• 首页
• 新闻中心
  • 内部新闻
  • 公共新闻
  • 业界新闻
  • 产品新闻
• 产品应用
  • 程序开发工具
  • 企业级应用
  • 服务器软件
  • 应用工具
  • 数字娱乐
  • 硬件
• 解决方案
  • 系统架构经验谈
  • 系统部署应用
  • 办公自动化
  • 案例集锦
  • 参考手册
• 开源应用支持
  • 认识Unix
  • 系统管理
  • 网络管理
  • 桌面应用
  • 存储备份
  • 引导安装
  • 服务应用
  • 群集应用
  • 数据库
  • 系统安全
• 程序设计与开发
  • Perl编程
  • 设计与开发
  • 应用编程开发
  • Web设计与编程
• 关于我们
  • 关于本站

开源项目管理软件-禅道

2013-10-05 19:54:46 阿炯

禅道(ZenTao)是什么？

禅道是第一款国产的开源项目管理软件，她的核心管理思想基于敏捷方法scrum，内置了产品管理和项目管理，同时又根据国内研发现状补充了测试管理、计划管理、发布管理、文档管理、事务管理等功能，在一个软件中就可以将软件研发中的需求、任务、bug、用例、计划、发布等要素有序的跟踪管理起来，完整地覆盖了项目管理的核心流程。采用LGPL、专业等协议授权使用。

禅道使用自主开发的zentaophp框架开发，内置了完整的扩展机制(非简单的钩子)，用户可以非常方便的对禅道进行彻底的二次开发。禅道还为每一个页面提供了json接口的api，方便其他语言来调用交互。内置多语言支持，多风格支持，搜索功能，统计功能等实用功能。

为什么用“禅道(ZenTao)”这个名字？

禅(zen)和道(tao)是中国文化中极具代表意义的两个字，是中国传统文化的结晶。我们之所以选用“禅道”作为我们软件的名字，是希望通过这两个字来表达我们对管理的理解和思考。我们的愿望是给研发团队提供一个好用的管理工具，通过它可以将项目有序的跟踪管理起来。

为什么选择禅道？

1. 开源的软件，保证了您使用的放心和灵活。
2. 管理思想简洁务实，真正可以帮助企业提升项目管理。
3. 功能完备，无需再整合其他多个系统，降低实施成本。
4. 流程可选择，禅道自4.0.beta1版本(2012年12月3日发布)后支持流程选择，可以做全流程管理，或者只做测试管理，也可以只做项目管理任务管理，也可以只用来做需求管理。
5. 安装非常方便，只需要下载十几兆的绿色包，解压缩即可运行。
6. 国产软件，中文支持，操作习惯更符合国人。
7. 灵活的扩展机制，可以保证您不局限于禅道自身的功能。
8. 完善的社区机制，可以获得及时的技术支持和帮助，保证您无后顾之忧。
9. 投入为零，禅道作为开源软件，其投入几乎为零，相比动辄十几万的商业软件，您选择禅道没有任何风险。
10. 开发团队已经公司化运作，保证软件的持久发展。我们从04年就从事开源软件的开发，坚持到现在，并且摸索出了一条在中国做开源的生存方式。

主要功能列表：

1. 产品管理：包括产品、需求、计划、发布、路线图等功能。
2. 项目管理：包括项目、任务、团队、build、燃尽图等功能。
3. 质量管理：包括bug、测试用例、测试任务、测试结果等功能。
4. 文档管理：包括产品文档库、项目文档库、自定义文档库等功能。
5. 事务管理：包括todo管理，我的任务、我的Bug、我的需求、我的项目等个人事务管理功能。
6. 组织管理：包括部门、用户、分组、权限等功能。
7. 统计功能：丰富的统计表。
8. 搜索功能：强大的搜索，帮助您找到相应的数据。
9. 灵活的扩展机制，几乎可以对禅道的任何地方进行扩展。
10. 强大的api机制，方便与其他系统集成。

使用流程图



禅道创始人王春生：关于开源软件的七大错误认知

作者王春生的自我介绍：我是禅道软件公司的创始人，20年的 IT 老兵，14年的创业者。喜欢编码，喜欢做产品，所以我用了代码之歌做我的公众号的名字。我会持续地更新关于企业管理、产品管理、项目管理、团队建设、创业、学习型组织、企业文化、开源软件等方面话题的实践和思考，欢迎大家和我讨论交流。

