更新《2022中国开源发展蓝皮书》非最终版/第0章 总论+观点总览.md

《2022中国开源发展蓝皮书》非最终版/第0章 总论+观点总览.md

@@ -176,5 +176,118 @@ LF成立旗下跨界基金会（建立开源孵化器），支持全球开源推
 * **政府引导**。2020年6月20日，教育部办公厅、工业和信息化部办公厅联合印发《特色化示范性软件学院建设指南（试行）》提出，以特色化软件人才培养为目标，以深化产教融合为途径，以改革创新为驱动，以特色发展为重点，深化软件人才培养模式改革，大力开展关键核心软件技术攻关，促进软件生态体系建设，充分发挥软件人才培养对产业发展的支撑引领作用，推动我国软件产业实现由大到强的历史跨越。
 * **高校、企业、社区、科研院所多方参与**。随着开源教育从传统理论课程向与实践结合的综合培养模式转变，高校、企业和开源社区、科研院所四方协作等协同创新模式不断被探索，共同培养开源人才的方式逐渐演变为未来发展趋势。
 * **平台助力**。2021年中国计算机协会（CCF）开源发展委员会成立，作为中国计算机及相关领域具有广泛影响的学术团体，重点聚焦共同打造开源、开放、中立的产学研协同开源创新服务平台，通过培育原始开源创新项目，协同科教资源、产业资源和社会资源等探索产、教、研联动的开源创新模式，推动探索学术共同体主导的开源发展新途径，助力我国开源生态建设的发展。
-第四部分  中国开源面临挑战
+
+### 第四部分  中国开源面临挑战
+
+#### 开源面临技术安全风险  
+
+随着开源在各行各业的广泛应用，开源安全已成为亟需重视的问题。由开源软件的依赖关系，自然形成的供应链包含从编码、打包、分发各个环节，其中任何一环出现问题，都可能导致开源软件面临重大风险。
+
+* 在开源的技术安全中，开源软件漏洞数量仍然保持高位。据Black Duck审计的1546个流行代码库中，98%的代码库包含开源代码，75%的代码由开源代码构成，84%的包含至少一个漏洞，每个代码库平均有158个漏洞，65%的代码库存在许可证冲突。
+* 开源技术漏洞所影响的范围巨大。以2021年影响最大的Apache Log4j2漏洞事件为例，该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。
+* 根据奇安信代码安全实验室报告，输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。在2020年检测的1364个开源软件项目中，十类典型安全缺陷的总体检出率为56.3%。
+ 
+#### 开源面临的法律风险  
+
+* 目前对于开源社区常用的许可证有GPL、LGPL、MPL、Apache、BSD和MIT。开源相关的主要法律风险主要在于使用开源代码进行软件开发时，由于未遵守许可证（许可合同）而可能负有继续履行合同的义务或者可能承担版权侵权的责任，多为开源软件著作权风险和开源中的专利权风险。
+* 近些年来随着开源软件在我国的发展，相关案例也渐渐出现，相关法律也并不健全。对于这个较新的领域来说，仍有待发展和探索。
+* 传统企业在使用开源软件时对软件的安全性、稳定性和合规性存在担忧。
+
+#### 快速增长的开源供应链风险
+
+开源软件供应链，指的是开源软件按照依赖、组合等形成的供应关系网络。与传统供应链不同，开源软件供应链存在迭代周期短、模块数量多、生产线上化、供应全球化、仓储集中化、边际成本低等特点，这也让开源软件供应链暴露在更多风险之下。
+ 
+软件的供应链安全问题由来已久，只是随着开源软件规模化应用，软件供应链愈发复杂多元，使开源软件供应链风险尤其突出。
+
+* **持续维护风险**。当前，大量软件产品依赖开源软件进行构建，这些被依赖的开源软件位居供应链上游，对下游产品安全具有重要的影响力。一旦这些上游开源软件由于某些原因不再进行维护，下游软件产品势必会受到影响；开源软件持续维护方面的另一个风险在于开源作者的付出与收益不相称。
