Update 第九章_开源发展的机遇和挑战.md

第九章_开源发展的机遇和挑战.md

@@ -2,10 +2,10 @@
 
 中国开源正处于加速发展阶段，各技术领域如操作系统、数据库、人工智能、云计算等正与开源深度融合，传统行业如金融、电信、医疗、制造业等也正在被开源快速渗透。更重要的是，中国正在成为全球开源市场的增长点，极大的市场容量、完善的产业链、快速的迭代能力正吸引全球的开源项目进入中国。不过，中国开源的高速发展也面临成长的烦恼，如与日俱增的技术风险、法律风险、供应链风险，以及人才危机。
 
-## 8.1 中国开源发展的机遇
+## 9.1 中国开源发展的机遇
 
 开放科学和开源技术为促进人类进步和知识社会的深度交流融合提供了机会。开源代表的是一种开放包容的理念，有助于推动人类命运共同体的建设。中国工程院院士倪光南在2021年9月的中关村论坛——开源创新发展论坛上提出“开源”是开放科学的核心精神在信息领域的体现，已成为全球信息技术发展的强大推动力。开源软件作为开放科学的一部分，可向每个人开放各个层面的科学过程和产品，包括开放获取、开放研究数据、开放设计、开放方法论、开放评估等。在人类先验知识与技术的基础上不断迭代优化，促进国际交流与深化合作，提高交互效率，推动更快的知识转移，增进理解和经验。
-### 8.1.1 开源正成为全球数字市场的增长点
+### 9.1.1 开源正成为全球数字市场的增长点
 
 开源软件以前所未有的力量推动全球创新和经济增长。世界各国纷纷将数字经济作为重要的发展战略，而支撑数字经济发展的底层数字技术已离不开开源软件的协同。开源软件在科技创新与经济发展中的重要性已日益突显。据《2022年中国开源软件产业研究报告》的数据显示，开源可为企业项目节省38%的直接开发成本，避免重复造轮子的成本投入。
 移动互联网与云计算在中国的快速发展，吸引了全球范围内的开源项目进入中国市场，极大的市场容量促使以云原生为代表的新型订阅收费模式快速变现，吸引众多全球开发者的另一个因素是国内大型企业将其产品陆续开源，以及大量以开源为基础的初创公司开始涌现。
@@ -16,7 +16,7 @@
 
 此外，开源订阅服务费的商业模式和可定制化的开放技术架构为中国企业降低了市场门槛与学习成本，提升了性价比。高价值的商业需求反馈到开源社区，引领技术向服务商业、服务客户的方向发展，可以形成收益闭环，进而反哺开源项目和开发者。这是开源项目发展壮大的必要过程，要接地气，要服务用户，要形成产业，要变现，最终实现开源商业共赢的可持续发展模式，中国在其中最大的作用是产业的快速发展帮助开源项目快速迭代，引领企业走上商业友好的可持续发展路线，也就是帮助开源项目升级迭代，有效集成开源技术并售卖到全球，实现盈利分成。
 
-### 8.1.2 开源正与各技术领域深度融合
+### 9.1.2 开源正与各技术领域深度融合
 
 开源软件的发展从操作系统开始，发展到数据库、中间件，并向应用领域逐渐延展，进而在近年来开始主导深度信息技术领域的创新，开源正在与各技术领域深度融合。其中，数据库、云原生与开源项目的结合最为紧密，操作系统领域也出现大量成熟的Linux发行版，很多企业开始自研开源的实时操作系统。在新技术领域，人工智能、物联网、元宇宙等技术也逐渐拥抱开源并落地开源产品。中国高度重视各个技术领域在开源方向的前瞻性布局，无论是项目活跃度，还是项目影响力，都在快速提升。 
 
@@ -34,7 +34,7 @@
 我国开源创新生态即将进入历史新征程。开源释放更多创造力，通过开源协作让更多参与者感受到文化多样性与包容性的力量。开源促使融合思考与广度发展，以推动数字技术服务更可靠、更高效并实现跨部门跨领域深度合作。
 