开源软件已经像水和电一样融入到了我们日常的生活中，但我们对开源软件还有很多错误的认知。我尝试站在开源软件作者的角度来进行总结，总共有七大错误认知。

首先来看第一个错误认知：只要软件开源了，就会有人用。

很多刚开始从事开源软件开发的作者，会有这样的想法。认为我只要把软件开源出来，就会有人来使用。但事实上一个软件有没有人用，首先看它有没有价值，而不是先看它是不是开源软件。开源软件首先是一个软件，开源是其定语。所以从这个角度来讲，开源软件不会超越软件本身的属性限制，要先有用。在这个基础上，再进行开源，可以为用户带来增强的附加属性。这给我们的提示就是在做开源软件之前，要认真思考软件的定位：
1.这款软件要解决的问题是什么；
2.它的目标用户是谁；
3.和市面上其他软件相比有什么优势；
4.如何进行宣传推广。

第二个错误认知：我又没收你钱，软件有漏洞、问题跟我没关系。

开源软件许可协议通常会包含类似这样的条款，表明作者不对用户使用该软件所造成的任何问题负责。比如 GPLv3 的第 15 条款，就是这样的声明：

15. Disclaimer of Warranty.

THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM “AS IS” WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

中文版本：
本程序在适用法律范围内不提供品质担保。除非另作书面声明，版权持有人及其他程序提供者“概”不提供任何显式或隐式的品质担保，品质担保所指包括而不仅限于有经济价值和适合特定用途的保证。全部风险，如程序的质量和性能问题，皆由你承担。若程序出现缺陷，你将承担所有必要的修复和更正服务的费用。

这份协议还特意用了全大写的方式来声明。但是自 2017 年《中华人民共和国网络安全法》正式实施以来，这样的声明就不再有效了，其第二十二条规定：

网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第六十条规定：

违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：
（一）设置恶意程序的；
（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；
（三）擅自终止为其产品、服务提供安全维护的。

所以各位开源软件的开发者们，一定要认真理解这个法律的条款。我们已经收到过五次公安部下发到青岛市网警的漏洞整改通知。具体细节就不跟大家讲述了。这给到开源软件作者们两点警示：第一个就是一定要及时处理自己产品的相关漏洞，另外一点就是认真思考开源商业化方面。

第三个错误认知：我应当选择最宽松的开源软件协议。

许可协议是开源软件的法律基础，它规定了用户可以如何使用、修改和分发软件。有些人错误地认为，选择最宽松的许可协议可以吸引更多的用户和贡献者。然而，许可协议的选择应该根据具体情况进行权衡，并考虑到软件作者的目标和需求。

比较宽松的许可协议限制比较少，如 MIT 和 BSD 许可证。这些许可协议几乎没有限制，允许用户自由地使用、修改和分发软件。然而，这也意味着其他人可以将开源软件用于商业目的，甚至将其更改后的版本作为专有软件发布，而无需向原作者贡献任何代码或修改。对于一些开源软件作者来说，这可能不符合他们的意愿和目标。

相比之下，像 GNU 通用公共许可证（GPL）这样的许可协议对代码的再分发和修改设置了更严格的限制。它要求任何使用或修改 GPL 许可的软件的派生作品必须以相同的许可证开放源代码。这样可以保护开源软件的自由性和共享精神，防止将其私有化。因此在选择许可协议时，开源软件作者应该考虑到他们的目标、期望用户和社区的需求，并选择合适的许可协议来平衡开放性和保护性的要求。

第四个错误的认知：我应当努力地将软件捐献给基金会。

最近这几年，有不少国产的开源项目陆续从 Apache 软件基金会毕业，成为 Apache 软件基金会旗下的项目。姜宁老师也两度当选 Apache 软件基金会董事。还有一些项目是加入了 CNCF 云原生计算基金会。包括中国也成立了开放原子基金会，大厂也都有一些项目捐赠给了开放原子基金会。这对中国的开源软件作者也是一个鼓舞，很多开源软件作者也都在思考自己的软件是否也可以加入这些基金会呢？我尝试来阐述下自己的观点：

