全球開源項目的數(shù)量增長迅速，中國開發(fā)者與開源項目均實現(xiàn)迅速增長，高質(zhì)量項目數(shù)量同步增多。“十四五”規(guī)劃中也提出了支持數(shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開源知識產(chǎn)權(quán)和法律體系，鼓勵企業(yè)開放軟件源代碼、硬件設(shè)計和應(yīng)用服務(wù)。

中國信通院發(fā)布的《開源生態(tài)白皮書（2021）》顯示，我國在全球最大開源平臺GitHub上的貢獻者數(shù)量已經(jīng)達到了全球第二，僅次于美國。2020年，GitHub平臺上中國貢獻者數(shù)量增加了37%；而在另一個開源平臺Gitee上，中國貢獻者的數(shù)量更是增加了50%，總量超過了600萬人。第三方中立的支持開源項目孵化的組織和基金會在國內(nèi)也開始興起。

隨著“支持數(shù)字技術(shù)開源社區(qū)等創(chuàng)新聯(lián)合體發(fā)展，完善開源知識產(chǎn)權(quán)和法律體系，鼓勵企業(yè)開放軟件源代碼、硬件設(shè)計和應(yīng)用服務(wù)”被明確寫入國家“十四五”規(guī)劃，工信部也于2021年底發(fā)布《“十四五”軟件和信息技術(shù)服務(wù)業(yè)發(fā)展規(guī)劃》，提出“到2025年建設(shè)2~3個有國際影響力的開源社區(qū)，培育超過10個優(yōu)質(zhì)開源項目”的目標(biāo)，并積極推動開源項目的發(fā)展。

中國開源社區(qū)的三大特點

我國開源軟件產(chǎn)業(yè)相較于歐美發(fā)達國家起步相對較晚，在開源社區(qū)觸發(fā)期、發(fā)展期、協(xié)作期、結(jié)晶期與流行期的5個發(fā)展階段中，中國的開源社區(qū)平臺大多處于前3個階段，僅有極少數(shù)開啟了商業(yè)化良性互動。從參與企業(yè)類型來看，云計算企業(yè)是國內(nèi)參與開源軟件市場的主體。

目前我國開源社區(qū)平臺主要有開發(fā)者社區(qū)、代碼托管平臺、開源基金會、開源組織。從現(xiàn)狀上看，我國的開源軟件發(fā)展時間較短，目前處于起步階段，未來3~5年將迎來高速發(fā)展時期，處于發(fā)展成熟期的各軟件企業(yè)都有望加入到開源陣營中來，為國內(nèi)的軟件產(chǎn)業(yè)發(fā)展帶來更強增長動力。

通過中國開源軟件推進聯(lián)盟時隔12年發(fā)布的兩次開源社區(qū)統(tǒng)計分析，可以看出我國開源社區(qū)發(fā)展逐步呈現(xiàn)兩級分化趨勢，項目型社區(qū)的數(shù)量有所增加，可是發(fā)展后勁不足。關(guān)注這些項目型社區(qū)，可以發(fā)現(xiàn)其轉(zhuǎn)型分化有3個特點。

第一，部分項目型社區(qū)正在試圖直接選擇第三代開源社區(qū)（全球開源社區(qū)、開源基金會）作為宿主社區(qū)，如CNCF基金會下的TiKV項目，Apache基金會下的SkyWalking、Kylin、Pulsar等。此類走國際路線的項目型社區(qū)，可以凝聚更多資源，項目可服務(wù)全球市場，最終融入全球領(lǐng)先的第三代社區(qū)。這一整套國際化路線的門檻較高，需要對語言溝通、開源文化、國際社區(qū)規(guī)則和管理機制全面了解并熟練運用，這讓很多國內(nèi)開發(fā)者望而卻步。

第二，開源項目由發(fā)起公司來主導(dǎo)運營的第二代開源社區(qū)，如OpenEuler、Deepin深度操作系統(tǒng)社區(qū)、Ubuntu-Kylin等，此類走自主路線的項目社區(qū)面臨的最大挑戰(zhàn)是：如何將企業(yè)自主與開放共治的社區(qū)基因再平衡？這是社區(qū)可以獲取外部資源的前提條件，此外還需要有專業(yè)的開源治理專家和社區(qū)運營團隊，僅以企業(yè)的管理理念和模式難以玩轉(zhuǎn)社區(qū)。

第三，開源項目圍繞具體的特定技術(shù)生態(tài)系統(tǒng)來匯集，如阿里的云棲開發(fā)者社區(qū)，其雖有多個項目孵化，但核心技術(shù)或產(chǎn)品是由單一公司提供，依然屬于第二代開源社區(qū)，受發(fā)起公司或核心技術(shù)企業(yè)資助。此類走生態(tài)路線的項目社區(qū)需要有足夠的資源投入，如果體量不夠，這種模式很難堅持下去，畢竟社區(qū)內(nèi)多個項目客觀上分散了關(guān)注度和資源，選擇這條路線的企業(yè)需要有“打持久戰(zhàn)”的準備；否則就應(yīng)該聚焦于一個項目，集中力量，循序漸進。

面臨的風(fēng)險和挑戰(zhàn)