 
-### 8.1.3 开源逐步渗透传统行业
+### 9.1.3 开源逐步渗透传统行业
 
 开源在各行业的渗透率正在逐渐加深。据红帽发布的《2021全球企业开源现状》报告显示，当前已经有超过90%的IT领导者都在使用企业级开源。同时，据数据统计，2020年在全球财富50强中，共有72%的企业在使用GitHub平台托管代码，国内超过八成的行业客户都在软件开发生产中使用到了开源技术。
 
@@ -50,11 +50,11 @@
 
 在此背景下，开源由于其开放式协作的特点，使得开发流程更为敏捷，业务需求和变化能快速得到响应，而且开源社区为企业与外部精英提供合作平台，可以解决短期内传统行业研发实力不足的问题。引入开源软件意味着企业可以基于原有开源代码自行开发或只需采购增量服务，节约时间、人力、经济成本。传统行业引入开源软件提升了企业业务竞争力，驱动了企业数字化转型，帮助企业系统实现了安全性和可靠性提升。从全局角度而言，传统行业拥抱开源为其带来了新的增长机遇。
 
-## 8.2 中国开源发展的挑战（请曾晋更新一下）
+## 9.2 中国开源发展的挑战（请曾晋更新一下）
 
 近年来，开源在各行业各领域得到广泛应用，国内的开源生态整体呈现蓬勃发展的态势。据统计，全球97%的软件开发者和99%的企业使用开源软件，基础软件、工业软件、新兴平台软件大多基于开源，我国的软件开发企业几乎都会使用到开源技术。然而，开源软件生态系统庞大，涉及技术、法律、供应链、人才等多个环节，其中任何一环出现问题，开源软件发展都将面临着挑战。
 
-### 8.2.1 开源面临技术安全风险
+### 9.2.1 开源面临技术安全风险
 
 **（1）开源软件漏洞数量保持高位**
 根据Synopsys公司发布的《2023开源安全和风险分析（OSSRA）报告》，Black Duck审计服务团队在2022年审计的涵盖17个行业的1703个代码库中，有96%的代码库包含开源代码，76%为开源代码库；84%的代码库包含至少一个已知开源漏洞，比2022年版的OSSRA报告增加了近4%；检查的代码库中有48%包含高风险漏洞，仅比去年减少了2%。
@@ -63,7 +63,7 @@
 
 奇安信代码安全实验室《2022中国软件供应链安全分析报告》则显示，截至2021年底，CVE/NVD、CNNVD、CNVD等公开漏洞库中共收录开源软件相关漏洞52716个，其中6346个为2021年度新增漏洞。而在奇安信代码安全实验室审计的3354个国内企业软件项目中，存在已知开源软件漏洞的项目有2897个，占比高达86.4%；存在已知高危开源软件漏洞的项目有2680个，占比为79.9%；存在已知超危开源软件漏洞的项目有2400个，占比为71.6%。这些项目中，共检出231368个已知开源软件漏洞（涉及到7269个CVE漏洞编号），平均每个软件项目存在69个已知开源软件漏洞，略高于去年报告中的66个，最多的软件项目存在1555个已知开源软件漏洞。而从漏洞的影响角度来看，最多的Spring Framework远程代码执行漏洞CVE-2022-22965影响了37.1%的软件项目，多个漏洞影响了超过30%的项目。
 
