開源技術的行業應用分析目錄一、開源生態概述 1（一）開源概念逐漸明晰 1（二）開源生態以開源項目為中心構建 2二、開源成為企業商業布局的重要手段 3（一）全球開源商業模式多樣化發展 3（二）全球開源企業已啟動收購模式，進一步擴大用戶群體 5三、開源生態未來發展趨勢與案例 10（一）開源生態未來發展趨勢 10（二）我國開源生態發展建議 12（一）許可證及合規風險 1（二）安全漏洞風險 6（一）浦發銀行開源治理案例 12（二）中信銀行開源治理案例 14（四）中興開源治理案例 16（五）紅帽開源治理案例 19一、開源生態概述（一）開源概念逐漸明晰開源形態最早出現于上世紀六十年代，軟件代碼附屬硬件產品以開源的形式分發。1983MatthewStallmanGNU1998OSI給出，開源軟件比自有軟件更寬松，開源軟件與免費軟件無直接對應關系，公開代碼不一定是開源軟件。圖1開源軟件與自由軟件、免費軟件的關系開源生產模式逐漸成為新一代軟件開發模式。隨著產業數字化發展，信息技術需要滿足業務場景發展需求，具有海量數據處理能力，點，有效聚集優質開發人員，形成分布式協作，推動產品快速迭代，同時豐富企業商業模式，促進科技公司良性競爭。（二）開源生態以開源項目為中心構建開源生態以開源項目為中心構建，依托開源社區協作形成軟件、開源生態涉及開和個人均可參與。開源貢獻者主要最初貢獻開源項目的企業或個人，開源運營推動開發者持續貢獻開源項圖2開源生態架構圖二、開源成為企業商業布局的重要手段開源貢獻者與開源服務者結合自身經營模式與開源進行有效結合，實現商業轉換。（一）全球開源商業模式多樣化發展數據來源：中國信息通信研究院，2020年8月圖32開源商業布局的四種方式（二）全球開源企業已啟動收購模式，進一步擴大用戶群體ANDREESSENHOROWITZ是一家29家開源公司總計702.752018年以340在過去五年中投入開源近10億美元；微軟2018年以75億美元收購GitHub；2020年SUSE收購業界應用最為廣泛的Kubernetes管理平臺建設方Rancher。z圖33開源投資情況

數據來源：Pitchbook，2020年4月帽、英特爾等頂級科技公司的員工是開源項目的重要貢獻者。根據Github77005500人參與20198球移動操作系統市場中占有率高達75.44%PC操作系統4.82%VScode2016GitHub開源項目Azure2018年市場收益48.617%份額；Facebook開源對象關PostgreSQL，20203月，DB-Engines數據庫流行度排行榜第四名。開源社區版本多以公開形式這種模式是向企業客戶提供基于上ApacheHadoop生ClouderaApacheHadoop提供企業級隨新的開源服務商業模式，即采用付費直接使用云端服務的商業模式，（三）我國開源企業已初步構建形成有影響力的開源項目萬，在全球占比11.8%，Linux項目中國在全球貢獻度排名第三。我國構建自發開源生態，開源項目影響力呈現持續擴大態勢。我202092172個15015%20209月，華為開161Apache頂級開源項目。移動互聯網企業也在積極開源，小米MACE（AI框架）和Pegasus（KV存儲）Kaldi均已開源。頭部科技公司在代碼托管平臺上的開源項目數呈明顯增長趨勢，20191Github3000，集中在前端開發、人工智能、數據庫、微服務、中間件等領域。表3我國企業在Github代碼貢獻情況國內排名全球排名項目名稱公司前端開發228ant-design/ant-design阿里巴巴337ElemeFE/element阿里巴巴590NervJS/taro京東7107vuejs/vue-cli——10141ant-design/ant-design-pro阿里巴巴11169apache/incubator-echarts百度12193vuejs/vue——14209youzan/vant有贊15237nestjs/nest——26477vuejs/vuepress——人工智能6103PaddlePaddle/Paddle百度18297ApolloAuto/apollo百度20383PaddlePaddle/models百度1/archives/856967.html25452huaweicloud/ModelArts-Lab華為數據庫8128pingcap/tidbPingCAP21385tikv/tikvPingCAP微服務16270apache/dubbo阿里巴巴19362alibaba/nacos阿里巴巴23394apache/skywalking——中間件22389seata/seata阿里巴巴24426apache/shardingsphere京東數科其它12996icu/996.ICU——483selfteaching/selfteaching-python-camp——9137OpenAPITools/openapi-generator——13207Advanced-Frontend/Daily-Interview-Question——17296xitu/gold-miner掘金數據來源：X-lab開放實驗室為未來新技術發展的重要抓手。