盡管開源有20多年的歷史，當(dāng)下依然是個(gè)時(shí)髦的技術(shù)領(lǐng)域。全球開源市場一片火熱，逐年增長，SourceClear調(diào)查報(bào)告預(yù)測(cè)，2026年全球開源項(xiàng)目數(shù)量將超過3億。我國產(chǎn)業(yè)界各方也積極擁抱開源，很多企業(yè)提出“來自開源，回報(bào)開源”，成為國際開源大家庭的重要參與者。

根據(jù)中國信息通信研究院（以下簡稱“信通院”）日前發(fā)布的《開源生態(tài)白皮書（2020年）》，我國開源軟件應(yīng)用比例略有提升，2019年我國企業(yè)已經(jīng)使用開源技術(shù)的企業(yè)占比為87.4%。而隨著開源軟件的應(yīng)用越來越廣泛和深入，風(fēng)險(xiǎn)日益凸顯，開源治理被越來越多的企業(yè)重視。

開源風(fēng)險(xiǎn)成開源應(yīng)用屏障

開源是當(dāng)今軟件生態(tài)里的關(guān)鍵力量，尤其是在千禧年后，隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等新技術(shù)的興起，我們所熟知的MySQL、PostgreSQL、Hadoop、Kubernetes（K8S）等開源技術(shù)被廣泛應(yīng)用。

與此同時(shí)，開源的風(fēng)險(xiǎn)更加突出，《開源生態(tài)白皮書（2020年）》指出，開源軟件可能涉及三類風(fēng)險(xiǎn)：知識(shí)產(chǎn)權(quán)及合規(guī)風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)、運(yùn)維和技術(shù)風(fēng)險(xiǎn)，其中知識(shí)產(chǎn)權(quán)及合規(guī)風(fēng)險(xiǎn)主要與開源許可證的規(guī)定相關(guān)，安全風(fēng)險(xiǎn)主要涉及安全漏洞等問題，運(yùn)維和技術(shù)風(fēng)險(xiǎn)主要指因開源軟件的引入導(dǎo)致的開發(fā)運(yùn)維投入量大、技術(shù)人員要求高等問題，而這三類風(fēng)險(xiǎn)在不斷上升。

根據(jù)美國新思科技公司（Synopsys）發(fā)布的《2020年開源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）。67%的代碼庫包含某種形式的開源代碼許可證沖突，33%的代碼庫包含沒有可識(shí)別許可證的開源組件。75%的代碼庫至少含有一個(gè)漏洞，將近一半（49%）的代碼庫包含高風(fēng)險(xiǎn)漏洞，而去年則為40%。91%的代碼庫包含已經(jīng)過期四年以上或者近兩年沒有開發(fā)活動(dòng)的組件。除了存在安全漏洞的可能性增加之外，使用過期的開源組件的風(fēng)險(xiǎn)在于更新它們還會(huì)帶來不必要的功能和兼容性問題，運(yùn)維風(fēng)險(xiǎn)和成本將會(huì)提高。

其中在許可協(xié)議方面的不確定性近兩年成為焦點(diǎn)，從2018年開始，Redis Lab、MongoDB、Neo4j等多家開源數(shù)據(jù)庫修改許可協(xié)議，甚至有人指出開源數(shù)據(jù)庫變天了。

如今開源風(fēng)險(xiǎn)已經(jīng)成為開源應(yīng)用的屏障，《開源生態(tài)白皮書（2020年）》的調(diào)研指出，出于安全性考慮成為我國企業(yè)尚未應(yīng)用開源技術(shù)的最主要原因。2019年，出于安全性考慮而未使用開源技術(shù)的占比最高，達(dá)到43.8%，比上一年增加8.6%。

對(duì)于國內(nèi)企業(yè)而言，開源治理從未像現(xiàn)在這樣迫切。

開源治理任重道遠(yuǎn)

