开源技术的行业应用分析Word文件下载.docx
《开源技术的行业应用分析Word文件下载.docx》由会员分享,可在线阅读,更多相关《开源技术的行业应用分析Word文件下载.docx(22页珍藏版)》请在冰豆网上搜索。
开源运营推动开发者持续贡献开源项
目,推动开源项目在产业用户中的使用;
开源治理是针对开源引入过程、自发开源过程、开源社区维护等方面的一套流程体系,是推动开源生态良性发展的有效手段;
开源商业布局是将开源与自身商业模式进行有效结合,实现商业转换的过程;
开源规则包括法律环境、开源社区规定、开源许可证等,明确开源使用分发的权利义务;
开源基础设施包括开源代码托管平台、社区网站等,支撑开源协作。
图2开源生态架构图
二、开源成为企业商业布局的重要手段
开源贡献者与开源服务者结合自身经营模式与开源进行有效结
合,实现商业转换。
(一)全球开源商业模式多样化发展
企业可通过主动开源进行商业布局,一是积极跟进相关领域顶级开源项目,深度参与开源贡献,影响开源技术路线;
二是建立自发开源生态,将有可能影响市场格局的项目开源,同时培育潜在用户,推动形成事实标准;
三是收购特定领域开源企业,与自身商业产品配合,扩大用户市场;
四是结合开源项目提供开源服务,通过开源服务实现商业转化。
数据来源:
中国信息通信研究院,2020年8月
图32开源商业布局的四种方式
(二)全球开源企业已启动收购模式,进一步扩大用户群体
全球开源投资步伐逐渐加快。
ANDREESSENHOROWITZ是一家在硅谷成立的风投公司,关注科技领域,共投资了29家开源公司总计702.75亿美元;
IBM通过对开源的持续投资获得收益,除2018年以340亿美元市值收购红帽公司外,IBM在过去五年中投入开源近10亿美元;
微软2018年以75亿美元收购GitHub;
2020年SUSE收购业界应用最为广泛的Kubernetes管理平台建设方Rancher。
z
图33开源投资情况
Pitchbook,2020年4月
全球开源企业积极布局开源,率先在基础软件领域发力,带动整体商业布局。
顶级科技公司成为开源的重要贡献者,微软、谷歌、红帽、英特尔等顶级科技公司的员工是开源项目的重要贡献者。
根据Github统计,微软有7700名员工参与开源投入,谷歌有5500人参与
开源投入。
谷歌开源移动操作系统Android,截止2019年8月,在全球移动操作系统市场中占有率高达75.44%;
开源PC操作系统ChromeOS,在美国有一定市场地位,其市场占有率高达4.82%。
微软开源跨平台编译器VScode,自2016年起连续占据GitHub开源项目TOP10,2018-2019稳居榜首,由它部署的Azure在2018年市场收益达到48.6亿美元,占据云计算市场17%份额;
Facebook开源对象关系数据库服务器PostgreSQL,2020年3月,DB-Engines数据库流行度排行榜第四名。
基于开源逐步形成稳定的商业模式。
开源社区版本多以公开形式发布源代码,围绕社区版开源项目,很多企业已经形成服务为主的商
业模式。
一是开源服务订阅收费,这种模式是向企业客户提供基于上游开源社区软件代码打造的企业级开源软件产品,把开源社区的项目产品化,使普通企业客户更容易消费开源创新技术,例如红帽把按年度的收费模式叫做“订阅模式”,除了免费享受这些支持以外,用户无需再次购买产品的升级,根据用户的需要可随时进行更新;
二是企业发行版收费,随着开源协议授权条款的松绑,软件公司可基于社区版的基础功能,提供自己研发的企业发行版本,这些企业发行版一般会收取费用,并且是闭源的,此模式的代表公司是ApacheHadoop生态圈知名度最高的Cloudera公司,围绕ApacheHadoop提供企业级解决方案,主要的客户集中在中大型企业客户;
三是云服务收费,随着云计算逐渐被市场接受,整个云端应用能力大幅成长,这也促成了新的开源服务商业模式,即采用付费直接使用云端服务的商业模式,企业客户直接付费使用构架在云端的开源软件,不用自己搭建软件使用环境,使得技术能力不强的中小型企业也能以较低成本享受开源技术,也因相关云端技术的成熟,云计算订阅的收费模式开始大行其道,亚马逊等公司就是这类新创开源软件公司的代表。
(三)我国开源企业已初步构建形成有影响力的开源
项目
我国积极跟进国际开源生态。
参与国际顶级开源社区反馈,实现技术输出,共建技术路径,GitHub国内贡献数117万,在全球占比11.8%,Linux项目中国在全球贡献度排名第三。