EulerOS，GaussDBAI計算框架MindSpore；騰訊開源輕量級物聯網實時操作系統TencentOStinyTubeMQ，企業級分布式OceanBase。Coding9000DataArtisans（開源項目Flink發起公司，國內科技公司積極投資開源基礎設施，為構建自身生態做好鋪墊。KubernetesDockerMongoDB等熱門開源數據庫提供云服務。三、開源生態未來發展趨勢與案例（一）開源生態未來發展趨勢開源雖起源于個人行為，層面逐漸借助開源模式實現市場布局，企業層面通過主動布局開源，國內逐步主動布局基礎軟國內早期開源生態發展最早集中在應用側開發軟件近年來國內企業逐漸側重基礎軟件領域開源項目布局，在操作系統、開源聯盟組織將持續開源風險問題得到關注，開源治理口體系逐步建立開源項目雖最終形成軟件、硬件等最終形態，但需要滿足開源許可證要求，相比通用軟件具有一定的使用范圍和規則要求。未來開源風險問題進一步凸顯，開源應用情況逐漸透明，開源違約、兼容性、被開源等風險進一步暴露，全球開源違約判例可能進一步增加，企業內部逐步建立開源治理體系應對開源風險，通過開源管理機制及平臺規避開源風險。行業開源生態興起。行業用戶在開源生態的角色逐漸發生轉變，從開源使用到自發開源發展，金融、工業互聯網、電信、政府采購等行業逐漸探索行業內開源生態構建，將企業內部信息建設代碼脫敏輸出，借助開源公開透明的特點快速迭代，形成滿足行業屬性的特定開源項目，逐步形成行業開源協作機制，實現行業輸出戰略布局。（二）我國開源生態發展建議我國自發開源企業需要建立穩定的一是國內開源聯盟組織持續推進附錄一：開源軟件風險掃描本白皮書選取開源衛士、BlackDuckFossEye國內外三款工具（一）許可證及合規風險本白皮書對企業選擇最多的三個開源容器運行技術（DockerRKT進行掃描，結果顯示：DockerA工具共11個組件帶有傳染性許可證，C4RKT和兩個項目暫未發現使用傳染性許可證的開源組件。數據來源：中國信息通信研究院，2020年4月圖37容器運行技術領域開源許可證風險情況本白皮書對企業選擇最多的三個開源容器編排技術（Kubernetes、Swarm和Mesos）進行掃描，結果顯示：Kubernetes項目中B工具共識別出1個開源組件帶有傳染性許可證，1個開源組件帶有強傳染性許可證；swarm項目中B工具共識別出2個開源組件帶有傳染性許可證，2個開源組件帶有強傳染性許可證；mesos項目中A工具識別出2個開源組件帶有傳染性許可證，B工具識別出8個開源組件帶有傳染性許可證，1個開源組件帶有強傳染性許可證，C工具識別出1個開源組件帶有傳染性許可證。數據來源：中國信息通信研究院，2020年4月圖38容器編排技術領域開源許可證風險情況（Dubbo、istio工具共識別出1個開源組件帶有傳染性許可證，B42個開源組件帶C工具共識別出43個開源組件帶有傳染性許可證；istio項目中，B8項目中，B6個開源組件帶有傳染性許可證。數據來源：中國信息通信研究院，2020年4月圖39微服務框架領域開源許可證風險情況2DevOps（JenkinsAnsible）進行掃描，結果顯示：Jenkins項目中，B工具共識別出13個開源組件帶有傳染性許可證，1個開源組件帶有強傳染性許可證，C工具識別出6個開源組件帶有傳染性許可證；Ansible項目三款工具均未檢測出帶有傳染性開源許可證的開源組件。數據來源：中國信息通信研究院，2020年4月圖40DevOps領域開源許可證風險情況本白皮書對企業選擇較多的2個無服務架構領域開源軟件（OpenwhiskKubeless）Openwhisk項目1工具識別2個開源組件帶有強傳染性開源許可證。數據來源：中國信息通信研究院，2020年4月圖41無服務器架構領域開源許可證風險情況本白皮書對企業選擇較多的3個人工智能領域開源軟件（TensorFlow、KerasPytorch）進行掃描，結果顯示：TensorFlow1工具29個開源組件帶有傳染性開源許可證，3個開源組件帶有強C14個開源組件帶有傳染性開源許可證；Ketas項目中，三款工具均未檢測出帶有傳染性開源許可證的開源組件；Pytorch項目中，三款工具均未檢測出帶有傳染性開源許可證的開源組件。數據來源：中國信息通信研究院，2020年4月圖42人工智能領域開源許可證風險情況1個數據庫領域開源軟件MySQL進行掃描，結果顯示：MySQL項目中，A2個開源組件帶1個開源組件帶有傳染性開源許可證，C2個開源組件帶有傳染性開源許可證。