Update 第四章_开源行业发展现状.md

印刷版（简版）/第四章_开源行业发展现状.md

 # 第四章 开源行业发展现状
 
-作为行业发展的重要基石，开源已经成为促进全球各行业转型升级、推动数字经济快速发展的中坚力量。行业已经形成拥抱开源、使用开源的共识。未来，开源将在传统企业展现更多的力量，而传统行业积极拥抱开源、引入开源软件的背后，是其业务发展导致的企业对持续变化的业务需求响应能力、软件性能及成本与效率方面的考虑。出于传统行业的增长需求、市场环境的变化、客户需求的多样性等原因，传统企业自身的研发能力不足以支撑企业敏捷响应、快速迭代、开发，制约了企业的快速发展，尤其是金融行业的应用场景规模大、高并发，对企业应用的软件性能有严苛要求。但企业根据需求自研系统或引入外部商业软件都会带来高昂的采购成本、维护成本和人力投入。
+作为行业发展的重要基石，开源已经成为促进全球各行业转型升级、推动数字经济快速发展的中坚力量，行业业已形成拥抱开源、使用开源的共识。未来，开源将在传统企业展现更多的力量，而行业积极拥抱开源、引入开源软件的背后，是其业务发展导致的企业对持续变化的业务需求响应能力、软件性能及成本与效率方面的考虑。出于传统行业的增长需求、市场环境的变化、客户需求的多样性等原因，传统企业自身的研发能力不足以支撑企业敏捷响应、快速迭代、开发，制约了企业的快速发展。但企业根据需求自研系统或引入外部商业软件都会带来高昂的采购成本、维护成本和人力投入。
 
 在此背景下，开源由于其开放式协作的特点，使得开发流程更为敏捷，业务需求和变化能快速得到响应，而且开源社区为企业与外部精英提供合作平台，可以解决短期内传统行业研发实力不足的问题。引入开源软件意味着企业可以基于原有开源代码自行开发或只需采购增量服务，节约时间、人力、经济成本。传统行业引入开源软件提升了企业业务竞争力，驱动了企业数字化转型，帮助企业系统实现了安全性和可靠性提升。从全局角度而言，传统行业拥抱开源为其带来了新的增长机遇。
 
@@ -8,19 +8,13 @@
 
 ## 4.1 开源在金融行业的应用
 
-> 作者：
-> 
-> 罗文江，招商银行资深云计算架构师、开放原子开源基金会TOC成员
-> 
-> 刘建珍，中国农业银行研发中心高级专员
-
-### 4.1.1 2022-2023 年金融行业开源发展现状
+### 4.1.1 2022-2023年金融行业开源发展现状
 
 #### 开源技术已渗透金融全场景，机遇与挑战并存
 
 金融行业在强化技术掌控和提质增效的双重压力下，越来越多地选择开源技术产品作为其基础技术架构组成部分。金融行业通过开源技术支持企业核心技术框架，既能保证接轨国际主流技术，又能确保以深度参与的方式完成金融信息建设，实现从“可用”到“好用”的转变。根据北京金融科技产业联盟调研报告显示，90%的金融机构已官方应用和试用开源软件。开源技术已成为金融服务的重要技术支撑。据金融行业开源技术应用社区的“2022金融行业开源技术应用调查”显示，47.06%的金融机构开源架构资产库系统使用开源组件和软件的清单列表数量在1000至10000之间，35.29%的金融机构开源架构资产库系统使用开源组件和软件的清单列表数量小于1000，另有11.76%的金融机构使用开源组件和软件的清单列表数量在1万至10万之间，5.88%的公司开源架构资产库系统使用开源组件和软件的清单列表数量在10万以上。
 
-以农业银行为例，农业银行已规范使用超过2万多个，7000多种开源软件，涉及30多种开源许可证，有力支撑了本行的金融科技创新，例如，基于SpringBoot框架建设了综合应用平台，提供完善的基础架构降低开发技术难度，让研发人员能够专注业务，快速开发出复杂的业务功能；基于Nginx建设了综合网管平台，为应用系统提供多样的软负载均衡能力，支持TCP/HTTP/HTTPS等多种协议。基于Hudi、Alluxion、Flink、Atlas等6项开源技术，创新融合存算分离、流批一体、湖仓一体多元技术，探索构建了存储云+计算云+工具云的大数据新型技术架构，验证了大数据新型技术栈在金融场景的可行性，为金融同业提供了可借鉴的示范案例。
+以农业银行为例，农业银行已规范使用超过2万多个，7000多种开源软件，涉及30多种开源许可证，有力支撑了金融科技创新，例如，基于Spring Boot框架建设了综合应用平台，提供完善的基础架构降低开发技术难度，让研发人员能够专注业务，快速开发出复杂的业务功能；基于NGINX建设了综合网管平台，为应用系统提供多样的软负载均衡能力，支持TCP/HTTP/HTTPS等多种协议。基于Hudi、Alluxion、Flink、Atlas等6项开源技术，创新融合存算分离、流批一体、湖仓一体多元技术，探索构建了存储云+计算云+工具云的大数据新型技术架构，验证了大数据新型技术栈在金融场景的可行性，为金融同业提供了可借鉴的示范案例。
 