首先这是好事情。说明了中国的开源软件生态越来越成熟，也涌现了一批高质量的开源项目，在国际上也能够产生我们的影响力，一定程度上也改变了中国只是开源软件消费大国、对开源社区回馈较少的尴尬局面。但是不是我们要努力地将项目捐赠给基金会，以谋求项目的健康发展呢？对此我会有完全不同的观点。

第一，基金会并不是你想加入就能加入。无论是 Apache 软件基金会，还是 CNCF 云原生计算基金会，对项目的方向、成熟度、投入都有比较高的要求。所以目前能够加入这些基金会的项目大部分都是大厂背景的开发团队开发的。开放原子基金会目前的项目基本上都是会员单位捐赠的，网站上貌似也没有公开加入开放原子基金会的具体章程。所以，对于我们这些个人或者小团队的开源软件开发者来讲，这条路就不要想了，门槛太高。

第二，如果你的项目真的很不错，都达到了加入基金会的标准，我也建议你认真思考一下加入基金会的诉求是什么。对于大厂来讲，将项目捐赠给这些基金会，可以提升自己的品牌，吸引优秀的开发者加入，建立行业标准，这些都是可以通过基金会来达成的。但如果你有明确的开源商业化方面的诉求，我建议还是要慎重，因为将项目捐赠给基金会，需要将代码的所有权和商标都要捐赠给基金会。换句话讲，这个项目就属于基金会了，你只是这个项目的主要贡献者。无论从哪些方面来讲，你都阻止不了其他团队可以利用已经不属于你的项目去做商业化的操作。

这一块我要展开来说一下。整个自由软件和开源软件运动的基础，还是 Copyright。正是有了 Copyright，才有了 Copyleft。开源软件这种游戏规则之所以能够运转起来，底层还是法律。只要是你创作的东西，你天然拥有对它的著作权（著作权不需要额外申请，都受法律保护。通过著作权登记、时间戳存证等手段可以更好地保护自己，后续再讲）。之前的软件售卖都是有源码的，后来比尔盖茨说我们只能给你二进制文件，从而开启了微软帝国时代，所以才有了黑客们对商业软件的反击。开源软件区别于商业软件，就是向软件的用户让渡了更多的权力：你可以对代码进行修改、进行二次分发。那开源软件作者为什么可以这么授权呢？因为代码的版权是我的，所以我想怎么样就怎么样。这是底层的游戏逻辑。当然开源软件还有一个基本游戏规则，就是我不对你使用软件造成的任何问题负责，因为开源软件和用户之间并没有形成商业合同上的契约关系。（但是随着《中华人民共和国网络安全法》的实施，后面的这个游戏规则不成立了，所以我们必须要对开源软件的玩法做修改）

所以从这个角度来讲，你将开源软件捐赠给国外的基金会，这个代码的 Copyright 和商标从法律上就归人家基金会了。如果我们上升到国家的角度来看这个问题，我们把我们优秀的开源软件都捐献给国外的基金会，这会不会对国家的知识产权和国家安全造成威胁呢？2021 年闹得沸沸扬扬的 Log4j2 组件的安全漏洞，可窥一斑。阿里云的工程师在发现了这个漏洞之后，第一反应不是向中国工信部通报相关信息，而是先向美国的 Apache 软件基金会披露了该漏洞。工信部得知这个漏洞之后，时间已经过去了 15 天。15 天会发生什么呢？尤其是在现在的这种国际政治背景下面。这个问题往小的方面讲，是国家安全意识不够，往大里面讲，是屁股坐得正不正的问题。

有人估计会问，我们不是还有国内的基金会吗？前面也讲了，现在门槛太高，不是我们想加入就加入。另外开放原子基金会有非常强的政府背景，在运作上会有比较强的监管，在各种政策措施出台上会比较慎重（慢）。所以在国内的开源相关的基金会成熟之前，我们需要通过社区的方式来推进开源生态的发展，所以这是渠成开源社区成立的初衷（突如其来的广告）。

第五个错误认知：开源之后会有很多人来帮我完善项目。

很多开源软件作者开源，是希望有更多的人参与到项目中，这样项目的问题能够得到及时地发现和处理，项目也可以持续地发展。但实际的情况是什么样的呢？InfoQ 联合 X-lab 开放实验室发布的 “GitHub 2019 数字年报”，通过对 2019 年 GitHub 上 5.46 亿条日志进行分析，得出了世界范围内开源软件项目的一些汇总数据。这其中有这样的信息值得我们思考：