數據來源：中國信息通信研究院，2020年4月圖43數據庫領域開源許可證風險情況（二）安全漏洞風險本白皮書對企業選擇最多的三個開源容器運行技術（Docker、RKT進行掃描，結果顯示：DockerA工具共1個超高危漏洞、11個中危漏洞，B工具共識158個低危漏洞，C1個超高危漏163個項目暫未發現開源漏洞。數據來源：中國信息通信研究院，2020年4月圖44容器運行技術領域開源漏洞風險情況（Kubernetes、SwarmA工具共6個超高危漏洞、6個高危漏洞、81個低危漏3051工具共識別個高危漏洞、162個低危漏洞；swarm項目中未A55個高危漏洞、101個低危漏洞，B1個高危漏24個中危漏洞和41C工具識別出9個超高危漏洞、4957個中危漏洞。數據來源：中國信息通信研究院，2020年4月圖45容器編排技術領域開源漏洞風險情況（Dubbo、istio進行掃描，結果顯示：Dubbo項目中，A工具共識別34個超高危漏洞、32個高危漏洞、3020個低危漏洞，B7個高危漏洞、358個低危漏604662個中危漏8工1個高危漏洞、2210個低危漏洞，C工具627工具共識73129個低危漏洞。數據來源：中國信息通信研究院，2020年4月圖46微服務領域開源漏洞風險情況2DevOps（JenkinsAnsible）進行掃描，結果顯示：Jenkins項目中，A工具共識別出14個超高危漏洞、13個高危漏洞、211個低危漏洞，B2個高危漏洞、3730個低危漏洞，C2個超高危漏洞、1225個中危漏洞；Ansible項目三款工具均未檢測出開源漏洞。數據來源：中國信息通信研究院，2020年4月圖47DevOps領域開源漏洞風險情況本白皮書對企業選擇較多的2個無服務架構領域開源軟件（OpenwhiskKubeless）Openwhisk項目中，A62個低危漏洞，B1014319535個超高危漏洞、21個高危漏洞、212個低危漏洞；在Kuberless112個中危漏洞。數據來源：中國信息通信研究院，2020年4月圖48無服務器架構領域開源漏洞風險情況本白皮書對企業選擇較多的3個人工智能領域開源軟件（TensorFlow、KerasPytorch）進行掃描，結果顯示：TensorFlow343365個中危8個低危漏洞，B12個高危漏洞、131個中危漏洞和96C工具識別出718個高危漏洞、442個低危漏洞；Ketas4個中危漏洞，B工具識別出1個中危漏洞；Pytorch項目中，三款工具均未檢測出開源漏洞。數據來源：中國信息通信研究院，2020年4月圖49人工智能領域開源漏洞風險情況本白皮書對企業選擇較多的1個數據庫領域開源軟件MySQL進行掃描，結果顯示：MySQL項目中，B工具識別出2個中危漏洞。數據來源：中國信息通信研究院，2020年4月圖50數據庫領域開源漏洞風險情況附錄二：企業開源治理案例（一）浦發銀行開源治理案例概述代快速、人才資源集中等好處。但同時，開源軟件有別于商用軟件，開源治理體系建設（1）開源治理的配套組織機制。指組織架構或開源治理分工，。開源治理團隊：主要負責制定和執行開源軟件應用管理規則及開源軟件日常管理工作。同時，開源治理團隊熟悉開源軟件社區的各種指標含義和獲取方法，有效保證了開源軟件社區信息獲取和評估的效率。制定相關管理制度對開源一套適合于金融行業業務和管理型。E-OSMM(EnterpriseOpenSourceMaturityModel)一個用于支撐開源軟件治理的平臺系統，是整個開源治理工作高效運行的技術保障。開源治理流程在源頭上控制了高風險開源軟件版本的引入，有通過信息共享，推動開源技術和軟件在金融行業內安全可靠的使用。總結浦發銀行從無到體系化了開源治理工作，并和行內軟件項目流程相結合實現了落地運行，形成了包括相應工具平臺在內的工作機制。云計算開源產業聯盟（二）中信銀行開源治理案例中信銀行入的測評工作，根據開源軟件類型，從專家資源池中選擇相應專家，開源軟件歸口管理員：作為歸口角色向開源軟件主管部門提出開開源軟件審批團隊：由各領域推薦技術專家，共同維護開源軟件評審專家資源池。引入與升級流程：較低級別的開源軟件進行線上會簽評審并編寫測評報告和試用新進行軟件準入流程（需求申請、測評、評審。對需要二次開發后（三）中國銀行開源應用案例中國銀行ZABBIX用于對各個大數據Zabbix-agent并發送至zabbix-serverzabbix會將數據存儲到數據庫databaseZabbixAPITiDBAjax請求獲取響應并展示數據。（四）中興開源治理案例IT工具系統的支撐下，形成了完善的開源軟件管理和治理機制。1、概述產品開發人員從非官方托管地等不可靠的地方下載可能存在病毒等2、開源軟件的選型和引入開源專家團隊從若干方面因素對所申請的開源軟件版本進行評估打軟件所使用的開源許可證，漏洞情況，業界采納度，版本發布周期，開發者社區規模，是否有開源基金會支持等等。以及其他可靠托管地下載其源碼和/（如rpmjar包等等，經