+* **安全漏洞风险**。安全漏洞在流行开源项目中非常普遍。软件供应链的每个环节都可能会引入安全风险从而遭受攻击，上游环节的安全问题会传递到下游环节并被放大。攻击者不再等待公开的漏洞披露来进行漏洞利用，而是主动将新漏洞注入为全球供应链提供支持的开源项目中，通过将攻击转移到“上游”，可以获得影响力和关键的时间优势，使恶意软件能够在整个供应链中传播，从而对“下游”用户进行更具扩展性的攻击。
+* **知识产权风险**。
+* **人为断供风险**。需要引起重视的是，除了因美国法律要求“不得已”而为之的断供外，因政治立场、情感取向等非法律因素导致开源断供的行为也开始显现。除了直接断供外，还有舆论主张通过张贴标语表达政治倾向，越来越多的国际主流开源社区不得不在舆论的压力下做出表态，如Node.js、React.js等都曾在官网表明支持乌克兰的政治立场，不过后来都因引起网友的广泛关注和反应而最终删除相关观点。
+
+#### 中国开源产业发展的人才危机   
+
+* 放眼全球，开源人才短缺也是一个共性问题。在2020年就已经出现了开源人才招聘紧缺的现象，2022年这一现象仍在继续。据调查，12.7%的中国企业面临开源人才储备不足的困难。有一半的企业表示在未来6个月内将增加对于开源专业人员的招聘。
+* 80%以上的企业开源人才缺口集中在30-50人。所缺乏开源人才的岗位类型多为开源开发者、开源社区运营。开源思维方式是招聘开源技术人才最看重的部分。企业招聘开源人才的最大难题是市场上合格人才数量有限，对人才的水平要求较高。
+* 有38%的人表示，由于疫情，他们不得不增加开源人才招聘，这与许多企业在疫情的影响下加速数字化转型有关。几乎所有（97%）招聘经理而言，雇佣开源人才都变成了一个优先事项。
+* 开源人才危机成因多与企业数字化转型加速，企业对开源技术的使用加大；开源人才供需对接的效率低；人才素质要求高、顶尖人才难寻；开源开发者在开源社区遇到歧视；企业存在人工成本居高不下，留存困难等因素相关。
+* 对开源文化的普及与扩大：传统企业缺乏技术人才和对开源文化、开源生态的理解，制约开源技术在传统行业发展与进一步深入。
+
+#### 跨界创新完善机制迎接挑战  
+
+* 开源风险具有破坏性和长期性特点，已进入活跃期。
+* 推进全球合作应对潜在风险，俄乌战争带来的提醒。
+* 法律有国界、政治有立场、开源无歧视。在地缘政治可能影响一国的法律，在国家的法律可能影响平台服务，进而影响开源的时候。将平台放在任何一个国家，都是存在风险的。如果这个世界可能被割裂，无论代码仓库放在哪里，整个世界都会受到伤害。所以在建设中国开源平台的同时，更要努力建设不会被割裂的开源世界。
+* 成立中国开源安全生态促进委员会，组建开源安全实验室。
+
+### 第五部分 中国开源发展建议
+
+Linux基金会执行董事Jim Zemlin点评中国开源发展：“中国开源发展很快，如今已接近或达到世界先进水平，一些企业开始进入世界领跑者行列，还涌现出杰出的开源领袖。我们期望中国在开源的教育、标准化、立法、知识产权保护，以及开源社区、基金会、风险投资等建设方面，在已取得很大进步的基础上更上一层楼！
+ 
+我们要清醒的认识到，中国的开源社区、开源托管平台、开源项目、开源教育体系、开源基金会运营、企业开源治理以及开源风险防范体系等方面，还存在诸多薄弱环节，亟待改善解决。 
+
+#### 加强开发者的运营与建设
+
+* 相对我国开源开发者群体数量，我们还没有出现足够数量的优秀开源项目，从基础来讲，我们需要进一步提升开源开发者研发和组织能力，通过普及开源技术和文化，提供开源知识库，专家库，推广开源项目，开源文化，进一步发展有实力的开源开发者生态。
+* 加强企业开源建设：大量高技术的开发者都在企业，但多数企业缺乏开源文化和开源治理能力，可通过设置开源治理委员会或开发者生态联盟来推进：企业内还要鼓励开发者在使用开源项目的过程中，积极参与回馈开源社区。
+* 加强开源文化的普及和运营：倡导开源精神，增强开发者对开源领域问题的研判及引领能力，积极引导开发人员参与新技术方向的探讨，鼓励开发者对开源领域问题提出自己的解决方案。
