开源技术的行业应用分析.docx
《开源技术的行业应用分析.docx》由会员分享,可在线阅读,更多相关《开源技术的行业应用分析.docx(22页珍藏版)》请在冰豆网上搜索。
开源技术的行业应用分析
开源技术的行业应用分析
一、开源生态概述
(一)开源概念逐渐明晰
开源既是一种协作模式,也是一种特性的产品。
开源形态最早出现于上世纪六十年代,软件代码附属硬件产品以开源的形式分发。
1983年,RichardMatthewStallman发起GNU计划,推动自由软件概念,成为开源软件早期形态。
开源软件明确定义由1998年OSI给出,包括十大特性,即自由再发布、源代码公开、允许派生作品、作者源代码完整性、不能歧视任何个人或团体、不能歧视任何领域、许可证的发布、许可证不能只针对某个产品、许可证不能约束其他软件、许可证必须独立于技术。
从过程维度看,开源是一种分布式协作模式,从结果维度看,开源是一种特定形态的产品,具有公开、可使用、可修改、可分发特点。
开源软件比自有软件更宽松,开源软件与免费软件无直接对应关系,公开代码不一定是开源软件。
图1开源软件与自由软件、免费软件的关系
开源生产模式逐渐成为新一代软件开发模式。
随着产业数字化发展,信息技术需要满足业务场景发展需求,具有海量数据处理能力,
快速上线迭代特点,多场景异构兼容性,传统软件封闭开发模式在创新度、迭代速度上均存在一定限制。
开源开发模式具有公开透明的特点,有效聚集优质开发人员,形成分布式协作,推动产品快速迭代,同时丰富企业商业模式,促进科技公司良性竞争。
(二)开源生态以开源项目为中心构建
开源生态以开源项目为中心构建,依托开源社区协作形成软件、硬件等开源项目。
涉及开源贡献者、开源使用者、开源运营者、开源服务者多重角色,包含开源治理、开源运营、开源商业布局等多个环节,需要满足开源规则要求,依托代码托管平台等基础设施构建。
微观层面开源生态依托四大角色进行有效协作。
开源生态涉及开源贡献者、开源使用者、开源运营者、开源服务者等多个角色,企业和个人均可参与。
开源贡献者主要最初贡献开源项目的企业或个人,目前以科技公司贡献为主;开源使用者指开源的使用主体,涉及范围广泛;开源运营者主要指促进开源协作的主体,开源基金会项目托管是一种成熟的开源运营模式;开源服务者指基于开源提供商业产品或服务的企业。
对于开源贡献者和开源服务者,开源是实现商业布局的一种途径,可将开源布局与商业产品布局进行有效结合,推动用户使用,在应用层面有效降低边界成本,扩大用户使用范围。
对于开源使用者,开源模式推动产品快速迭代,激发产品创新,丰富产业侧供应体系,建立用户需求联动机制。
宏观层面开源生态涉及开源运营、开源治理、开源商业布局、开源规则、基础设施等多个要素。
开源运营推动开发者持续贡献开源项
目,推动开源项目在产业用户中的使用;开源治理是针对开源引入过程、自发开源过程、开源社区维护等方面的一套流程体系,是推动开源生态良性发展的有效手段;开源商业布局是将开源与自身商业模式进行有效结合,实现商业转换的过程;开源规则包括法律环境、开源社区规定、开源许可证等,明确开源使用分发的权利义务;开源基础设施包括开源代码托管平台、社区网站等,支撑开源协作。
图2开源生态架构图
二、开源成为企业商业布局的重要手段
开源贡献者与开源服务者结合自身经营模式与开源进行有效结
合,实现商业转换。
(一)全球开源商业模式多样化发展
企业可通过主动开源进行商业布局,一是积极跟进相关领域顶级开源项目,深度参与开源贡献,影响开源技术路线;二是建立自发开源生态,将有可能影响市场格局的项目开源,同时培育潜在用户,推动形成事实标准;三是收购特定领域开源企业,与自身商业产品配合,扩大用户市场;四是结合开源项目提供开源服务,通过开源服务实现商业转化。
数据来源:
中国信息通信研究院,2020年8月
图32开源商业布局的四种方式
(二)全球开源企业已启动收购模式,进一步扩大用户群体
全球开源投资步伐逐渐加快。
ANDREESSENHOROWITZ是一家在硅谷成立的风投公司,关注科技领域,共投资了29家开源公司总计702.75亿美元;IBM通过对开源的持续投资获得收益,除2018年以340亿美元市值收购红帽公司外,IBM在过去五年中投入开源近10亿美元;微软2018年以75亿美元收购GitHub;2020年SUSE收购业界应用最为广泛的Kubernetes管理平台建设方Rancher。
