盡管開源有20多年的歷史，當下依然是個時髦的技術領域。全球開源市場一片火熱，逐年增長，SourceClear調查報告預測，2026年全球開源項目數量將超過3億。我國產業界各方也積極擁抱開源，很多企業提出“來自開源，回報開源”，成為國際開源大家庭的重要參與者。

根據中國信息通信研究院（以下簡稱“信通院”）日前發布的《開源生態白皮書（2020年）》，我國開源軟件應用比例略有提升，2019年我國企業已經使用開源技術的企業占比為87.4%。而隨著開源軟件的應用越來越廣泛和深入，風險日益凸顯，開源治理被越來越多的企業重視。

開源風險成開源應用屏障

開源是當今軟件生態里的關鍵力量，尤其是在千禧年后，隨著互聯網、大數據、云計算等新技術的興起，我們所熟知的MySQL、PostgreSQL、Hadoop、Kubernetes（K8S）等開源技術被廣泛應用。

與此同時，開源的風險更加突出，《開源生態白皮書（2020年）》指出，開源軟件可能涉及三類風險：知識產權及合規風險、安全風險、運維和技術風險，其中知識產權及合規風險主要與開源許可證的規定相關，安全風險主要涉及安全漏洞等問題，運維和技術風險主要指因開源軟件的引入導致的開發運維投入量大、技術人員要求高等問題，而這三類風險在不斷上升。

根據美國新思科技公司（Synopsys）發布的《2020年開源安全和風險分析》報告（OSSRA）。67%的代碼庫包含某種形式的開源代碼許可證沖突，33%的代碼庫包含沒有可識別許可證的開源組件。75%的代碼庫至少含有一個漏洞，將近一半（49%）的代碼庫包含高風險漏洞，而去年則為40%。91%的代碼庫包含已經過期四年以上或者近兩年沒有開發活動的組件。除了存在安全漏洞的可能性增加之外，使用過期的開源組件的風險在于更新它們還會帶來不必要的功能和兼容性問題，運維風險和成本將會提高。

其中在許可協議方面的不確定性近兩年成為焦點，從2018年開始，Redis Lab、MongoDB、Neo4j等多家開源數據庫修改許可協議，甚至有人指出開源數據庫變天了。

如今開源風險已經成為開源應用的屏障，《開源生態白皮書（2020年）》的調研指出，出于安全性考慮成為我國企業尚未應用開源技術的最主要原因。2019年，出于安全性考慮而未使用開源技術的占比最高，達到43.8%，比上一年增加8.6%。

對于國內企業而言，開源治理從未像現在這樣迫切。

開源治理任重道遠

國內企業從內部逐步建立開源治理體系應對開源風險，但是依然任重道遠。

新思科技軟件質量與安全部門銷售總監兼管理顧問薛植元在接受采訪時指出，開源治理最早在2000年初由國外公司進行實踐，已有十多年歷史，國外已經形成了完備的開源治理技術、方法論和實踐。而國內，近兩年來由于信息安全一些事件、許可糾紛等因素，企業和政府都意識到開源風險的問題，并且對國內的開源產業非常重視，開源治理逐漸興起，起步較晚還處在初級階段，但是發展很快，實現了爆發式的增長。

通常將開源治理分為三個等級，一是基礎型，在某些項目上用到開源工具，按需索求，但是沒有相應的人才儲備和文化。二是增強型，已經有穩定的人員組織和部門去做開源治理，可以重復去管理公司的開源軟件。三是先進型，在增強型的基礎上，把開源管理融入到軟件開發生命周期中，實現自動化管理，形成自身完備的開源管理策略并可以持續迭代優化改進策略。目前國內有幾個頭部公司達到先進型，但是大部分企業處于基礎型或者增強型。

薛植元認為開源軟件數量龐大是開源治理的難點，企業開源治理首先要摸清自己的家底，到底用了哪些開源技術和代碼，再去進行開源治理。

《開源生態白皮書（2020年）》指出，開源治理工具加速企業開源治理體系構建。開源治理工具主要以開源組成和安全分析為主，通過掃描開源軟件梳理開源組件信息、開源許可證信息、開源安全漏洞等幫助用戶有效降低開源風險，全球目前主流開源治理工具廠商大多起源于國外，客戶遍布全球且占據我國大部分市場份額。國外如Black Duck、X-RAY等開源治理工具大多側重開源組成識別功能。

信通院于2019年下半年牽頭起草《開源治理工具能力要求 第1部分：開源組成和安全性分析》標準，該標準是國內首個針對開源組成和合規安全性分析的開源治理工具標準，旨在規范和提高開源治理工具服務商的能力。

在日前舉辦的2020 OSCAR開源產業大會上，新思科技高分通過中國信息通信研究院的開源工具的本地化方案評測。其中，新思科技軟件組成分析工具Black Duck，開源組件檢出率高達95%。據悉，Black Duck可以提供端到端開源風險管理方案，從探測、保護、管理到監控，今年強化了其漏洞庫和開源合規指南。

“沒有最好的技術，只有適合你的技術。”薛植元強調，每個企業的境況不同，對于開源治理需求也各有差異，對于技術選型而言，合適的才是最好的。而企業開源治理，技術之外還需要組織、流程、文化的構建。

責任編輯：lq