2019 年总活跃项目数为 512 万，但活跃度超过 1000 的项目只有 1399 个，不到万分之三。在这 512 万个项目中，只有 333 个项目有 1000 位开发者参与，而 2019 年 Github 上活跃的开发者数量是 360 万。

2019 年活跃度排行前 10 的项目中，有 60% 来自大厂，其中有 2 个来自微软，分别是 vscode 和 azure-doc。3 个来自 Google，分别是 Flutter、Tensorflow、Kubernetes。还有一个是来自红帽的 Ansible。

2019 年活跃度前列的项目中，大厂维护的项目现在仍然非常活跃，而排名第 10 的 tweakCompatible，已经停止维护了。

2019 年中国 Top20 的项目中，主要都是大厂维护的项目。

Vue 项目 2019 年大部分的贡献是由一个账号 Evan You，也就是尤雨溪尤大贡献的。

2022 年 1 月份，cURL 的作者发表了一篇文章，吐槽世界 500 强企业白嫖技术支持的乌龙事件，具体新闻可以看开源中国的报道。类似的事情太多了，就不一一列举了。

所以，结论是，开源项目的维护主要还是要靠自己。

第六个错误认知：我开源不是为了钱。

这个话题估计会有很多开源软件的作者会不赞同。就像 Linus 做 Linux 项目，just for fun。很多开源软件作者比较纯粹，把软件开源出来就是希望能够对用户有用，并没有商业化的目的。但我把这个话题换一种表达方式，估计大家都会赞同。也许大家刚开始开源的时候，确实没有想着赚钱。但随着事情的变化，大家就会考虑，我能不能通过开源项目赚钱呢？

刚开始开源的时候，开源软件的作者更多的是兴奋，以及软件得到用户认可所带来的成就感。但随着用户的增多，来自用户的问题就会越来越多。有的是希望你帮我解决一些使用安装的问题，有的是希望你帮他做一些功能。随着这些问题的增多，你做开源这件事情的性质就会逐渐发生变化。从最开始的分享为主，逐渐变成维护为主。开源项目给到你的乐趣会逐渐减少，责任和义务就会逐渐增多。自己的投入会越来越多，心里的不平衡感就会越来越强。这时候大家就会考虑，我是不是可以通过开源项目来赚点钱呢？

所以这是水到渠成的想法，也是非常合情合理的想法。能够通过开源项目获得一定的收益，然后支持自己在开源项目做更多的投入，这是一件非常好的事情。

再来看最后一个错误认知：开源软件靠服务和捐助可以赚钱。

网上有很多的资料，在讲到开源软件的商业模式时候，都会谈到软件免费，服务收费。这个模式按道理是能够讲得通的。毕竟软件我都给你了，你要是有问题，我通过服务来收点费用，不是很合理吗？但这里面有一个悖论，我来给大家分析一下。

先来界定下这个服务的范围。我所理解的软件免费，服务收费的服务，是指保证软件正常运行使用过程中所产生的支持类的服务。二次开发类的服务和咨询培训类的服务，超脱了这个服务的范围。

如果我们尝试通过支持服务来收费，那么什么情况下用户需要支持服务呢？肯定是软件有问题用户才会需要服务，对吧。如果我们希望通过服务来赚比较多的钱，肯定是希望用户提出越多的问题越好。那如果一个软件问题比较多，那就说明软件复杂度或者质量有问题。那这样用户就比较少。用户少，那怎么通过服务来收费呢？所以这里面就存在了这样一个悖论。

什么样的软件可以通过支持服务收费呢？这个软件对企业非常关键，他们需要一个商业主体来为这个软件的正常运行负责，这样的软件通过服务收费才能行得通。什么样的软件符合这样的标准呢，基础软件。所以红帽卖自己的订阅制服务是行得通的。

我们禅道团队在开发项目管理软件之初，就放弃了通过支持服务收费的想法。我们给禅道开源免费版的用户都会提供近乎于实时的技术支持。我们的目的很简单，吸引更多的用户使用禅道。一个社区的陌生小伙伴，只有成为你软件的用户，才有可能成为你的客户。为了吸引更多的社区小伙伴成为禅道的用户，我们不遗余力的完善产品、提供各种技术支持。然后通过我们的收费的版本来实现商业化。