我国构建自发开源生态,开源项目影响力呈现持续扩大态势。
我
国企业主动开源形成稳定自发开源模式,互联网企业紧跟产业数字化机遇,借助流量优势开源项目,截至2020年9月,阿里开源2172个项目,腾讯开源150个项目,总体同比保持15%的增长率,设备厂商勇于打破原有商业模式,积极拥抱开源,截至2020年9月,华为开
源161个项目,我国自发开源项目中不乏国际影响力开源项目,其中Dubbo、RocektMQ、CarbonData等均已成为Apache顶级开源项目。
移动互联网企业也在积极开源,小米MACE(移动端AI框架)和Pegasus(分布式KV存储)和Kaldi均已开源。
头部科技公司在代码托管平台上的开源项目数呈明显增长趋势,根据2019年《中国互联网公司开源项目调查报告》1显示,阿里、腾讯、XX、华为等头部互联网企业在Github上贡献的数量超过3000,
集中在前端开发、人工智能、数据库、微服务、中间件等领域。
表3我国企业在Github代码贡献情况
国内排名
全球排名
项目名称
公司
前端开发
2
28
ant-design/ant-design
阿里巴巴
3
37
ElemeFE/element
5
90
NervJS/taro
京东
7
107
vuejs/vue-cli
——
10
141
ant-design/ant-design-pro
11
169
apache/incubator-echarts
XX
12
193
vuejs/vue
14
209
youzan/vant
有赞
15
237
nestjs/nest
26
477
vuejs/vuepress
人工智能
6
103
PaddlePaddle/Paddle
18
297
ApolloAuto/apollo
20
383
PaddlePaddle/models
1
25
452
huaweicloud/ModelArts-Lab
华为
数据库
8
128
pingcap/tidb
PingCAP
21
385
tikv/tikv
微服务
16
270
apache/dubbo
19
362
alibaba/nacos
23
394
apache/skywalking
中间件
22
389
seata/seata
24
426
apache/shardingsphere
京东数科
其它
1
996icu/996.ICU
4
83
selfteaching/selfteaching-python-camp
9
137
OpenAPITools/openapi-generator
13
207
Advanced-Frontend/Daily-Interview-
Question
17
296
xitu/gold-miner
掘金
X-lab开放实验室
头部科技公司在基础软件领域的开源项目呈增长趋势,开源将成为未来新技术发展的重要抓手。
华为开源服务器操作系统EulerOS,跨平台的操作系统HarmonyOS,单机版数据库GaussDBOLTP,全场景AI计算框架MindSpore;
腾讯开源轻量级物联网实时操作系统TencentOStiny,万亿级分布式消息中间件TubeMQ,企业级分布式HTAP数据库管理系统TBase;
阿里开源实时计算平台Blink,云服务器架构“方升”,关系数据库OceanBase。
战略投资实现开源资源整合。
腾讯投资代码托管平台Coding、百度投资代码托管平台开源中国、阿里巴巴以9000万欧元收购了DataArtisans(开源项目Flink发起公司),国内科技公司积极投资开源基础设施,为构建自身生态做好铺垫。
云计算推动我国开源服务发展。
我国阿里云、中兴、腾讯云等众多企业基于Kubernetes、Docker等开源软件构建闭源商业产品,形成稳定的发行版收费模式;
阿里云服务为用户提供多种云计算服务,这些服务部分基于开源软件提供,如云数据库类是基于MySQL,Redis,MongoDB等热门开源数据库提供云服务。
三、开源生态未来发展趋势与案例
(一)开源生态未来发展趋势
开源从个人行为逐渐发展成为企业行为,开源虽起源于个人行为,但由于开源的协作模式和产品特点,影响商业产品的市场格局,企业层面逐渐借助开源模式实现市场布局,企业层面通过主动布局开源,减低边界成本,引导事实标准,改变市场竞争格局,同时吸纳多方参与,激发产品创新,满足用户多场景需求;
国内逐步主动布局基础软件领域开源生态,国内早期开源生态发展最早集中在应用侧开发软件领域,虽开源项目数量百万级别,但具有国际影响力的开源项目不足,近年来国内企业逐渐侧重基础软件领域开源项目布局,在操作系统、数据库、中间件等领域涌现多个开源项目,不乏国际基金会的顶级开源项目。