 开源技术为金融机构带来科技创新、业务赋能等积极成效的同时，也带来了包括技术风险、法律风险、供应链风险在内的诸多挑战。日益增多的开源安全漏洞、恶意软件植入、开源许可证冲突、关键组件瓶颈等，已成为金融企业广泛运用开源技术亟待解决的问题。
 
@@ -28,15 +22,15 @@
 
 因开源技术的广泛使用，金融行业日益重视开源治理和开源生态建设，2021年10月，人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅联合发布《关于规范金融业开源技术应用与发展的意见》（以下简称《意见》）。整体从金融机构使用开源、自发开源、开源生态构建、构建标准和法律体系等4个方面提出了指导意见，并鼓励“金融机构将开源技术应用作为提高核心技术自主可控能力的重要手段”、鼓励“金融机构积极参与开源生态建设”和“开展开源项目合作，实现优势互补、互利共赢、共同发展”。同年人行发布的《金融科技发展规划（2022-2025）》提出了要在开源生态方面“依法合规参与数字技术开源社区等创新联合体”。行业相关政策陆续出台，规范和鼓励了金融机构安全合规应用开源技术，促进了金融行业开源生态培育和发展，推动了金融机构的数字化转型。
 
-2022年金融行业开源相关标准规范陆续出台，护航金融业参与开源生态行稳致远。在行业标准方面，《金融业开源软件应用管理指南》《金融信息系统开源软件应用 评估规范》《金融业开源技术 术语》为进一步规范金融 机构开源软件的资产管理提供了宝贵的经验。《金融行业开源软件评测规范》、《金融行业开源软件服务商评测 规范》为银行机构评估和选择合适的开源软件及服务商提供参考依据，保障银行业开源软件的应用安全，促使开源软件服务商 提升企业竞争。《金融技术产品开源项目管理指南》 保障金融技术产品开源管理流程的规范性和可行性，促进金融机构合法合规、拥抱开源。
+2022年金融行业开源相关标准规范陆续出台，护航金融业参与开源生态行稳致远。在行业标准方面，《金融业开源软件应用管理指南》《金融信息系统开源软件应用评估规范》《金融业开源技术术语》为进一步规范金融 机构开源软件的资产管理提供了宝贵的经验。《金融行业开源软件评测规范》、《金融行业开源软件服务商评测规范》为银行机构评估和选择合适的开源软件及服务商提供参考依据，保障银行业开源软件的应用安全，促使开源软件服务商提升企业竞争。《金融技术产品开源项目管理指南》保障金融技术产品开源管理流程的规范性和可行性，促进金融机构合法合规、拥抱开源。
 
 #### 金融机构逐渐强化开源治理，尝试探索对外开源
 
-在内部开源治理方面，超70%的金融机构具有开源相关治理流程，其中41.18%的企业有多个开源相关治理流程，29.41%的企业有1个开源治理流程。另有29.41%的企业尚无开源治理相关流程。70.59%的公司无单独开源管理团队，17.65%的公司拥有单独开源管理团队，其中1人专职，5-10人兼职；11.76%的公司具备2-3人专职，10-20人兼职的单独开源管理团队。多家大型商业银行已制定企业级开源治理流程，具备明确开源管理人员责任划分，保障开源技术的安全可控应用。例如，中国农业银行结合商业银行特点和自身实践涉及了一套融合传统和开源理念的软件管理体系和框架TOSIM(Tranditional&Open-source Software Integrated Management),规范企业内部开源管理；交行也根据自身企业技术架构发展，制定了开源软件管理办法、开源依赖库管理细则等，形成开源软件管理模型；浦发银行成立了开源治理配套组织架构，建设了开源治理平台实现开源软件全流程、一体化、自动化管理；中国银行打造了包括开源技术架构师、开源安全专家、开源软件开发专家在内的三支专家队伍，确保高效协同；中信银行成立了专业开源治理团队，启动开源治理平台建设，实现开源资产管理线上化。
+在内部开源治理方面，超70%的金融机构具有开源相关治理流程，其中41.18%的企业有多个开源相关治理流程，29.41%的企业有1个开源治理流程。另有29.41%的企业尚无开源治理相关流程。70.59%的公司无单独开源管理团队，17.65%的公司拥有单独开源管理团队，其中1人专职，5-10人兼职；11.76%的公司具备2-3人专职，10-20人兼职的单独开源管理团队。多家大型商业银行已制定企业级开源治理流程，具备明确开源管理人员责任划分，保障开源技术的安全可控应用。例如，中国农业银行结合商业银行特点和自身实践涉及了一套融合传统和开源理念的软件管理体系和框架TOSIM（Tranditional&Open-source Software Integrated Management），规范企业内部开源管理；交行也根据自身企业技术架构发展，制定了开源软件管理办法、开源依赖库管理细则等，形成开源软件管理模型；浦发银行成立了开源治理配套组织架构，建设了开源治理平台实现开源软件全流程、一体化、自动化管理；中国银行打造了包括开源技术架构师、开源安全专家、开源软件开发专家在内的三支专家队伍，确保高效协同；中信银行成立了专业开源治理团队，启动开源治理平台建设，实现开源资产管理线上化。
 
