盡管開源有20多年的歷史，當(dāng)下依然是個時髦的技術(shù)領(lǐng)域。全球開源市場一片火熱，逐年增長，SourceClear調(diào)查報告預(yù)測，2026年全球開源項目數(shù)量將超過3億。我國產(chǎn)業(yè)界各方也積極擁抱開源，很多企業(yè)提出“來自開源，回報開源”，成為國際開源大家庭的重要參與者。

根據(jù)中國信息通信研究院（以下簡稱“信通院”）日前發(fā)布的《開源生態(tài)白皮書（2020年）》，我國開源軟件應(yīng)用比例略有提升，2019年我國企業(yè)已經(jīng)使用開源技術(shù)的企業(yè)占比為87.4%。而隨著開源軟件的應(yīng)用越來越廣泛和深入，風(fēng)險日益凸顯，開源治理被越來越多的企業(yè)重視。

開源風(fēng)險成開源應(yīng)用屏障

開源是當(dāng)今軟件生態(tài)里的關(guān)鍵力量，尤其是在千禧年后，隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等新技術(shù)的興起，我們所熟知的MySQL、PostgreSQL、Hadoop、Kubernetes（K8S）等開源技術(shù)被廣泛應(yīng)用。

與此同時，開源的風(fēng)險更加突出，《開源生態(tài)白皮書（2020年）》指出，開源軟件可能涉及三類風(fēng)險：知識產(chǎn)權(quán)及合規(guī)風(fēng)險、安全風(fēng)險、運維和技術(shù)風(fēng)險，其中知識產(chǎn)權(quán)及合規(guī)風(fēng)險主要與開源許可證的規(guī)定相關(guān)，安全風(fēng)險主要涉及安全漏洞等問題，運維和技術(shù)風(fēng)險主要指因開源軟件的引入導(dǎo)致的開發(fā)運維投入量大、技術(shù)人員要求高等問題，而這三類風(fēng)險在不斷上升。

根據(jù)美國新思科技公司（Synopsys）發(fā)布的《2020年開源安全和風(fēng)險分析》報告（OSSRA）。67%的代碼庫包含某種形式的開源代碼許可證沖突，33%的代碼庫包含沒有可識別許可證的開源組件。75%的代碼庫至少含有一個漏洞，將近一半（49%）的代碼庫包含高風(fēng)險漏洞，而去年則為40%。91%的代碼庫包含已經(jīng)過期四年以上或者近兩年沒有開發(fā)活動的組件。除了存在安全漏洞的可能性增加之外，使用過期的開源組件的風(fēng)險在于更新它們還會帶來不必要的功能和兼容性問題，運維風(fēng)險和成本將會提高。

其中在許可協(xié)議方面的不確定性近兩年成為焦點，從2018年開始，Redis Lab、MongoDB、Neo4j等多家開源數(shù)據(jù)庫修改許可協(xié)議，甚至有人指出開源數(shù)據(jù)庫變天了。

如今開源風(fēng)險已經(jīng)成為開源應(yīng)用的屏障，《開源生態(tài)白皮書（2020年）》的調(diào)研指出，出于安全性考慮成為我國企業(yè)尚未應(yīng)用開源技術(shù)的最主要原因。2019年，出于安全性考慮而未使用開源技術(shù)的占比最高，達(dá)到43.8%，比上一年增加8.6%。

對于國內(nèi)企業(yè)而言，開源治理從未像現(xiàn)在這樣迫切。

開源治理任重道遠(yuǎn)

國內(nèi)企業(yè)從內(nèi)部逐步建立開源治理體系應(yīng)對開源風(fēng)險，但是依然任重道遠(yuǎn)。

新思科技軟件質(zhì)量與安全部門銷售總監(jiān)兼管理顧問薛植元在接受采訪時指出，開源治理最早在2000年初由國外公司進(jìn)行實踐，已有十多年歷史，國外已經(jīng)形成了完備的開源治理技術(shù)、方法論和實踐。而國內(nèi)，近兩年來由于信息安全一些事件、許可糾紛等因素，企業(yè)和政府都意識到開源風(fēng)險的問題，并且對國內(nèi)的開源產(chǎn)業(yè)非常重視，開源治理逐漸興起，起步較晚還處在初級階段，但是發(fā)展很快，實現(xiàn)了爆發(fā)式的增長。

通常將開源治理分為三個等級，一是基礎(chǔ)型，在某些項目上用到開源工具，按需索求，但是沒有相應(yīng)的人才儲備和文化。二是增強型，已經(jīng)有穩(wěn)定的人員組織和部門去做開源治理，可以重復(fù)去管理公司的開源軟件。三是先進(jìn)型，在增強型的基礎(chǔ)上，把開源管理融入到軟件開發(fā)生命周期中，實現(xiàn)自動化管理，形成自身完備的開源管理策略并可以持續(xù)迭代優(yōu)化改進(jìn)策略。目前國內(nèi)有幾個頭部公司達(dá)到先進(jìn)型，但是大部分企業(yè)處于基礎(chǔ)型或者增強型。

薛植元認(rèn)為開源軟件數(shù)量龐大是開源治理的難點，企業(yè)開源治理首先要摸清自己的家底，到底用了哪些開源技術(shù)和代碼，再去進(jìn)行開源治理。

《開源生態(tài)白皮書（2020年）》指出，開源治理工具加速企業(yè)開源治理體系構(gòu)建。開源治理工具主要以開源組成和安全分析為主，通過掃描開源軟件梳理開源組件信息、開源許可證信息、開源安全漏洞等幫助用戶有效降低開源風(fēng)險，全球目前主流開源治理工具廠商大多起源于國外，客戶遍布全球且占據(jù)我國大部分市場份額。國外如Black Duck、X-RAY等開源治理工具大多側(cè)重開源組成識別功能。

信通院于2019年下半年牽頭起草《開源治理工具能力要求 第1部分：開源組成和安全性分析》標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是國內(nèi)首個針對開源組成和合規(guī)安全性分析的開源治理工具標(biāo)準(zhǔn)，旨在規(guī)范和提高開源治理工具服務(wù)商的能力。

在日前舉辦的2020 OSCAR開源產(chǎn)業(yè)大會上，新思科技高分通過中國信息通信研究院的開源工具的本地化方案評測。其中，新思科技軟件組成分析工具Black Duck，開源組件檢出率高達(dá)95%。據(jù)悉，Black Duck可以提供端到端開源風(fēng)險管理方案，從探測、保護(hù)、管理到監(jiān)控，今年強化了其漏洞庫和開源合規(guī)指南。

“沒有最好的技術(shù)，只有適合你的技術(shù)?！毖χ苍獜娬{(diào)，每個企業(yè)的境況不同，對于開源治理需求也各有差異，對于技術(shù)選型而言，合適的才是最好的。而企業(yè)開源治理，技術(shù)之外還需要組織、流程、文化的構(gòu)建。

責(zé)任編輯：lq