基金会与联盟开源运营呈现多态发展趋势。
开源联盟组织将持续推进与企业的开源运营合作,我国开源基金会逐步形成稳定流程机制,国内开源联盟组织相对灵活,覆盖主要技术领域,可借助联盟标准化与行业推广优势,推动我国自发开源项目应用;
国际仍以开源基金会作为主要运营载体,为开源项目运营提供有力法律、协作支撑,建立与国内外开源组织、标准化组织建立联动机制,推动开源项目建立生态。
开源风险问题得到关注,开源治理口体系逐步建立。
开源项目虽最终形成软件、硬件等最终形态,但需要满足开源许可证要求,相比通用软件具有一定的使用范围和规则要求。
未来开源风险问题进一步凸显,开源应用情况逐渐透明,开源违约、兼容性、被开源等风险进一步暴露,全球开源违约判例可能进一步增加,企业内部逐
步建立开源治理体系应对开源风险,通过开源管理机制及平台规避
开源风险。
行业开源生态兴起。
行业用户在开源生态的角色逐渐发生转变,从开源使用到自发开源发展,金融、工业互联网、电信、政府采购等行业逐渐探索行业内开源生态构建,将企业内部信息建设代码脱敏输出,借助开源公开透明的特点快速迭代,形成满足行业属性的特定开源项目,逐步形成行业开源协作机制,实现行业输出战略布局。
(二)我国开源生态发展建议
企业侧建立稳定的开源模式。
我国自发开源企业需要建立稳定的开源商业模式,一是针对国际基金会顶级开源项目,建立社区反馈和联动机制;
二是建立自主开源生态,重点在操作系统、数据库、中间件等基础软件领域探索开源。
第三方快速完善开源运营机制。
一是国内开源联盟组织持续推进与企业的开源运营合作,借助联盟标准化与行业推广优势,推动我国自发开源项目应用;
二是开源基金会形成稳定的决策机制,项目孵化流程,为国内开源项目运营提供有力知识产权托管以及法律、协作支撑。
构建开源治理体系。
针对自发开源企业、开源使用企业建立开源软件管理体系,第三方组织需制定开源软件治理的行业标准,通过制定开源软件管理规则,帮助企业规范开源软件的使用和输出,实现企业软件的全覆盖和全流程管理,同时配套建设开源风险检测、开源生态监测等平台,推动企业落地开源治理体系建设
附录一:
开源软件风险扫描
本白皮书选取开源卫士、BlackDuck和FossEye国内外三款工具对软件源代码进行扫描,设置规则为:
以开源组件为单位进行识别和展示,展示三款工具对同一个开源软件的扫描结果,包括开源组件数量,开源许可证分类及数量,开源漏洞分级及数量。
其中开源许可证按照传染性的不同分为友好、弱传染性、传染性和强传染性四类,另外未匹配到的许可证类型称为未知许可证;
开源漏洞按照严重程度分为低危、中危、高危和超高危四类。
因为不同扫描工具对组件颗粒度的定义不同,对开源项目依赖项的探测能力不同导致扫描结果存在差异,本白皮书仅展示自动扫描结果,无人为修改,结果仅供参考。
(一)许可证及合规风险
本白皮书对企业选择最多的三个开源容器运行技术(Docker、RKT和KATA)进行扫描,结果显示:
Docker的子项目中A工具共识别出1个组件带有传染性许可证,B工具共识别出1个组件带有传染性许可证,C工具共识别出4个组件带有传染性许可证;
RKT和KATA两个项目暂未发现使用传染性许可证的开源组件。
中国信息通信研究院,2020年4月
图37容器运行技术领域开源许可证风险情况
本白皮书对企业选择最多的三个开源容器编排技术(Kubernetes、Swarm和Mesos)进行扫描,结果显示:
Kubernetes项目中B工具共识别出1个开源组件带有传染性许可证,1个开源组件带有强传染性许可证;
swarm项目中B工具共识别出2个开源组件带有传染性许可证,2个开源组件带有强传染性许可证;
mesos项目中A工具识别出2个开源组件带有传染性许可证,B工具识别出8个开源组件带有传染性许可证,1个开源组件带有强传染性许可证,C工具识别出1个开源组件带有传染性许可证。
图38容器编排技术领域开源许可证风险情况
本白皮书对企业选择最多的三个开源微服务框架技术(Dubbo、istio和Tars)进行扫描,结果显示:
Dubbo项目中,A工具共识别出1个开源组件带有传染性许可证,B工具共识别出42个开源组件带有传染性许可证,C工具共识别出43个开源组件带有传染性许可证;
istio项目中,B工具共识别出8个开源组件带有传染性许可证;
Tars项目中,B工具共识别出6个开源组件带有传染性许可证。