根據(jù)紅帽公司不久前發(fā)布的《2022企業(yè)開源現(xiàn)狀》市場研究報告，95%的IT領(lǐng)導(dǎo)者認為開源對其公司非常重要，這與去年的90%相比增加了5%。同時，紅帽預(yù)測在接下來的兩年里，受訪企業(yè)使用開源軟件占總軟件數(shù)將上升8%。開源軟件在給全世界的開發(fā)者和用戶帶來便利的同時，也帶來了包括技術(shù)風(fēng)險、法律風(fēng)險和供應(yīng)鏈風(fēng)險在內(nèi)的挑戰(zhàn)。其中開源軟件不斷爆出的安全漏洞、惡意軟件包植入、開源許可證沖突以及開源關(guān)鍵組件的瓶頸風(fēng)險等，已成為全球范圍內(nèi)亟待解決的共性問題。對于我國而言，還要面對來自美國的開源技術(shù)供應(yīng)商和服務(wù)商潛在的技術(shù)出口限制風(fēng)險。因此，中國開發(fā)者和用戶應(yīng)盡早建立全面的開源風(fēng)險防范體系，以迎接這些挑戰(zhàn)。

技術(shù)風(fēng)險

開源軟件涉及源代碼共享，很多配置信息中也涉及賬號、密碼等敏感信息，如果不對代碼進行審核檢查，可能造成大量敏感信息與數(shù)據(jù)隨著代碼的共享而泄露。開源軟件公開的源代碼，如果包含對企業(yè)數(shù)據(jù)庫的訪問代碼，則可能導(dǎo)致整個數(shù)據(jù)庫面臨數(shù)據(jù)泄露的險，也可能導(dǎo)致企業(yè)內(nèi)部文件與用戶信息的泄露。美國網(wǎng)絡(luò)安全公司Snyk發(fā)布的《2019年開源安全現(xiàn)狀調(diào)查報告》顯示，78％的漏洞存在于間接依賴關(guān)系中；37％的開源開發(fā)者在持續(xù)集成期間沒有實施任何類型的安全測試，54％的開發(fā)者沒有對Docker鏡像進行任何安全測試；兩年內(nèi)應(yīng)用程序的漏洞數(shù)量增長了88％。而新思科技《2021開源安全與風(fēng)險分析報告》顯示，84%的代碼庫至少含有一個漏洞，近3年漏洞比例逐年增高，60%的已審核代碼庫包含高風(fēng)險漏洞。從開源網(wǎng)安Source Check工具對熱門開源項目的掃描結(jié)果看，53.8%的項目存在超危風(fēng)險。有鑒于此，開源軟件在部署后需支付較高的維護費用。

法律風(fēng)險

法律風(fēng)險主要是知識產(chǎn)權(quán)的風(fēng)險，知識產(chǎn)權(quán)主要指版權(quán)、專利和商標(biāo)。開源軟件也是享受知識產(chǎn)權(quán)保護的，而很多人誤以為開源軟件是免費軟件。近年來關(guān)于開源軟件的知識產(chǎn)權(quán)糾紛層出不窮，這是由于大家在享受開源軟件靈活便捷的同時，忽略了它也享有知識產(chǎn)權(quán)相關(guān)條例的保護。

版權(quán)侵權(quán)風(fēng)險主要源于兩個方面：一是開源軟件使用者沒有按照開源許可協(xié)議的規(guī)定使用軟件；二是貢獻者將自己不具有版權(quán)的代碼貢獻到開源社區(qū)，使得開源軟件本身存在版權(quán)瑕疵。

專利可以享受20年的保護。開源軟件一旦侵犯軟件專利權(quán)，不僅要追溯“發(fā)行者”的法律責(zé)任，還要追溯“使用者”的法律責(zé)任。

軟件商標(biāo)是指軟件生產(chǎn)者為使自己開發(fā)、制造的軟件區(qū)別于其他軟件產(chǎn)品，而置于軟件包裝表面或軟件運行時屏幕中所顯示的文字、圖形等特殊標(biāo)志。開源軟件的商標(biāo)與其他軟件產(chǎn)品一樣，受到商標(biāo)法的保護。我國商標(biāo)注冊使用年限為10年，10年之后可以續(xù)展，每次續(xù)展的時間為10年。

供應(yīng)鏈風(fēng)險

開源軟件可能會受地緣政治影響。開源軟件雖然是公開的，可開源平臺和社區(qū)是有國界的。在俄烏沖突中，GitHub就限制俄羅斯開發(fā)人員使用開源軟件。

三大發(fā)展建議

促進開源組織和社區(qū)聯(lián)合多元化發(fā)展

鼓勵開發(fā)者社區(qū)發(fā)展，“產(chǎn)學(xué)研”聯(lián)合起來交叉賦能，推動中國開源社區(qū)等創(chuàng)新聯(lián)合體全面發(fā)展。

完善開源托管和風(fēng)控體系

建設(shè)開源風(fēng)控體系，完善開源代碼托管平臺，對我國開源軟件進行知識產(chǎn)權(quán)推廣和保護。

構(gòu)建開源治理體系

針對自發(fā)開源企業(yè)、開源使用企業(yè)建立開源軟件管理體系，第三方組織應(yīng)制定開源軟件治理的行業(yè)標(biāo)準，通過制定開源軟件管理規(guī)則、明確開源軟件檢測方法，建設(shè)開源軟件監(jiān)測平臺，推動開源治理體系建設(shè)。