很多开源软件作者也都放出了自己的捐助账号，但实际的情况如何呢？我们在网上也看到过很多的新闻，很多知名的开源项目，一年收到的捐助少得可怜，可能连主要维护人员的正常生活都保证不了，这还是在欧美。比如 Core-js 项目每周下载量达数千万次，累积下载量已经超过 90 亿次，但作者 Denis 并没有从这个项目中获得更多的回报，甚至因为全职维护 Core-js 而穷困潦倒。他想了各种办法来筹集资金以便维护开源项目，结果每个月也只能获得几十美元的赞助。估计会有小伙伴会提 Vue 尤大的例子，但这个只能是个例，而且很多对 Vue 的捐赠是有品牌推广的性质在里面，和我们通常说的打赏类的捐赠还是不太一样。

我们最开始几年也有开放捐赠的通道，也陆续收到一些捐助，不过相比较于我们的研发投入来讲，只能说是杯水车薪。因为我们跑通了商业化这条路，我们把我们所收到的捐助又全部捐了出去。后来我们就关闭了捐赠的通道，是因为有的人因为捐赠之后，希望我们能够给他做一些额外的事情，这已经超出了捐赠这件事情本身的含义。所以大家就不要幻想通过技术支持和捐助来实现健康的收入了，需要认真考虑开源软件的商业化之路。


开源协议在中国面临的Bug：开源软件许可协议通常会表明作者不对用户使用该开源软件所造成的任何问题负责。但是！这种条款，在中国却是违法的！

2017 年发布的《中华人民共和国网络安全法》

第二十二条规定：
网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第六十条规定：
违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：
（一）设置恶意程序的；
（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；
（三）擅自终止为其产品、服务提供安全维护的。

也就是说，不管你写的这个是不是开源软件，只要你提供给别人用了，那你就得负责到底。这无疑是跟我们熟悉的开源协议相违背了，也跟我们习惯的开源规则相抵触：

作为开源软件，我本身就没收你钱了，开源出来纯属做公益，怎么你还要我给你免费搞售后啊？那岂不是让我打白工吗？

这样的条款，让人还敢参与开源吗？

对于这样的担忧，开源中国特地邀请了软件行业的专业律师邓超，来听听他的分享和解读。他具有理学学士和法学博士学位，有着深厚的法学理论基础；在知识产权行业从业十余年，有着丰富的实践经验。


Q：《网络安全法》第二十二条规定是出于怎样的考量？

邓超：在我国，建设、运营和使用网络，都要受到网络安全法的约束。小到普通人的上网安全，大到国家的信息安全，都是网络安全法的维护目标。这就要求我们的网络产品和网络服务、各种程序，都不能有安全漏洞。

对于开源软件的话，一般它都会有一些免责条款，声明如果软件出了问题作者会免责之类的。但是，它这个免责条款，是平等主体之间的免责条款。比如说开源软件的提供者和开源软件的使用者，他们是平等的主体，所以在民事意义上，他是免责的。但是网络安全法，它瞄准的不是平等主体之间的责任，它是站在国家层面、政府层面，对所有的网络产品/服务运营商提出的要求，这个跟开源协议的免责条款，并不冲突。

举个例子，假设现在有个开源软件存在漏洞，把 100 个用户的信息泄露了。这时候由于免责条款，你用户不能按照这个开源许可证，来追究我的责任，不能起诉我让我赔钱。但是没有民法的责任，不代表没有行政法、甚至是刑法的责任。你把用户的信息泄露了，那国家肯定是要处罚你的，罚款或者督促整改，或者把你关停，都有可能。所以这两者之间并不矛盾。

在网络安全法这里，它并没有给开源软件什么豁免权。退一步来说，开源软件，只是免费提供代码而已，并不代表它在整个过程中不获利。就好像微信也免费，可是它卖广告赚钱。开源软件也一样，它也有自己的盈利模式的。反正从法律上来讲，开源跟其他形式的软件比没有任何的特殊性，最终还是要受到网络安全法的监管。