图39微服务框架领域开源许可证风险情况
本白皮书对企业选择较多的2个DevOps领域开源软件(Jenkins
和Ansible)进行扫描,结果显示:
Jenkins项目中,B工具共识别出
13个开源组件带有传染性许可证,1个开源组件带有强传染性许可证,C工具识别出6个开源组件带有传染性许可证;
Ansible项目三款工具均未检测出带有传染性开源许可证的开源组件。
图40DevOps领域开源许可证风险情况
本白皮书对企业选择较多的2个无服务架构领域开源软件
(Openwhisk和Kubeless)进行扫描,结果显示:
在Openwhisk项目中,A工具识别出1个开源组件带有传染性开源许可证,B工具识别出2个开源组件带有传染性开源许可证,1个开源组件带有强传染性开源许可证。
图41无服务器架构领域开源许可证风险情况
本白皮书对企业选择较多的3个人工智能领域开源软件
(TensorFlow、Keras和Pytorch)进行扫描,结果显示:
TensorFlow项目中,A工具识别出1个开源组件带有传染性开源许可证,B工具识别出29个开源组件带有传染性开源许可证,3个开源组件带有强传染性开源许可证C工具识别出14个开源组件带有传染性开源许可证;
Ketas项目中,三款工具均未检测出带有传染性开源许可证的开源组件;
Pytorch项目中,三款工具均未检测出带有传染性开源许可证的开源组件。
图42人工智能领域开源许可证风险情况
本白皮书对企业选择较多的1个数据库领域开源软件MySQL进行扫描,结果显示:
MySQL项目中,A工具识别出2个开源组件带有传染性开源许可证,B工具识别出1个开源组件带有传染性开源许可证,C工具识别出2个开源组件带有传染性开源许可证。
图43数据库领域开源许可证风险情况
(二)安全漏洞风险
本白皮书对企业选择最多的三个开源容器运行技术(Docker、
RKT和KATA)进行扫描,结果显示:
Docker的子项目中A工具共识别出1个超高危漏洞、1个高危漏洞和1个中危漏洞,B工具共识别出15个中危漏洞和8个低危漏洞,C工具共识别出1个超高危漏洞、1个高危漏洞和6个中危漏洞;
RKT项目中,B工具识别出3个低危漏洞;
KATA项目暂未发现开源漏洞。
图44容器运行技术领域开源漏洞风险情况
Kubernetes项目中A工具共识别出6个超高危漏洞、6个高危漏洞、8个中危漏洞和1个低危漏洞,B工具共识别出30个中危漏洞和51个低危漏洞,C工具共识别出11个高危漏洞、16个中危漏洞和2个低危漏洞;
swarm项目中未发现开源漏洞;
Mesos项目中A工具识别出5个超高危漏洞、5个高危漏洞、10个中危漏洞和1个低危漏洞,B工具识别出1个高危漏洞、24个中危漏洞和41个低危漏洞,C工具识别出9个超高危漏洞、49个高危漏洞和57个中危漏洞。
图45容器编排技术领域开源漏洞风险情况
本白皮书对企业选择最多的三个开源微服务框架技术(Dubbo、istio和TARS)进行扫描,结果显示:
Dubbo项目中,A工具共识别出34个超高危漏洞、32个高危漏洞、30个中危漏洞和20个低危漏洞,B工具共识别出7个高危漏洞、115个中危漏洞和358个低危漏洞,C工具共识别出60个超高危漏洞、46个高危漏洞、62个中危漏洞和8个低危漏洞;
istio项目中,A工具识别出11个中危漏洞,B工具共识别出1个高危漏洞、22个中危漏洞和10个低危漏洞,C工具共识别出6个高危漏洞和27个中危漏洞;
TARS项目中,B工具共识别出73个中危漏洞和129个低危漏洞。
图46微服务领域开源漏洞风险情况
本白皮书对企业选择较多的2个DevOps领域开源软件(Jenkins和Ansible)进行扫描,结果显示:
Jenkins项目中,A工具共识别出14个超高危漏洞、13个高危漏洞、21个中危漏洞和1个低危漏洞,B工具共识别出2个高危漏洞、37个中危漏洞和30个低危漏洞,C工具共识别出2个超高危漏洞、12个高危漏洞和25个中危漏洞;
Ansible项目三款工具均未检测出开源漏洞。
图47DevOps领域开源漏洞风险情况
在Openwhisk项目
中,A工具识别出6个中危漏洞和2个低危漏洞,B工具识别出10
个高危漏洞、143个中危漏洞和195个低危漏洞,C工具共识别出35个超高危漏洞、21个高危漏洞、21个中危漏洞和2个低危漏洞;
在Kuberless项目中,A工具识别出1个超高危漏洞和1个低危漏洞,B工具识别出2个中危漏洞。
图48无服务器架构领域开源漏洞风险情况
TensorFlow项目中,A工具识别出34个超高危漏洞、33个高