國內(nèi)企業(yè)從內(nèi)部逐步建立開源治理體系應(yīng)對(duì)開源風(fēng)險(xiǎn)，但是依然任重道遠(yuǎn)。

新思科技軟件質(zhì)量與安全部門銷售總監(jiān)兼管理顧問薛植元在接受采訪時(shí)指出，開源治理最早在2000年初由國外公司進(jìn)行實(shí)踐，已有十多年歷史，國外已經(jīng)形成了完備的開源治理技術(shù)、方法論和實(shí)踐。而國內(nèi)，近兩年來由于信息安全一些事件、許可糾紛等因素，企業(yè)和政府都意識(shí)到開源風(fēng)險(xiǎn)的問題，并且對(duì)國內(nèi)的開源產(chǎn)業(yè)非常重視，開源治理逐漸興起，起步較晚還處在初級(jí)階段，但是發(fā)展很快，實(shí)現(xiàn)了爆發(fā)式的增長。

通常將開源治理分為三個(gè)等級(jí)，一是基礎(chǔ)型，在某些項(xiàng)目上用到開源工具，按需索求，但是沒有相應(yīng)的人才儲(chǔ)備和文化。二是增強(qiáng)型，已經(jīng)有穩(wěn)定的人員組織和部門去做開源治理，可以重復(fù)去管理公司的開源軟件。三是先進(jìn)型，在增強(qiáng)型的基礎(chǔ)上，把開源管理融入到軟件開發(fā)生命周期中，實(shí)現(xiàn)自動(dòng)化管理，形成自身完備的開源管理策略并可以持續(xù)迭代優(yōu)化改進(jìn)策略。目前國內(nèi)有幾個(gè)頭部公司達(dá)到先進(jìn)型，但是大部分企業(yè)處于基礎(chǔ)型或者增強(qiáng)型。

薛植元認(rèn)為開源軟件數(shù)量龐大是開源治理的難點(diǎn)，企業(yè)開源治理首先要摸清自己的家底，到底用了哪些開源技術(shù)和代碼，再去進(jìn)行開源治理。

《開源生態(tài)白皮書（2020年）》指出，開源治理工具加速企業(yè)開源治理體系構(gòu)建。開源治理工具主要以開源組成和安全分析為主，通過掃描開源軟件梳理開源組件信息、開源許可證信息、開源安全漏洞等幫助用戶有效降低開源風(fēng)險(xiǎn)，全球目前主流開源治理工具廠商大多起源于國外，客戶遍布全球且占據(jù)我國大部分市場份額。國外如Black Duck、X-RAY等開源治理工具大多側(cè)重開源組成識(shí)別功能。

信通院于2019年下半年?duì)款^起草《開源治理工具能力要求 第1部分：開源組成和安全性分析》標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是國內(nèi)首個(gè)針對(duì)開源組成和合規(guī)安全性分析的開源治理工具標(biāo)準(zhǔn)，旨在規(guī)范和提高開源治理工具服務(wù)商的能力。

在日前舉辦的2020 OSCAR開源產(chǎn)業(yè)大會(huì)上，新思科技高分通過中國信息通信研究院的開源工具的本地化方案評(píng)測(cè)。其中，新思科技軟件組成分析工具Black Duck，開源組件檢出率高達(dá)95%。據(jù)悉，Black Duck可以提供端到端開源風(fēng)險(xiǎn)管理方案，從探測(cè)、保護(hù)、管理到監(jiān)控，今年強(qiáng)化了其漏洞庫和開源合規(guī)指南。

“沒有最好的技術(shù)，只有適合你的技術(shù)。”薛植元強(qiáng)調(diào)，每個(gè)企業(yè)的境況不同，對(duì)于開源治理需求也各有差異，對(duì)于技術(shù)選型而言，合適的才是最好的。而企業(yè)開源治理，技術(shù)之外還需要組織、流程、文化的構(gòu)建。

責(zé)任編輯：lq