产学研合作,形成完善的开源人才培养体系。开源生态的核心是运营,运营的核心取决于人才的素质。做出成功的开源产品,必须要有出色的数字社区运营能力。此外,开源是一种全球性的创新协作机制,对人才的国际化水平和复合型背景要求较高。建议积极推进企业与高等院校的合作,开发完善的开源教材和课题体系,培养一批高素质的开源管理运营人才,支撑我国开源生态体系的可持续发展。
第四,加强开源理念的宣传,制定开源标准和认证体系,促进开源的国产化进程。对金融、政务等事关国家安全的领域进行摸底调查,掌握开源软件的对外依赖度。有针对性的开展开源理念、法律等方面的科普和培训,制定国产化开源标准和产品认证体系,并将相关指标纳入到考核体系中,逐步形成开源软件的国产化替代。
参考文献:
Hippel, E. V., & Krogh, G. V. (2003). Open source software and the “private-collective” innovation model: Issues for organization science. Organization science, 14(2), 209-223.
Zhao, L., & Elbaum, S. (2003). Quality assurance under the open source development model. Journal of Systems and Software, 66(1), 65-75.
Coelho, J., & Valente, M. T. (2017, August). Why modern open source projects fail. In Proceedings of the 2017 11th Joint Meeting on Foundations of Software Engineering (pp. 186-196).
The WIRED Guide to Open Source Software
中国信通院发布首批开源供应商名录
2021年5月中旬消息,随着开源技术的热度不断攀升,开源软件应用已成为普遍现象。开源用户对开源软件的商业支持、云服务和服务的需求日益紧迫,因此梳理开源供应商名录势在必行。在此背景下,中国信息通信研究院于2021年1月底开展了第一批开源供应商名录征集活动,活动一经发布得到了众多企业的积极反馈,经过历时3个月的前期调研、公开征集、申报资料验证与分析,2次专家研讨会和近30次的企业实际调研访谈,本次发布的第一批开源供应商名录,共收录26家开源供应商。名单如下:
中兴通讯(参加2021年可信开源供应链风险管理能力评估)
苏州棱镜七彩信息科技有限公司(通过2020可信开源治理工具SaaS版评估)
北京安普诺信息技术有限公司(通过2020可信开源治理工具SaaS+本地部署版评估)
深圳开源互联网安全技术有限公司(参与2021年可信开源治理工具SaaS+本地部署版评估)
中国联通软件研究院
烽火通信科技股份有限公司
浪潮云信息技术股份公司
天津卓朗科技发展有限公司
北京轻元科技有限公司
苏州博纳讯动软件有限公司
北京青云科技股份有限公司
红帽软件(北京)有限公司
广西梯度科技有限公司
网易数帆
IBM
普华基础软件股份有限公司
上海云轴信息科技有限公司
上海跬智信息技术有限公司
优刻得科技股份有限公司
北京一流科技有限公司
易企天创管理咨询有限公司
深圳支流科技有限公司
滴滴云计算有限公司
火山引擎
NEO4J瑞典公司
北京世纪互联宽带数据中心有限公司
杭州默安科技有限公司
本次征集范围涵盖云计算、大数据、中间件、数据库、操作系统、开发框架和安全等领域,企业服务范围包括开源商业解决方案、开源云服务和开源服务。
图1 开源供应商全景图
注:图中标红为此次提供征集材料的开源供应商,其他为前期调研收集的开源供应商
表1 开源供应商产品列表
第二批开源供应商名录征集报名
征集时间及流程
即日起至2021年7月1日。
征集结束后,联盟将组织相关专家对解决方案进行评审,视情况开展实地调研,综合专家意见、调研情况进行开源供应商筛选,第二批名录将于2021年9月份开源产业大会公布。
征集要求
申报主体须为开源供应商。具体要求如下:
1、主要征集类型包括基于开源提供商业解决方案、基于开源提供云服务、基于开源提供服务支持的企业。
2、主要征集方向包括且不限于数据库、云计算、大数据、操作系统、中间件、基础开发框架以及安全领域。
图2 开源供应商名录框架
发布方式
本次征集评选结果将向社会公开发布,并汇编成开源供应商案例集,在2021年9月发布,并在2021年开源产业大会、联盟官网/官微、第三方会议论坛中进行宣传推广,加强开源供应商推广。
提交要求及方式
1、申报主体以企业为单位,可接受联合主体申报。
2、请提交Word材料(可在信通院主页上下载),填写完毕后请将相关材料发送至lixiaoming1@caict.ac.cn,邮件主题请按“XXX公司/企业-开源供应商”格式填写。
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
上文源自:中国信息通信研究院CAICT
中国信通院牵头制定的软件安全相关团体标准正式发布
2024年1月29日,由中国信息通信研究院(简称 “中国信通院”)牵头制定的软件安全相关团体标准《软件安全开发能力评估技术规范》(标准编号 T/ISC 0042—2024)、《软件代码自主率测评方法》(标准编号 T/ISC 0043—2024)、《软件供应链安全要求》(标准编号 T/ISC 0044—2024)正式批准发布。软件安全相关团体标准于 2023 年 4 月在中国互联网协会申请立项,由中国信通院数字安全护航计划组织起草,20 余家单位共同参与编制。
软件安全相关团体标准围绕软件及应用安全开发体系在不同等级中的实践活动要求、对软件和应用产品代码自主率的技术要求、对自身的软件供应链安全的建设、评估和改进三个方面进行编写。主要提出三大核心内容:
1、软件安全开发能力成熟度模型 (SSDCMM)
模型分别由安全能力维度、能力成熟度等级维度、安全开发过程维度三个维度组成,覆盖需求、设计、编码、测试、部署 / 发布、运维全生命周期开发阶段,以业务安全和信息安全为出发点,通过对流程、制度、规范的梳理,以及开展相关人员安全意识的培训、威胁资源库、安全测试资源库等相关资源的建设,充分保障业务系统满足业务安全和信息安全的需求,有效提升软件开发团队的安全意识和安全开发能力,做到信息安全的 “早预防、早发现、早响应”,实现安全左移。
2、代码自主率检测方法
代码自主率反映了软件产品的自主创新能力和知识产权保护程度。一般来说,代码自主率越高,软件产品越具有竞争优势和市场价值。基于此,我们将代码自主率的技术要求以及检测方法写入标准,帮助软件开发企业开展软件和应用产品代码自主率的检测评价工作,减少对开源源代码和组件的依赖,提升自主率,实现自主可控。
3、软件供应链安全体系模型
体系主要包括安全管理和安全技术两部分,以管理和技术两个方面实现对软件供应链生命周期的把控,通过开展代码评审、代码检测、代码走查等方式,识别并修复源代码安全漏洞,通过建立漏洞库,持续对漏洞进行管理和整改来规范开源组件的使用,从而保障软件供应链的安全性。
2024年,中国信通院数字安全护航计划将继续推动软件安全相关标准评估体系的建设与完善,重点任务包括:启动软件安全开发、代码自主率等评估测试工作,推进标准体系中其他部分的发布与实施等。旨在帮助企业提升安全意识,制定合理的安全体系,从而提升软件质量。