本文来自微信公众号“工信头条”,作者/李锐、史依颖、冯冠霖。
开源倡导开放、平等、协作、共享理念,是全球软件技术创新的主导模式,是数字经济的重要基础设施与底座。开源生态建设是推动我国软件产业高质量发展的重要基础,是支撑我国科技突破技术封锁的重要途径。中共中央、国务院高度重视开源生态建设,在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景规划纲要》《“十四五”软件和信息技术服务业发展规划》等文件中,部署开源生态培育相关任务,专门出台开源体系建设指导性文件。
当前,我国开源生态尚处于起步阶段,面临基础能力不足、风险隐患不可控等诸多挑战,亟待下好一盘“先手棋”,打好一场“主动仗”,建好一面“防火墙”,筑好一道“护城河”,持续完善并繁荣开源生态,积极主动融入全球开源体系,为软件产业和数字经济发展提供坚强支撑。
开源生态的概念与内涵
开源是指将源代码、设计文档或其他创作内容开放共享的一种技术开发模式,源于软件行业,发端于20世纪的自由软件运动。随着开源理念的发展和开源文化的传播,开源开发者队伍日益壮大,开源项目不断涌现,开源社区持续繁荣,开源已经成为软件开发的主导模式,形成了包括开源项目、开源基金会、开源开发者、开源社区、开源代码托管平台、开源协议、开源企业等要素在内的开源生态体系。
开源项目、基金会、开发者、社区、代码托管平台,以及开源协议等开源要素相互作用,构成了开源生态的基本运作机制:基于企业市场战略决策或者个人开发者对开源理念的支持,开源企业或个人将项目捐赠到开源基金会,并将项目源代码开放在代码托管平台上,通过开源基金会运营项目,建立以该项目为主题的开源社区,一方面吸引开源开发者保持对该项目的持续贡献,另一方面围绕该项目建立起自身专属项目品牌;开源基金会支撑开源项目运营和管理,辅以市场宣传、法律服务、产业联盟等帮助,使得开源项目更加成熟、关注度更高,形成良性循环。
在开源生态体系中,开源项目是最终产品,是整个生态的核心;开源开发者贡献开源代码,发起开源项目,是开源生态的原动力;开源社区基于开源文化将开发者聚集到一起,为开发、维护、推广开源项目提供知识共享平台,是开源生态的基础要素;开源基金会为开发者以及用户提供良好的协作平台和项目孵化环境,是开源生态建设的关键力量;开源协议明确了开源项目的使用权限,是保护知识产权、推动开源项目合规、支撑开源生态健康有序发展的重要保障。
开源生态建设的重要意义
开源生态通过汇聚大众的智慧、发挥协同的效能,实现智慧与成果的共享,在推动信息技术创新、促进产业协作、加快各行业数字化进程方面发挥日益突出的作用。构建完善我国开源生态,是提高我国软件企业影响力的重要方式,是推动我国软件产业创新发展的重要引擎,是支撑我国科技突破封锁的重要途径。
首先,从国家层面看,开源生态是支撑突破科技围堵的重要手段,是融入全球技术创新体系的重要途径。
一方面,通过开源项目汇聚人才,有利于形成软件领域核心技术攻关的新型举国体制,加快突破关键技术短板,提升软件产业链供应链韧性;同时,通过建设自主开源平台,构建自主开源备份库,能够应对极限情况下的开源断链风险。另一方面,通过建设国际化的开源社区,吸引全球软件人才和开源项目,积极参与全球开源,主动融入全球开源体系,形成“你中有我,我中有你”的开源发展格局,能够集聚全球创新资源,促进技术交流和产业合作,在一定程度上遏制产业、技术脱钩。
此外,开源还是赋能经济发展的重要动力。据欧盟测算,开源软件的平均投资回报率为400%;开源贡献者数量每增加10%,年度GDP将提高0.4%~0.6%,并且孵化1000多家技术创新企业。开源还可以通过正向的竞争效应和生产力提升,带动开源生态的发展,间接创造新的就业岗位。
其次,从产业层面看,开源生态是推动我国软件技术创新的重要引擎,是数字经济发展的有力支撑。
开源是软件产业的创新源泉和标准件库,全球97%的软件开发者、99%的企业使用开源软件,70%以上的新立项软件项目采用开源模式。在操作系统、数据库、编译测试软件等基础软件领域,开源模块广泛应用;在人工智能、区块链等新兴软件领域,开源已成为主要开发模式。据统计,全球90%以上的服务器操作系统和72%以上的移动操作系统均基于开源Linux内核,开源数据库MySQL占据超过40%的全球市场份额。传统软件的标准、规范、知识产权等多数掌握在海外巨头手中,已经形成了较为封闭的生态体系,构筑了极高的技术壁垒。开源模式为打破国外技术壁垒提供了突破口,我国麒麟、统信等自主操作系统都是在开源操作系统Linux的基础上进行二次开发和创新,国产数据库也主要基于MySQL、PostgreSQL等开源产品迭代改进。
最后,从企业层面看,开源生态是推动我国软件企业提升影响力和竞争力的重要途径。
通过开源模式,可以实现资源共享、价值共创、合作共赢,节约企业研发成本,加速产品迭代创新,保持对先进技术的跟随,扩大产品知名度和企业影响力,提升企业竞争力。一方面,国内企业积极参与开源社区建设,主动贡献开源代码,能够提升企业知名度。另一方面,通过发布开源项目,能够吸引全球开发者参与研发,形成全球化的产品。国际上,谷歌通过开源打造出安卓操作系统这一“拳头”产品,全球市场占有率达80%以上。在国内,Ocean Base等开源数据库后来居上,受到市场欢迎,估值已经超过了传统数据库。