z
图33开源投资情况
数据来源:
Pitchbook,2020年4月
全球开源企业积极布局开源,率先在基础软件领域发力,带动整体商业布局。
顶级科技公司成为开源的重要贡献者,微软、谷歌、红帽、英特尔等顶级科技公司的员工是开源项目的重要贡献者。
根据Github统计,微软有7700名员工参与开源投入,谷歌有5500人参与
开源投入。
谷歌开源移动操作系统Android,截止2019年8月,在全球移动操作系统市场中占有率高达75.44%;开源PC操作系统ChromeOS,在美国有一定市场地位,其市场占有率高达4.82%。
微软开源跨平台编译器VScode,自2016年起连续占据GitHub开源项目TOP10,2018-2019稳居榜首,由它部署的Azure在2018年市场收益达到48.6亿美元,占据云计算市场17%份额;Facebook开源对象关系数据库服务器PostgreSQL,2020年3月,DB-Engines数据库流行度排行榜第四名。
基于开源逐步形成稳定的商业模式。
开源社区版本多以公开形式发布源代码,围绕社区版开源项目,很多企业已经形成服务为主的商
业模式。
一是开源服务订阅收费,这种模式是向企业客户提供基于上游开源社区软件代码打造的企业级开源软件产品,把开源社区的项目产品化,使普通企业客户更容易消费开源创新技术,例如红帽把按年度的收费模式叫做“订阅模式”,除了免费享受这些支持以外,用户无需再次购买产品的升级,根据用户的需要可随时进行更新;二是企业发行版收费,随着开源协议授权条款的松绑,软件公司可基于社区版的基础功能,提供自己研发的企业发行版本,这些企业发行版一般会收取费用,并且是闭源的,此模式的代表公司是ApacheHadoop生态圈知名度最高的Cloudera公司,围绕ApacheHadoop提供企业级解决方案,主要的客户集中在中大型企业客户;三是云服务收费,随着云计算逐渐被市场接受,整个云端应用能力大幅成长,这也促成了新的开源服务商业模式,即采用付费直接使用云端服务的商业模式,企业客户直接付费使用构架在云端的开源软件,不用自己搭建软件使用环境,使得技术能力不强的中小型企业也能以较低成本享受开源技术,也因相关云端技术的成熟,云计算订阅的收费模式开始大行其道,亚马逊等公司就是这类新创开源软件公司的代表。
(三)我国开源企业已初步构建形成有影响力的开源
项目
我国积极跟进国际开源生态。
参与国际顶级开源社区反馈,实现技术输出,共建技术路径,GitHub国内贡献数117万,在全球占比11.8%,Linux项目中国在全球贡献度排名第三。
我国构建自发开源生态,开源项目影响力呈现持续扩大态势。
我
国企业主动开源形成稳定自发开源模式,互联网企业紧跟产业数字化机遇,借助流量优势开源项目,截至2020年9月,阿里开源2172个项目,腾讯开源150个项目,总体同比保持15%的增长率,设备厂商勇于打破原有商业模式,积极拥抱开源,截至2020年9月,华为开
源161个项目,我国自发开源项目中不乏国际影响力开源项目,其中Dubbo、RocektMQ、CarbonData等均已成为Apache顶级开源项目。
移动互联网企业也在积极开源,小米MACE(移动端AI框架)和Pegasus(分布式KV存储)和Kaldi均已开源。
头部科技公司在代码托管平台上的开源项目数呈明显增长趋势,根据2019年《中国互联网公司开源项目调查报告》1显示,阿里、腾讯、XX、华为等头部互联网企业在Github上贡献的数量超过3000,
集中在前端开发、人工智能、数据库、微服务、中间件等领域。
表3我国企业在Github代码贡献情况
国内排名
全球排名
项目名称
公司
前端开发
2
28
ant-design/ant-design
阿里巴巴
3
37
ElemeFE/element
阿里巴巴
5
90
NervJS/taro
京东
7
107
vuejs/vue-cli
——
10
141
ant-design/ant-design-pro
阿里巴巴
11
169
apache/incubator-echarts
XX
12
193
vuejs/vue
——
14
209
youzan/vant
有赞
15
237
nestjs/nest
——
26
477
vuejs/vuepress
——
人工智能
6
103