-在2021年检测的2406个国内企业自主研发的软件项目中，输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷，十类典型安全缺陷的总体检出率为59.9%，低于去年报告的78.8%，每类典型缺陷的检出率及排名如表18所示。
+在2021年检测的2406个国内企业自主研发的软件项目中，输入验证、路径遍历、跨站脚本、注入、NULL引用、资源管理、密码管理、API误用、配置管理、日志伪造等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷，十类典型安全缺陷的总体检出率为59.9%，低于去年报告的79.8%，每类典型缺陷的检出率及排名如表18所示。
 
 |排名|缺陷类型|检出率|
 |:---:|:---:|:---:|
@@ -72,10 +72,10 @@
 |3	|API误用|31.5%|
 |4|	NULL引用|	30.2%|
 |5|	资源管理|	29.9%|
-|6	|路径遍历|	28.4%|
+|6	|路径遍历|	29.4%|
 |7	|注入|	26.3%|
 |8|	密码管理|	22.8%|
-|9	|配置管理	|18.2%|
+|9	|配置管理	|19.2%|
 |10	|日志伪造|	12.5%|
 
 *表18 主要漏洞类型*
@@ -118,7 +118,7 @@
 2. 建立软件物料清单管理规范：软件物料清单（SBOM）能帮助企业确定是否容易受到软件组件中已被发现的安全漏洞的影响，无论这些组件是内部开发的、商业采购的还是开源的软件库。
 3. 推行开源治理：行业组织、企业定期盘点开源资产，构建完整的依赖关系图谱，以应对在紧急状况下的安全响应。同时针对开源软件建立完善的引入审批、技术评估、合规使用、漏洞检测、更新维护、应急处置、停用退出制度。
 
-### 8.2.2 开源面临法律风险
+### 9.2.2 开源面临法律风险
 
 **（1）开源许可证法律效力有待进一步明确**
 
@@ -148,13 +148,13 @@
 
 开源的界限。开源软件经常涉及技术的跨国界传播，因此也需要面对各国国家的技术管制相关法律。开源社区是在不同国家的法律下建立起来的，其必须遵守所在地的法律法规，因此，开源平台和开源企业实际上难以保持中立。开源软件的开发与维护往往涉及到不同的主体，也就涉及到不同的权利归属、许可、授权等法律问题。
 
-### 8.2.34 开源面临供应链风险（或与以上合并，请曾晋帮忙优化）
+### 9.2.34 开源面临供应链风险（或与以上合并，请曾晋帮忙优化）
 
 软件供应链已经成为网络空间攻防对抗的焦点，直接影响关键基础设施和重要信息系统安全。软件的供应链安全问题由来已久，只是随着开源软件规模化应用，软件供应链愈发复杂多元，使开源软件供应链风险尤其突出。
 
 对应传统供应链的概念，广义的开源软件供应链可以这样定义：开源软件供应链是一个实际业务系统，在开发和运行过程中，涉及的所有开源软件上游社区（Upstream）、源码包（Source Package）、二进制包（Binary）、包管理器（Package Manager）、存储仓库（Repository），以及开发者（Developer）和维护者（Maintainer）、社区（Community）、基金会（Foundation）等，按照依赖、组合、托管、指导等关系形成的供应链网络。
 
-以操作系统这一典型大型复杂系统软件作为例子。操作系统从组织结构上看是管理计算机硬件资源和软件资源的系统程序集合，包括内核及其他系统工具。由Linux内核衍生出的操作系统发行版，如Ubuntu、CentOS、Android等，统称为Linux发行版，它们将众多实现不同功能的开源软件，以软件包的形式与Linux内核有机地整合在一起，以满足终端用户不同的使用需求。DistroWatch和Repository statistics的数据显示，较为常用的Linux发行版，仅一个版本就需要维护数以万计的软件包以支撑自身功能和生态，比如Ubuntu 18.04涉及29207个软件包、Debian Unstable涉及32453个软件包。即便是通过剪裁构建而成的较为精简的系统，也包含近百个软件包。从以上数据不难看出，在开源协作模式下，软件之间的供应链关系已经非常普遍和繁杂，构建和维护开源软件供应链已成为全球开源领域的共同挑战。
+以操作系统这一典型大型复杂系统软件作为例子。操作系统从组织结构上看是管理计算机硬件资源和软件资源的系统程序集合，包括内核及其他系统工具。由Linux内核衍生出的操作系统发行版，如Ubuntu、CentOS、Android等，统称为Linux发行版，它们将众多实现不同功能的开源软件，以软件包的形式与Linux内核有机地整合在一起，以满足终端用户不同的使用需求。DistroWatch和Repository statistics的数据显示，较为常用的Linux发行版，仅一个版本就需要维护数以万计的软件包以支撑自身功能和生态，比如Ubuntu 19.04涉及29207个软件包、Debian Unstable涉及32453个软件包。即便是通过剪裁构建而成的较为精简的系统，也包含近百个软件包。从以上数据不难看出，在开源协作模式下，软件之间的供应链关系已经非常普遍和繁杂，构建和维护开源软件供应链已成为全球开源领域的共同挑战。
 