+* 致力于提升开源治理能力，开源治理将会是未来科技软件实现快速发展的关键能力，对开源软件的社区治理模型的理解是开发者开发出有影响力的优秀开源项目的基础。
+* 高校学生具备开源软件贡献者的特征，是开源开发者和爱好者的重要来源。高校应该在教学过程中推广开源教学方法，让学生掌握开源的基础技能；学生可以通过参与学习开源项目，在实践中学习知识，积累经验，提升协作能力和主动学习能力。
+* 通过企业和高校的紧密合作，将开源生产环境与教学环境融合，成规模的为我国开源产业提供高层次高水准的开源软件开发者。
+
+#### 进一步促进开源社区发展壮大 
+
+* 鼓励开发者社区发展，推动中国开源开发者的成长、开源应用及创作水平、开源文化的提升，为中国开源发展提供基础动力；加强开发者社区建设，提供开源知识库，专家库，推广开源项目，普及开源文化。
+* 持续加强本土开源社区和开源代码托管平台的建设，为中国开源发展提供支撑性平台，鼓励开源开发者能够发现、交流、分享、创新应用及推广开源项目。
+* 提高开源社区和开源项目的治理和运营能力，为开源社区治理专家、开源项目核心维护人员提供定向资助，让有实力有经验的专业人员，持续的专注于开源社区和项目的发展。
+
+#### 大力扶持优秀中国开源项目，加大产业生态
+
+目前国家大力扶持发展以大数据、芯片、操作系统为主的高精尖产业，加大产业生态建设，中美科技解耦在一定程度上会加速促进中国信息技术栈的完善，我国操作系统产业面临相当大的挑战与机遇。
+
+* 人工智能等重大科技项目需要开源开放，需要以开源的形式提升创新质量，大量开源工具及平台，无不表明开源创新与协同有力推动了产业进程。
+* 从开发模式角度，开源缩短了软件定义汽车的交付周期，以及降低成本。借鉴互联网时代的软件开发，构建完善的底层基础设施，如开发、持续集成和测试，发布与维护，以及OTA系统等，最好能实现自动化，共享开源平台，代码重复使用率高，开发过程更为高效，最大程度地降低企业研发费用，缩短新产品投放市场所需的时间，减少整个行业的分裂化发展趋势。同时也会带来新的问题，如使⽤开源软硬件，谁来承担安全责任和⻛险？
+* 时至今日，开源软件依托其社区开发模式，能更快的实现产品迭代和用户触达，进而形成免费软件加付费服务的业务模式，并进一步通过云获得价值回报，MongoDB等数据库都在探索这一模式。此外，从市场竞争战略来看，软件开源已经成为后来者扩大其市场影响力、追赶头部企业的重要手段。
+* 当前AIoT行业面临的两个主要挑战：平台安全性和缺乏行业标准。
+ 
+#### 打造新型产教融合平台，发展开源教育，培养开源人才 
+
+* 推动基于优秀国产开源成果的课程体系设计、师资队伍建设和培养计划制定，培养开源创新人才，支撑国产开源软件形成可持续发展生态。
+* 加强开源文化和开源技能教育，建立鼓励软件成果开源的评价机制和价值导向，推动高校产出更多原创性开源成果。高校是科技创新的重要源头。我国高校亟需加强面向开源的软件教育。
+* 以开源教育为抓手，打造新型产教融合平台，建立从高校开源学习、产业开源实践到开源创新创业的闭环，服务我国软件产业发展。开源教育应拓展到人才培养成长的各个阶段，需要相应平台和政策环境的支持。
+
+#### 建立丰富完善的中国开源生态，促进开源商业化
+
+* 企业侧建立稳定的开源模式：我国自发开源企业需要建立稳定的开源商业模式，一是针对国际基金会顶级开源项目，建立社区反馈和联动机制：二是建立自主开源生态，重点在操作系统、数据库、中间件等基础软件领域探索开源。
+* 第三方快速完善开源运营机制：一是国内开源联盟组织持续推进与企业的开源运营合作，借助联盟标准化与行业推广优势，推动我国自发开源项目应用；二是开源基金会形成稳定的决策机制，项目孵化流程，为国内开源项目运营提供有力知识产权托管以及法律、协作支撑。
+* 构建开源治理体系：针对自发开源企业、开源使用企业建立开源软件管理体系，第三方组织需制定开源软件治理的行业标准，通过制定开源软件管理规则，帮助企业规范开源软件的使用和输出，实现企业软件的全覆盖和全流程管理，同时配套建设开源风险检测、开源生态监测等平台，推动企业落地开源冶理体系建设。