Q：假设只是免费开源一个项目，例如工具库，放在码云，被另一家公司用来做商业产品了，现在产品找到一个漏洞和这个工具库有关，请问是谁来负责呢？

邓超：根据工信部、互联网办公室、公安部《网络产品安全漏洞管理规定》的通知第 7 条规定，负责任的应该是网络产品提供者。包括我刚才提到的网络安全法，它们主要针对的还是运行网络产品和提供网络服务的这些人。你说我只写了一个中间件，我给它传到网上，它能提供网络服务吗？从我个人的观点来讲，我可能会认为它是一种半成品或者是零部件儿的东西，不是最终产品。从这个角度上来讲，你单独开发一个中间件，它不能单独使用，你也没有对外提供产品和服务的可能，那这个责任就会小很多。

回到《网络产品安全漏洞管理规定》的通知第 7 条，它规定了如果发生安全漏洞方面的问题，首先是网络产品的运营者来负责，还要通知你的上下游，及时上报工信部。


所以说我觉得对于咱们开发者来讲，可能需要理清一下，咱们开发的究竟是一个完整的网络产品，提供完整的网络服务，还是咱们仅仅是作为一个个人开发者，开发的是无法提供完整服务的一个网络组件。

在前种情况下，受到网络安全法和相关规定的约束肯定更重一点。虽然说咱不直接收费，但是在法律上讲抗辩很难成立，除非说你是非盈利性组织运营的。但这里是一个公司行为，公司它本身就是以盈利为目的的。哪怕你说你现在是亏钱的，或者说这个软件本身你没有收费，但是不影响它的盈利方式呀，它将来有可能挣钱，你也有可能通过其他的方式挣钱，所以抗辩很难成立。

相反，如果你是提供一个中间件，没有提供完整的网络服务，只是提供一个插件或者一段代码，那我觉得可能这个责任要更轻一点，有可能不构成网络安全法里面描述的提供网络服务或者提供网络产品。


Q：举个例子，假如现在出了个国产开源系统，被手机厂商拿来做商业产品了，这个系统出了问题先找谁呢？

邓超：找手机厂商，然后手机厂商肯定要联系开源系统让他们处理。开源系统属于上游。但反正第一责任人是手机厂商。谁离用户更近，责任更靠前。


Q：如果开源软件中有 bug，一般是谁来监管这样的 bug ？

邓超：会有网警负责不定期地对一些网络产品进行抽查，不会说等到出事儿了才去追究。


Q：如果是对于非盈利的个人开源者的话，没有收费还要负责维护这个软件一辈子，负担是不是太重了，会不会有点不公平？

邓超：这其实是一件有价值取向的事儿。虽然大家觉得说我是在用爱发电，没有收费。但至少从咱们现在的法律条款来看，国家肯定还是把安全放在更重要的位置。不能因为我做的东西是免费的，就能获得一些豁免，或者拥有一些特权。万一造成一些什么信息安全的事故，那肯定就因小失大了。所以说，对咱们开源业界来讲，即使是开源开发者，如果你提供一种完整的网络服务，提供完整的网络产品，那同时也就有义务，维护网络安全。


Q：你觉得这样的条款对开源这个行业来说，提出了什么样的要求？有什么样的影响？

邓超：我觉得只要大家尽到一些基础的义务，避免发生网络安全的事故，我觉得就够了。虽说这样一来有了限制，肯定是比没限制的时候，要 “阻碍” 一点，最好就什么限制什么义务都没有，这样利于开源的发展。但咱们刚才讲了，这毕竟不是现实。而且，维护网络安全，也不是特别严苛的义务，提供了完整的网络产品和网络服务，才受网络安全法的约束。所以我觉得对于这些公司来讲，进行安全漏洞的审查、提高网络安全的等级也并不是一个特别严苛的要求。相反，对于个人开发者，他可能没有能力提供完整的网络服务或网络产品，可能也不会受到网络安全法的约束。

对于开源的发展，我们从网络安全的角度讲，这确保了大家的信息不会被盗取，公司的商业秘密也不会被泄露，这样对整个社会都有好处。具体到开源，你说这样做对开源施加了义务，那我觉得这也是一个好的义务。可能有一种想法是 —— 施加义务会有一些负面的影响。但我要说，这要看是从小的图景看还是从大的图景看：从小图景看，人家使用者也要注意网络安全，使用开源软件也一样会有顾虑的；从大的图景看，确保了网络安全之后，我们整个网络社会都会受益，对开源的推广说不定更友好。