 总体来说，当前中国开源软件供应链主要面临三方面的挑战。
 
@@ -195,7 +195,7 @@ Synopsys公司将“为消费者提供SBOM”是关键的供应链安全实践
 为了更加准确的建立SBOM，以及根据SBOM判断一个复杂的开源软件的供应链安全状况，还需要建设开源软件供应链基础设施平台，形成开源软件采集存储、开发测试、集成发布、运维升级等一体化设施，打造服务中国乃至全球的开源代码知识图谱和开源软件供应链体系。以中国科学院软件研究所为例，从2019年起在中科院先导专项的支持下开始建设开源软件供应链管理平台，目前已完成设施原型开发以及可视化展示。平台累计完成超过662万款开源软件的采集及对应知识图谱构建，是当前已知最大规模源代码知识图谱：代码量超过100亿行，软件图谱实体数量超过1300万个，节点属性超过781种，关系数量超过1.8亿条，涵盖操作系统、数据库、人工智能等主要供应链。基于知识图谱技术，设施对数百万开源软件属性特征和结构特征进行了分析，结合重要性算法、流行度算法、安全性算法、风险预警算法及软件健康度评判机制，实现了对于开源软件供应链关键节点的识别与验证。此外，实时监控开源软件漏洞事件舆情，做到早发现、早评估、早修复，保证关键节点的安全可靠。在开源人才培养方面，中科院软件所于2020年发起了“开源软件供应链点亮计划”，包含“开源之夏”、开源维护人员招募计划等系列活动，旨在搭建高校开发者与开源社区的沟通桥梁，吸引高校开发者参与开源社区贡献。	
 	
 
-### 8.2.4 开源面临人才风险（请许哲平、孟迎霞老师团队更新）
+### 9.2.4 开源面临人才风险（请许哲平、孟迎霞老师团队更新）
 
 **（1）人才供需对接的效率低**
 
@@ -216,4 +216,4 @@ Synopsys公司将“为消费者提供SBOM”是关键的供应链安全实践
 
 三是建立企业开源人才成长体系的培养机制。多数企业有针对开源人才成体系的培养机制，增加对现有员工的培训，不仅可以缩小技能差距，为开源人才提供培训机会，也正在成为吸引他们留下来的重要方式。
 
-四是优化开源人才薪酬福利待遇。薪资福利一向是吸引人才的有效手段。据调查，39%的公司愿意给予开源人才的加薪幅度高于其他业务人员。近半数受访开源企业，为开源人才提供的薪酬总额（税前），包括工资、奖金和津贴，考虑的上调比例是10%~20%。优化开源人才薪酬福利待遇有助于增加开源相关岗位的吸引力，一定程度上可缓解开源人才危机。
\ No newline at end of file
+四是优化开源人才薪酬福利待遇。薪资福利一向是吸引人才的有效手段。据调查，39%的公司愿意给予开源人才的加薪幅度高于其他业务人员。近半数受访开源企业，为开源人才提供的薪酬总额（税前），包括工资、奖金和津贴，考虑的上调比例是10%~20%。优化开源人才薪酬福利待遇有助于增加开源相关岗位的吸引力，一定程度上可缓解开源人才危机。