我国开源生态面临四大挑战
在社会各界的共同努力下,我国开源生态从无到有、从小到大,逐步发展壮大,已成为全球开源软件生态的重要参与方和贡献者。尤其是2020年开放原子开源基金会获国务院批准成立,成为汇聚整合政产学研用各界资源的关键创新载体,在开源项目孵化、开源理念传播等方面发挥了重要作用。当前,我国开源基金会、开源社区、开源平台、开源协议等都已经具备一定基础,开源基础设施较为健全,初步建立了要素齐备的开源生态。但是,同全球开源高地美国相比,我国开源生态仍存在诸多短板弱项亟待补齐。
开源生态起步较晚基础较为薄弱
开源软件最早诞生于美国,迄今已有70余年的历史;世界上第一个开源基金会为1985年在美国成立的自由软件基金会,比我国开放原子开源基金会早成立35年。目前,全球主流的三大开源基金会Linux、Apache、OpenStack全部由美国掌控,主导了全球绝大多数开源社区、开源项目、开源代码托管平台,以及几乎所有的开源许可证。我国软件企业很早就已经使用开源代码,并拥有大量的开源人才,但由于长期缺少一个强有力的基金会统筹,我国开源人才主要在国外开源社区活跃,为国外开源项目贡献了大量代码,成果也都在国外平台托管,长期“在别人的地里种庄稼”;自主开源代码托管平台起步晚,自主开源协议只有一个木兰协议且缺少项目使用,具有全球影响力的开源项目相对不足,未能形成有效的生态体系。
开源主导能力不足存在风险隐患
我国开源项目主要是建立在国外技术体系之上,原始创新能力不足,关键软件产品版本迭代和技术演进严重受限。我国操作系统、数据库、浏览器、开发测试软件、工业软件等产品,大多基于国外开源软件二次开发,开源漏洞难检测,安全风险不可控。根据新思科技(Synopsys)《2023年开源安全和风险分析报告》,在新思科技网络安全研究中心所审计的代码库中,48%具有已知安全漏洞的开源组件,60%的代码库包含高风险漏洞。此外,我国大量软件企业使用的开源代码和技术模块受制于国外开源协议和开源基金会等,极限情况下可能存在断供停服风险,导致产品不能及时迭代更新,加剧了安全风险。
开源文化普及不够认识有待提升
开源倡导开放共享理念,通过博采众智、汇集众长实现资源共享、价值共创、合作共赢。我国软件企业长期习惯于封闭的开发机制,喜欢使用开源代码,但是不愿意公开自己的技术和成果,制约了技术交流与发展。目前,开源已在新兴软件领域和基础软件领域广泛应用,受到行业头部企业重视,但是,在工业软件、嵌入式软件等领域,中小企业多,资源有限,他们更愿意吸纳外部成果,但不愿意贡献自己的智慧,制约开源理念的传播。
开源生态国际化不足亟须加大开放力度
一方面,我国开源生态起步晚,缺少有国际影响力的软件企业,具备全球推广效应的明星开源产品尤其是基础产品供给不足,对海外开发者吸引力不够,难以实现汇聚全球智慧的效果。另一方面,我国开源社区和开源代码托管平台由华人主导,以中文为主要语言,国际化程度不高,国外用户融入存在一定难度。此外,政府部门对网络内容审查相对严格,也一定程度上制约了开源生态国际化发展。
加快完善开源生态需要“四个一”
持续完善和繁荣我国开源生态,需要充分发挥开放原子开源基金会的生态主导作用,加强顶层设计,提升开源基础设施水平,强化开源安全保障,营造良好发展氛围,积极主动融入全球开源体系。
下好一盘“先手棋”强化政策引导
以落实开源体系建设指导性文件为抓手,加大政策支持力度,强化对开源基金会、开源社区、开源协议、开源托管平台等开源基础设施的统一谋划和系统布局。加快落实国家软件发展战略、“十四五”规划等文件关于开源生态建设的工作部署,推动政策落地见效。创新政策支持举措,对开源社区审慎包容监管,支持开源基金会全球化运营、国际化发展,在开源基金会、开源项目、开源社区、开源开发者和开源用户等多个层面融入全球开源体系。
打好一场“主动仗”夯实基础能力
持续加强开源基金会建设与规范运营,加快建设开源项目和文化推广基地、开源产业服务中心、开源项目协同孵化中心等各类开源创新载体,加快推动开源基金会国际化运营。建设培育一批具有国际影响力的开源社区,创新开源代码贡献奖励机制,吸引全球开源软件人才。以开源基金会为纽带,聚焦重点领域及先进技术,加大力度推进开源项目捐赠和孵化,前瞻布局挖掘优质开源项目,培育明星开源产品。
建好一面“防火墙”降低风险隐患
加快建设开源代码备份体系,持续完善自主开源托管平台,并引导国内用户将代码托管到国内平台,培育开源领域应急替代能力。面向大中型企业,推广使用开源软件物料清单(SBOM)等供应链指导规范,增强企业开源组件安全管理能力。支持开展漏洞危险等级评价准则、开源软件供应链安全保障机制研究,建立开源软件安全预警平台,主动开展开源软件风险分析,建立开源软件漏洞处置、发布和共享机制,做好安全预警工作。加快开源标准体系建设,推广自主开源协议,推动开源协议互认。
筑好一道“护城河”繁荣开源文化
支持创建开源创新研究院,汇聚国内外开源界优秀人才,对开源的理论框架、技术、方法、工具、平台、社区运作、知识产权、治理模式等进行系统研究,推广开源理念,普及开源文化。探索研究符合我国国情的专利承诺、开源协议等,推动完善开放的开源治理体系。采取开源进企业、进园区、进校园,以及创新项目、课程、竞赛、培训、贯标等多种形式,吸引和激励更多开发者参与和贡献开源。