PaddlePaddle/Paddle
XX
18
297
ApolloAuto/apollo
XX
20
383
PaddlePaddle/models
XX
1
25
452
huaweicloud/ModelArts-Lab
华为
数据库
8
128
pingcap/tidb
PingCAP
21
385
tikv/tikv
PingCAP
微服务
16
270
apache/dubbo
阿里巴巴
19
362
alibaba/nacos
阿里巴巴
23
394
apache/skywalking
——
中间件
22
389
seata/seata
阿里巴巴
24
426
apache/shardingsphere
京东数科
其它
1
2
996icu/996.ICU
——
4
83
selfteaching/selfteaching-python-camp
——
9
137
OpenAPITools/openapi-generator
——
13
207
Advanced-Frontend/Daily-Interview-
Question
——
17
296
xitu/gold-miner
掘金
数据来源:
X-lab开放实验室
头部科技公司在基础软件领域的开源项目呈增长趋势,开源将成为未来新技术发展的重要抓手。
华为开源服务器操作系统EulerOS,跨平台的操作系统HarmonyOS,单机版数据库GaussDBOLTP,全场景AI计算框架MindSpore;腾讯开源轻量级物联网实时操作系统TencentOStiny,万亿级分布式消息中间件TubeMQ,企业级分布式HTAP数据库管理系统TBase;阿里开源实时计算平台Blink,云服务器架构“方升”,关系数据库OceanBase。
战略投资实现开源资源整合。
腾讯投资代码托管平台Coding、百度投资代码托管平台开源中国、阿里巴巴以9000万欧元收购了DataArtisans(开源项目Flink发起公司),国内科技公司积极投资开源基础设施,为构建自身生态做好铺垫。
云计算推动我国开源服务发展。
我国阿里云、中兴、腾讯云等众多企业基于Kubernetes、Docker等开源软件构建闭源商业产品,形成稳定的发行版收费模式;阿里云服务为用户提供多种云计算服务,这些服务部分基于开源软件提供,如云数据库类是基于MySQL,Redis,MongoDB等热门开源数据库提供云服务。
三、开源生态未来发展趋势与案例
(一)开源生态未来发展趋势
开源从个人行为逐渐发展成为企业行为,开源虽起源于个人行为,但由于开源的协作模式和产品特点,影响商业产品的市场格局,企业层面逐渐借助开源模式实现市场布局,企业层面通过主动布局开源,减低边界成本,引导事实标准,改变市场竞争格局,同时吸纳多方参与,激发产品创新,满足用户多场景需求;国内逐步主动布局基础软件领域开源生态,国内早期开源生态发展最早集中在应用侧开发软件领域,虽开源项目数量百万级别,但具有国际影响力的开源项目不足,近年来国内企业逐渐侧重基础软件领域开源项目布局,在操作系统、数据库、中间件等领域涌现多个开源项目,不乏国际基金会的顶级开源项目。
基金会与联盟开源运营呈现多态发展趋势。
开源联盟组织将持续推进与企业的开源运营合作,我国开源基金会逐步形成稳定流程机制,国内开源联盟组织相对灵活,覆盖主要技术领域,可借助联盟标准化与行业推广优势,推动我国自发开源项目应用;国际仍以开源基金会作为主要运营载体,为开源项目运营提供有力法律、协作支撑,建立与国内外开源组织、标准化组织建立联动机制,推动开源项目建立生态。
开源风险问题得到关注,开源治理口体系逐步建立。
开源项目虽最终形成软件、硬件等最终形态,但需要满足开源许可证要求,相比通用软件具有一定的使用范围和规则要求。
未来开源风险问题进一步凸显,开源应用情况逐渐透明,开源违约、兼容性、被开源等风险进一步暴露,全球开源违约判例可能进一步增加,企业内部逐
步建立开源治理体系应对开源风险,通过开源管理机制及平台规避
开源风险。
行业开源生态兴起。
行业用户在开源生态的角色逐渐发生转变,从开源使用到自发开源发展,金融、工业互联网、电信、政府采购等行业逐渐探索行业内开源生态构建,将企业内部信息建设代码脱敏输出,借助开源公开透明的特点快速迭代,形成满足行业属性的特定开源项目,逐步形成行业开源协作机制,实现行业输出战略布局。
