國內87.4%企業使用開源技術，開源風險如何規避?

儘管開源有20多年的歷史，當下依然是個時髦的技術領域。全球開源市場一片火熱，逐年增長，SourceClear調查報告預測，2026年全球開源專案數量將超過3億。我國產業界各方也積極擁抱開源，很多企業提出“來自開源，回報開源”，成為國際開源大家庭的重要參與者。

根據中國資訊通訊研究院(以下簡稱“信通院”)日前釋出的《開源生態白皮書(2020年)》，我國開源軟體應用比例略有提升，2019年我國企業已經使用開源技術的企業佔比為87.4%。而隨著開源軟體的應用越來越廣泛和深入，風險日益凸顯，開源治理被越來越多的企業重視。

開源風險成開源應用屏障

開源是當今軟體生態裡的關鍵力量，尤其是在千禧年後，隨著網際網路、大資料、雲端計算等新技術的興起，我們所熟知的MySQL、PostgreSQL、Hadoop、Kubernetes(K8S)等開源技術被廣泛應用。

與此同時，開源的風險更加突出，《開源生態白皮書(2020年)》指出，開源軟體可能涉及三類風險：智慧財產權及合規風險、安全風險、運維和技術風險，其中智慧財產權及合規風險主要與開源許可證的規定相關，安全風險主要涉及安全漏洞等問題，運維和技術風險主要指因開源軟體的引入導致的開發運維投入量大、技術人員要求高等問題，而這三類風險在不斷上升。

根據美國新思科技公司(Synopsys)釋出的《2020年開源安全和風險分析》報告(OSSRA)。67%的程式碼庫包含某種形式的開原始碼許可證衝突，33%的程式碼庫包含沒有可識別許可證的開源元件。75%的程式碼庫至少含有一個漏洞，將近一半(49%)的程式碼庫包含高風險漏洞，而去年則為40%。91%的程式碼庫包含已經過期四年以上或者近兩年沒有開發活動的元件。除了存在安全漏洞的可能性增加之外，使用過期的開源元件的風險在於更新它們還會帶來不必要的功能和相容性問題，運維風險和成本將會提高。

其中在許可協議方面的不確定性近兩年成為焦點，從2018年開始，Redis Lab、MongoDB、Neo4j等多家開源資料庫修改許可協議，甚至有人指出開源資料庫變天了。

如今開源風險已經成為開源應用的屏障，《開源生態白皮書(2020年)》的調研指出，出於安全性考慮成為我國企業尚未應用開源技術的最主要原因。2019年，出於安全性考慮而未使用開源技術的佔比最高，達到43.8%，比上一年增加8.6%。

對於國內企業而言，開源治理從未像現在這樣迫切。

開源治理任重道遠

國內企業從內部逐步建立開源治理體系應對開源風險，但是依然任重道遠。

新思科技軟體質量與安全部門銷售總監兼管理顧問 薛植元

新思科技軟體質量與安全部門銷售總監兼管理顧問薛植元在接受採訪時指出，開源治理最早在2000年初由國外公司進行實踐，已有十多年曆史，國外已經形成了完備的開源治理技術、方法論和實踐。而國內，近兩年來由於資訊保安一些事件、許可糾紛等因素，企業和政府都意識到開源風險的問題，並且對國內的開源產業非常重視，開源治理逐漸興起，起步較晚還處在初級階段，但是發展很快，實現了爆發式的增長。

通常將開源治理分為三個等級，一是基礎型，在某些專案上用到開源工具，按需索求，但是沒有相應的人才儲備和文化。二是增強型，已經有穩定的人員組織和部門去做開源治理，可以重複去管理公司的開源軟體。三是先進型，在增強型的基礎上，把開源管理融入到軟體開發生命週期中，實現自動化管理，形成自身完備的開源管理策略並可以持續迭代最佳化改進策略。目前國內有幾個頭部公司達到先進型，但是大部分企業處於基礎型或者增強型。

薛植元認為開源軟體數量龐大是開源治理的難點，企業開源治理首先要摸清自己的家底，到底用了哪些開源技術和程式碼，再去進行開源治理。

《開源生態白皮書(2020年)》指出，開源治理工具加速企業開源治理體系構建。開源治理工具主要以開源組成和安全分析為主，透過掃描開源軟體梳理開源元件資訊、開源許可證資訊、開源安全漏洞等幫助使用者有效降低開源風險，全球目前主流開源治理工具廠商大多起源於國外，客戶遍佈全球且佔據我國大部分市場份額。國外如Black Duck、X-RAY等開源治理工具大多側重開源組成識別功能。

信通院於2019年下半年牽頭起草《開源治理工具能力要求 第1部分：開源組成和安全性分析》標準，該標準是國內首個針對開源組成和合規安全性分析的開源治理工具標準，旨在規範和提高開源治理工具服務商的能力。

在日前舉辦的2020 OSCAR開源產業大會上，新思科技高分透過中國資訊通訊研究院的開源工具的本地化方案評測。其中，新思科技軟體組成分析工具Black Duck，開源元件檢出率高達95%。據悉，Black Duck可以提供端到端開源風險管理方案，從探測、保護、管理到監控，今年強化了其漏洞庫和開源合規指南。

“沒有最好的技術，只有適合你的技術。”薛植元強調，每個企業的境況不同，對於開源治理需求也各有差異，對於技術選型而言，合適的才是最好的。而企業開源治理，技術之外還需要組織、流程、文化的構建。