 在行业开源生态建设方面，金融机构逐步凝聚开源发展共识，共建行业开源平台社区生态，增强行业合作，解决共性问题，开始培育、支持开源项目孵化与推广。北京科技产业联盟组织、中国银联承建了金融开源平台（OFTP），赋能金融领域开源项目孵化，为用户提供高质量的软件源码托管平台，当前已接入70多家金融机构，承接了如金融业生僻字处里项目、金融业开源项目生态检测平台等多个行业开源项目。 此外联盟还发起金融业开源技术信息服务平台FOST风险信息共享计划，依托平台风险同胞服务模块，为金融机构共享已知开源漏洞及风险信息，建立了风险漏洞和安全实践的发现和共享机制，提高金融业开源技术风险防范和处置能力。招商银行和阿里、百度、华为、浪潮、腾讯、360等10家创始会员共同筹建成立开放原子开源基金会，基金会为国内首个开源基金会，当前在操作系统、数据库、云计算、安全、大数据、区块链等领域已有30多个开源孵化项目。
 
-在对外开源方面，部分金融机构逐渐从原来的开源技术的使用方，开始尝试输出贡献。以微众银行、网商银行、蚂蚁金服为代表的互联网银行主动拥抱开源技术，积极也参与开源社区，同时，反哺社区，通过将内部孵化的产品进行开源，捐赠给开源社区，2022年蚂蚁开源可信隐私计算开源框架“隐语”、高性能图数据库TuGraph单机版、SOFAStack 云原生项目。微众银行在人工智能、区块链、云计算、大数据等多个领域开源33个项目，其中：FATE开源社区在2022年荣获 中国信通院“2022 OSCAR 尖峰开源社区及开源项目”，与开放群岛开源社区、百度、腾讯云和京东科技共同发起了“隐私计算开源协同计划”；EventMesh项目在2022年被CNCF Landscape收录，2023年初成功从Apache基金会孵化器毕业成为顶级项目；大数据计算中间件项目Linkis 于2022年成功成为Apache基金会的顶级项目。工商银行、 中国银行、招商银行、浦发银行、浙商银行等参与区块链跨链陆羽开源项目;工商银行等与科技企业合作开展 MySQL 数据库金融分支版本项目; 招商银行参与共建KubeVela项目，对外开源EasyBaas项目和ChainHub项目；光大银行与趣链科技合作开展区块链 BaaS 平台跨链子平台项目。
+在对外开源方面，部分金融机构逐渐从原来的开源技术的使用方，开始尝试输出贡献。以微众银行、网商银行、蚂蚁金服为代表的互联网银行主动拥抱开源技术，积极也参与开源社区，同时，反哺社区，通过将内部孵化的产品进行开源，捐赠给开源社区，2022年蚂蚁开源可信隐私计算开源框架“隐语”、高性能图数据库TuGraph单机版、SOFAStack 云原生项目。微众银行在人工智能、区块链、云计算、大数据等多个领域开源33个项目，其中：FATE开源社区在2022年荣获 中国信通院“2022 OSCAR 尖峰开源社区及开源项目”，与开放群岛开源社区、百度、腾讯云和京东科技共同发起了“隐私计算开源协同计划”；EventMesh项目在2022年被CNCF Landscape收录，2023年初成功从Apache基金会孵化器毕业成为顶级项目；大数据计算中间件项目Linkis 于2022年成功成为Apache基金会的顶级项目。工商银行、 中国银行、招商银行、浦发银行、浙商银行等参与区块链跨链陆羽开源项目；工商银行等与科技企业合作开展MySQL数据库金融分支版本项目; 招商银行参与共建KubeVela项目，对外开源EasyBaaS项目和ChainHub项目；光大银行与趣链科技合作开展区块链BaaS平台跨链子平台项目。
 