最新版本：20.0
v20.0.stable 版本于2024年5月上旬正式发布，自 2023 年 4 月启动以来，经过一年多的努力，动员了全公司的产研力量，致力于为用户提供全新的用户体验。本次版本升级主要包括两个方面：一是用户体验全新升级，二是整体代码重构。

在用户体验方面，进行了全新的升级。首先，引入了无感刷新技术，极大地提升了系统操作的流畅度，让用户能够更高效地完成任务。其次， 优化了主题配色，用户可以根据个人喜好或公司品牌风格进行个性化的界面设置，增强对系统的归属感和舒适度。同时对 仪表盘内容进行了升级，新增了产品和项目维度的总览和工作推进数据，产品仪表盘还新增了年度和月度推进数据、Bug 和发布统计数据。此外，在 表单页面增加了简洁版和完整版的两种模式切换，让填写信息更加直观和便捷，提高工作效率。

在代码重构方面，我们从框架层到业务代码都进行了大幅改进。作为一款开源软件，重构后的禅道更加友好和易于维护，同时也带来了 更出色的产品性能和更高的安全性。20 版本的重构工作主要包括以下几个方面：引入了 新的 UI 库，禅道 20 版本采用了自主开发的 ZUI3 前端框架，无论是交互体验还是开发效率都有了质的提升； 全新的 ZIN 页面开发模式，通过配置的方式按需调用前端组件，实现了页面的快速开发，大大提高了开发效率，全新的扩展机制，更方便对页面进行修改和定制；我们还 引入了 PHP 的强类型检查，大幅减少了系统模块间调用过程中潜在 Bug 的产生；覆盖了 Model 层所有 3000 + 方法的单元测试用例，使代码更加健壮；此外，我们 增加了大量注释，使代码更易读，功能描述更加清晰；最后，在 MVC 的基础上，我们在业务模块中增加了 zen/tao 两个层次， 优化了代码的封装和组织。

v20版本的发布标志着我们在用户体验和技术实现方面都取得了重大突破，我们相信新版本将为用户带来更好的使用体验和更高的工作效率。感谢大家一直以来的支持和反馈，我们将继续努力提供更优秀的产品和服务！新增功能点如下：

配色优化：
系统的主题颜色和对应名称的优化，「玉烟紫」更名为「萱萱紫」。
不同状态的颜色调整、优先级和严重程度等颜色的调整。

仪表盘：
数据的展示引用度量项。
地盘仪表盘欢迎总览区块新增待我评审的内容。
地盘仪表盘新增禅道动态区块。
地盘仪表盘新增团队成就区块。
仪表盘新增产品区块相关统计和项目相关统计。
产品仪表盘中增加产品统计、产品发布统计、产品 Bug 统计、产品年度工作量统计、产品月度推进分析。
产品仪表盘中增加研发需求列表。
项目仪表盘删除了项目人力投入区块、项目总览区块。
仪表盘区块支持自定义排版布局，添加区块以及长短区块切换的交互优化。
仪表盘增加可视化图表的展示。

相关表单：
核心表单的布局结构优化（项目集、项目、产品、执行、需求、任务、Bug、用例）。
复杂表单增加了简洁版和完整版的切换，也支持将简洁版收起的更多字段固定在表单中。
优化了表单中的编辑器。

相关列表：
项目集区分了产品视角和项目视角。
产品列表选择项目集的交互调整。
用例步骤支持创建三层级，有子层级的父级步骤不可删除。
用例步骤的拖拽交互优化。

看板：
项目集看板拆分了我参与的项目集、其他项目集。
项目集看板的展示样式优化（项目集作为区域、产品作为泳道）
产品看板中拆分了我参与的产品和其他产品。
产品看板的展示样式优化。

后台：原创建项目的项目代号字段，调整到后台功能开关中，可将代号设置为必填项。

文档：文档优化 markdown 编辑器

其它优化：
顶部导航的优化了分组。
页面间跳转的返回逻辑简化。
针对 Tab 标签的页面，做了收起到处理。
相关概况页布局的调整。
列表左侧模块树导航支持拖拽改变模块树宽度。
优化了动态加载的性能。
增强了部分流程中二次确认的弹窗，避免误操作。
完善了系统概念性解释的注释说明。



官方主页：http://www.zentao.net/