【中国信通院】2022年全球开源生态研究报告

2022年9月16日，中国信通院发布了《全球开源生态研究报告（2022年）》白皮书，白皮书在去年的基础上继续围绕开源项目、开源社区、开源应用、开源商业、开源风险等开源领域热点话题进行探讨。白皮书观察到全球开源生态从“高速繁荣”向“稳步求精”趋势演进，开源项目稳步增长，开源社区多态均衡发展，开源应用持续提升，开源投融资异常火热，开源风险影响凸显。最后，白皮书结合现有形势展望了我国开源生态的发展机遇。

由中国信通院、中国通信标准化协会主办，云计算标准和开源推进委员会承办的“2022OSCAR开源产业大会”在北京举行，大会上发布了《全球开源生态研究报告（2022年）》（以下简称“报告”）。

报告首次梳理了全球开源生态发展对数字经济的积极影响，并总结了开源对各技术领域的重要驱动。同时，从全球开源生态趋势演进、开源项目稳步增长、开源社区多态均衡发展、开源应用持续提升、开源投融资异常火热、开源风险影响凸显等多方面进行全面洞察，并结合现有形势展望了我国开源生态的发展机遇，为开源行业从业者提供重要参考。

开源作为数字经济时代一种新思维、新模式，对促进数字技术创新、优化软件生产模式、赋能传统行业转型升级、推动企业降本增效具有重要作用，为全球数字经济高速发展注入无限活力。与此同时，开源生态繁荣发展背后，风险隐患备受关注。

开源融合协作深化技术创新应用

开源在全球主流技术领域迅速崛起，逐渐改变软件领域的竞争方式和市场格局，正成为数字技术创新的主流模式。据《新程序员》统计，截止到2021年5月，在全球核心技术领域生态体系中，开源项目占比靠前的技术领域分别是人工智能、操作系统、云计算、数据库、中间件。

云计算成为开源圈领跑者，促成企业间合作。云计算领域60%技术栈为开源，Kubernetes使用占比接近96%。云计算经过十余年发展，已经形成以云原生为主流技术形态的发展趋势。云计算领域开源项目数量占据Linux基金会首位，占比22.7%。根据CNCF2022年度云原生开发报告数据显示，云原生技术栈中开源占比超过60%，同时96%的企业正在使用或计划使用Kubernetes。全球超过560万开发者使用Kubernetes，年增长率67%。

云计算领域开源生态建设以基金会模式为主。云计算领域技术平台属性强，需要充分考虑上下兼容问题，更适合基金会模式运营。根据云原生全景图显示，在云原生领域493个开源技术中，25%由CNCF基金会运营托管，覆盖云原生全栈技术领域。

开源改变云计算市场格局，企业从跟随开源到主导布局。云计算技术经过三个开源发展阶段，第一阶段为开源与闭源虚拟化技术路径博弈阶段，市场份额不分伯仲。第二阶段为开源技术路径占据主流，企业基于开源进行二次开发形成商业产品，丰富云计算市场主体，提升产业活力。当前阶段企业对于开源路径的跟随方式不完全一致，部分企业积极参与上游社区，跟踪开源技术演进部分企业基于开源分支，形成独立演进的商业产品。企业研发实力在这一过程得到沉淀提升。第三阶段为企业主动对外开源，布局生态。当前阶段云厂商均投入大量人力进入开源生态，云计算细分技术领域不断涌现开源项目。

供应链风险较为隐蔽

发展形势极其严峻

开源软件供应链关系网络复杂，蕴含严重风险问题。目前，“供应链”通常牵涉数十个（甚至数千个）个体开发人员、组织机构、软件片段以及将它们交织在一起的工具、策略和程序。虽然这种趋势降低了编程人员的准入门槛、缩短了产品的上市时间，但同样也留下了严重的风险隐患，主要包括关键开源组件的可持续维护挑战。

基于此，安全419启动了软件供应链安全解决方案系列调研，邀请细分领域内代表厂商分享自身前沿观点、创新技术和最佳实践，希望为企业组织更好应对软件供应链面临的风险与挑战提供参考借鉴。

开源风险管控机制不完善，未来开源风险将进入集中暴露期。根据Snyk和LinuxFoundation调查结果，只有49%的组织制定了开源软件开发或使用的风险管控策略，企业更偏向于对功能需求的验证，忽视了源代码和使用的基础开源组件的安全性。

企业未建立完整的开源软件使用管理机制，导致开发人员对开源软件基本处于“只用不说”的状态，企业更无法了解正在使用的软件系统是否包含了开源软件。一旦软件产品交付，开源软件的风险问题也将为整个信息系统的安全运营带来极大的安全挑战。

如果产业不能建立完善的开源安全审查评估和风险治理机制，开源风险事件数量将不断攀升、发生频率将不断提高、后果将越发严重。用户针对软件供应链安全所面临的问题也亟待解答，安全419近日启动了《软件供应链安全解决方案》系列访谈选题，邀请领域内代表厂商分享自身创新技术和最佳实践，希望为企业应对开源软件风险提供参考借鉴。在此，也欢迎更多具备相关能力的优秀厂商参与该选题，一同守护开源生态安全。