+* 开源商业化的成功不仅仅取决于技术本身，对开源的信念、产品真正解决用户痛点需求缺一不可。一个商业化开源公司的成功需要方方面面，它需要整个团队往前推，不仅仅是技术团队在往前走，而是所有人同心协力往前走。要保证团队具备技术之外的壁垒，要补足团队的短板，比如开发者关系、市场契合度、设计团队甚至树立公司的品牌形象，都需要去做。 
+
+#### 持续加强中国开源基金会及开源组织建设   
+
+随着近期国际政治与经济领域的冲突加剧，全球各大开源组织都面临一些来自非技术因素（政治、商业等）的压力和干扰。对各大开源组织与社区领袖而言，能否守住初心，即坚持技术中立与开放的开源原则和底线，将面临智慧与定力的双重考验。从实践来看，坚守并践行中立原则的开源基金会与开源组织将赢得开发者以及合作企业的持久信赖。另一方面，我们也要适当加快国内开源基金会和开源组织的建设，帮助更多的开源项目以及合作企业获得成功，尤其是要注重吸引全球的优秀项目与开发者，要推动形成统一的、你中有我我中有你的开源生态，不要割裂化、碎片化的全球开源生态。”
+
+#### 加强行业标准与规范，解决开源供应链风险   
+
+* 利用开源技术修复和重建遭受破坏的供应链并迎接供应链中的安全挑战（LF开源大师Jim和Brian应邀于2022.1.13在美国白宫会议上发言，获得广泛共识）
+* 为了应对供应链存在的安全问题，首先应整体考虑供应链上下游关系，明确开源软件供应链的各个环节组成。其次，应对软件供应链产品进行全生命周期安全保障，从上游开始一直到软件部署及运行，对各个环节进行安全评估。此外，应从开发者、开源社区、地区分布等多个维度进一步评估关键开源软件的维护性和演化能力，确保其在供应链中的可靠性。最终极的解决方案，则是在上游开源软件和开源社区的基础上，由具有社会公信力的机构，牵头打造开源软件供应链基础设施，形成公共服务能力，对千行百业提供高质量、可持续的开源软件供应。
+* 构建健全的开源供应链生态，一是注重培养开源软件供应链安全人才，二是构建开源供应链安全评估体系。扶持一批从事开源软件安全评估的创新企业，打造开源供应链的安全评估体系，三是建立开源供应链安全实验室。
+* 为减轻开源企业对开源技术安全性、稳定性、合规性的顾虑，开源基金会、开源组织和行业联盟、企业应加强合作，加紧对开源行业整体标准、行业标准、企业标准的设立，并以此为依据加强对企业用户，开源开发者的教育、培训工作。
+
+#### 加强开源普及教育，发展中国开源人才  
+
+解决人才危机问题的方式可参考、加强高校开源培养教育；从开源项目团队或开源活动中直接引入人才；针对开源人才形成体系的培养机制、对现有员工的培训；加大开源人才的加薪幅度、加强开源社区合作，促进整体生态繁荣等。
+
+人才方面，科技企业、基金会、高校应注重开源技术人才的培养，为开发者了解开源、接触开源创造机会。
+
+#### 倡导全球化开源精神，推动中国开源发展，迎接挑战  
+
+Apache创始人之一Brian Behlendorf 2007年在访华期间与我们有一段谈话：开源是利他主义（Altruism）的，或者说是共产主义（Communism）的，专用软件或私有软件当然是利己主义（Egoism）或资本主义（Capitalism）的，而开源的商业模式也是利己主义的。利他主义的开源与利己主义的商业模式结合在一起才能为开源做贡献。开源既含共产主义因素也含资本主义因素，既是商业的也是公益的或个人爱好的，而且还是学术的。
+ 
+开源软件的协同特征有力地支持了未来互联网发展中分布式数字主权的建设。
+ 
+面对一个急速变幻、急速下坠、甚至可能变得撕裂的世界，我们更应该推广开源精神，凝聚众人向善之力，汇聚众人向善之智，开放协作、互惠共赢，为这个世界变得更好做出贡献！
+ 
+以全球开源的胸怀和视野，建立开源世界的反分裂共识，推广“更加完善的非歧视条款”开始，推动国际开源发展的繁荣。
+
+