(二)我国开源生态发展建议
企业侧建立稳定的开源模式。
我国自发开源企业需要建立稳定的开源商业模式,一是针对国际基金会顶级开源项目,建立社区反馈和联动机制;二是建立自主开源生态,重点在操作系统、数据库、中间件等基础软件领域探索开源。
第三方快速完善开源运营机制。
一是国内开源联盟组织持续推进与企业的开源运营合作,借助联盟标准化与行业推广优势,推动我国自发开源项目应用;二是开源基金会形成稳定的决策机制,项目孵化流程,为国内开源项目运营提供有力知识产权托管以及法律、协作支撑。
构建开源治理体系。
针对自发开源企业、开源使用企业建立开源软件管理体系,第三方组织需制定开源软件治理的行业标准,通过制定开源软件管理规则,帮助企业规范开源软件的使用和输出,实现企业软件的全覆盖和全流程管理,同时配套建设开源风险检测、开源生态监测等平台,推动企业落地开源治理体系建设
附录一:
开源软件风险扫描
本白皮书选取开源卫士、BlackDuck和FossEye国内外三款工具对软件源代码进行扫描,设置规则为:
以开源组件为单位进行识别和展示,展示三款工具对同一个开源软件的扫描结果,包括开源组件数量,开源许可证分类及数量,开源漏洞分级及数量。
其中开源许可证按照传染性的不同分为友好、弱传染性、传染性和强传染性四类,另外未匹配到的许可证类型称为未知许可证;开源漏洞按照严重程度分为低危、中危、高危和超高危四类。
因为不同扫描工具对组件颗粒度的定义不同,对开源项目依赖项的探测能力不同导致扫描结果存在差异,本白皮书仅展示自动扫描结果,无人为修改,结果仅供参考。
(一)许可证及合规风险
本白皮书对企业选择最多的三个开源容器运行技术(Docker、RKT和KATA)进行扫描,结果显示:
Docker的子项目中A工具共识别出1个组件带有传染性许可证,B工具共识别出1个组件带有传染性许可证,C工具共识别出4个组件带有传染性许可证;RKT和KATA两个项目暂未发现使用传染性许可证的开源组件。
数据来源:
中国信息通信研究院,2020年4月
图37容器运行技术领域开源许可证风险情况
本白皮书对企业选择最多的三个开源容器编排技术(Kubernetes、Swarm和Mesos)进行扫描,结果显示:
Kubernetes项目中B工具共识别出1个开源组件带有传染性许可证,1个开源组件带有强传染性许可证;swarm项目中B工具共识别出2个开源组件带有传染性许可证,2个开源组件带有强传染性许可证;mesos项目中A工具识别出2个开源组件带有传染性许可证,B工具识别出8个开源组件带有传染性许可证,1个开源组件带有强传染性许可证,C工具识别出1个开源组件带有传染性许可证。
数据来源:
中国信息通信研究院,2020年4月
图38容器编排技术领域开源许可证风险情况
本白皮书对企业选择最多的三个开源微服务框架技术(Dubbo、istio和Tars)进行扫描,结果显示:
Dubbo项目中,A工具共识别出1个开源组件带有传染性许可证,B工具共识别出42个开源组件带有传染性许可证,C工具共识别出43个开源组件带有传染性许可证;istio项目中,B工具共识别出8个开源组件带有传染性许可证;Tars项目中,B工具共识别出6个开源组件带有传染性许可证。
数据来源:
中国信息通信研究院,2020年4月
图39微服务框架领域开源许可证风险情况
本白皮书对企业选择较多的2个DevOps领域开源软件(Jenkins
和Ansible)进行扫描,结果显示:
Jenkins项目中,B工具共识别出
13个开源组件带有传染性许可证,1个开源组件带有强传染性许可证,C工具识别出6个开源组件带有传染性许可证;Ansible项目三款工具均未检测出带有传染性开源许可证的开源组件。
数据来源:
中国信息通信研究院,2020年4月
图40DevOps领域开源许可证风险情况
本白皮书对企业选择较多的2个无服务架构领域开源软件
(Openwhisk和Kubeless)进行扫描,结果显示:
在Openwhisk项目中,A工具识别出1个开源组件带有传染性开源许可证,B工具识别出2个开源组件带有传染性开源许可证,1个开源组件带有强传染性开源许可证。
数据来源:
中国信息通信研究院,2020年4月
图41无服务器架构领域开源许可证风险情况
本白皮书对企业选择较多的3个人工智能领域开源软件
(TensorFlow、Keras和Pytorch)进行扫描,结果显示:
TensorFlow项目中,A工具识别出1个开源组件带有传染性开源许可证,B工具识别出29个开源组件带有传染性开源许可证,3个开源组件带有强传染性开源许可证C工具识别出14个开源组件带有传染性开源许可证;Ketas项目中,三款工具均未检测出带有传染性开源许可证的开源组件;Pytorch项目中,三款工具均未检测出带有传染性开源许可证的开源组件。
数据来源:
中国信息通信研究院,2020年4月
图42人工智能领域开源许可证风险情况
本白皮书对企业选择较多的1个数据库领域开源软件MySQL进行扫描,结果显示:
MySQL项目中,A工具识别出2个开源组件带有传染性开源许可证,B工具识别出1个开源组件带有传染性开源许可证,C工具识别出2个开源组件带有传染性开源许可证。
数据来源:
中国信息通信研究院,2020年4月
图43数据库领域开源许可证风险情况
(二)安全漏洞风险
本白皮书对企业选择最多的三个开源容器运行技术(Docker、
RKT和KATA)进行扫描,结果显示:
Docker的子项目中A工具共识别出1个超高危漏洞、1个高危漏洞和1个中危漏洞,B工具共识别出15个中危漏洞和8个低危漏洞,C工具共识别出1个超高危漏洞、1个高危漏洞和6个中危漏洞;RKT项目中,B工具识别出3个低危漏洞;KATA项目暂未发现开源漏洞。
数据来源:
中国信息通信研究院,2020年4月
图44容器运行技术领域开源漏洞风险情况
本白皮书对企业选择最多的三个开源容器编排技术(Kubernetes、Swarm和Mesos)进行扫描,结果显示:
Kubernetes项目中A工具共识别出6个超高危漏洞、6个高危漏洞、8个中危漏洞和1个低危漏洞,B工具共识别出30个中危漏洞和51个低危漏洞,C工具共识别出11个高危漏洞、16个中危漏洞和2个低危漏洞;swarm项目中未发现开源漏洞;Mesos项目中A工具识别出5个超高危漏洞、5个高危漏洞、10个中危漏洞和1个低危漏洞,B工具识别出1个高危漏洞、24个中危漏洞和41个低危漏洞,C工具识别出9个超高危漏洞、49个高危漏洞和57个中危漏洞。
数据来源:
中国信息通信研究院,2020年4月
图45容器编排技术领域开源漏洞风险情况
本白皮书对企业选择最多的三个开源微服务框架技术(Dubbo、istio和TARS)进行扫描,结果显示:
Dubbo项目中,A工具共识别出34个超高危漏洞、32个高危漏洞、30个中危漏洞和20个低危漏洞,B工具共识别出7个高危漏洞、115个中危漏洞和358个低危漏洞,C工具共识别出60个超高危漏洞、46个高危漏洞、62个中危漏洞和8个低危漏洞;istio项目中,A工具识别出11个中危漏洞,B工具共识别出1个高危漏洞、22个中危漏洞和10个低危漏洞,C工具共识别出6个高危漏洞和27个中危漏洞;TARS项目中,B工具共识别出73个中危漏洞和129个低危漏洞。
数据来源:
中国信息通信研究院,2020年4月
图46微服务领域开源漏洞风险情况
本白皮书对企业选择较多的2个DevOps领域开源软件(Jenkins和Ansible)进行扫描,结果显示:
Jenkins项目中,A工具共识别出14个超高危漏洞、13个高危漏洞、21个中危漏洞和1个低危漏洞,B工具共识别出2个高危漏洞、37个中危漏洞和30个低危漏洞,C工具共识别出2个超高危漏洞、12个高危漏洞和25个中危漏洞;Ansible项目三款工具均未检测出开源漏洞。
数据来源:
中国信息通信研究院,2020年4月
图47DevOps领域开源漏洞风险情况
本白皮书对企业选择较多的2个无服务架构领域开源软件
(Openwhisk和Kubeless)进行扫描,结果显示:
在Openwhisk项目
中,A工具识别出6个中危漏洞和2个低危漏洞,B工具识别出10
个高危漏洞、143个中危漏洞和195个低危漏洞,C工具共识别出35个超高危漏洞、21个高危漏洞、21个中危漏洞和2个低危漏洞;在Kuberless项目中,A工具识别出1个超高危漏洞和1个低危漏洞,B工具识别出2个中危漏洞。
数据来源:
中国信息通信研究院,2020年4月
图48无服务器架构领域开源漏洞风险情况
本白皮书对企业选择较多的3个人工智能领域开源软件
(TensorFlow、Keras和Pytorch)进行扫描,结果显示:
TensorFlow项目中,A工具识别出34个超高危漏洞、33个高
升级会员 