 在内部开源方面，64.71%的金融机构实施了企业或集团内部开源，35.29%的企业还未实施。缺乏专门的开源管理团队和企业级的开源文化认同以及安全、商务、法律因素是内部开源的最大阻力。
 
@@ -108,11 +102,17 @@
 
 ![](https://img-blog.csdnimg.cn/69401728393a4f3284727b8731b2bc5f.png#pic_center)
 
+<center>汽车技术架构进入双螺旋进化模式</center>
+
 基于以上的行业发展趋势，软件的比重在汽车研发时间以及成本上均上升迅速，据麦肯锡的预测，到2030年软件的比例将达到30%。2025年汽车软件的市场规模将达到620亿美元，尤其是网络，车用芯片，V2X架构以及云端基础设施的完善，“硬件预置、软件解锁”的产品策略将会出现在汽车的多个功能域中。
 
 ![](https://img-blog.csdnimg.cn/8b3d89bcf75b4a1d8603c64c364656ec.png#pic_center)
 
+<center>全球汽车软件与硬件内容结构占比</center>
+
 ![](https://img-blog.csdnimg.cn/74e51398ba9e4cb28cf37c0c255f2f5f.png#pic_center)
+
+<center>全球汽车软件市场规模预测</center>
  
 要做好灵活的上层架构，需要在性能强大的硬件架构基础上，有一个“可编程” “安全成熟” “生态丰富”的车用操作系统。因此，车用操作系统成为车企核心竞争力的基石，我们在与多家车企沟通后发现，由于底层操作系统的投入巨大，产出不明确，现在大多数车企还是采用了商业化的成熟产品，比如QNX、VXWorks等，成熟产品的好处是可以非常高效的完成汽车的研发。但这些都基于相对固定的供应链体系，如果想要在产品设计上有丰富的扩展性和灵活性，使用商业软件，需要付出昂贵的成本以及可能存在的供应链被控风险，因此，还有很多厂商，投入了巨大的研发进行“全栈自研”，鲜有成功的案例。
 
@@ -120,7 +120,7 @@
 
 汽车因为供应链很长，涉及面非常广，汽车软件的复杂度也很高，从本次调研的情况来看，我们非常高兴的看到了车企与开源的交织，也看到了很多的问题。我们这一次先从大多数车企所处的开源阶段 --- 合理使用开源进行展开。
 
-同时，随着开源软件的引用、供应商大量使用开源中间件或组件进行交付，在车企进行SBOM管理时迎来了巨大的挑战，需要有一个跨部门、跨组织、跨权限的协调组织出现，进行资源、流程的配置与管理，因此，开始引入了OSPO(Open Source Program Office)，这在大型互联网企业相对成熟，对于企业在使用外部开源组件/项目的合规，以及代码开源到外部的流程负责，协调研发、产品、市场、法务、人力进行综合的管理，在用好开源的同时，也遵循开源世界的游戏规则，更好地融入其中。比如在2022年7月，极氪汽车成立了自己的OSPO，取名为极氪开源合规审查小组。在同期，长安也正在考察开源软件办公室的作用和意义，最终还是以知识产权相关部门为驱动，在合规上进行把关。
+同时，随着开源软件的引用、供应商大量使用开源中间件或组件进行交付，在车企进行SBOM管理时迎来了巨大的挑战，需要有一个跨部门、跨组织、跨权限的协调组织出现，进行资源、流程的配置与管理，因此，开始引入了OSPO（Open Source Program Office），这在大型互联网企业相对成熟，对于企业在使用外部开源组件/项目的合规，以及代码开源到外部的流程负责，协调研发、产品、市场、法务、人力进行综合的管理，在用好开源的同时，也遵循开源世界的游戏规则，更好地融入其中。比如在2022年7月，极氪汽车成立了自己的OSPO，取名为极氪开源合规审查小组。在同期，长安也正在考察开源软件办公室的作用和意义，最终还是以知识产权相关部门为驱动，在合规上进行把关。
 
 ### 4.2.2 问题、机遇与挑战
 
@@ -134,7 +134,7 @@
 
 ##### 美国：备忘录（M-22-18）《通过安全的软件开发实践增强软件供应链的安全性》
 
-2022年9月14日，美国总统办公室签发了备忘录（M-22-18）《通过安全的软件开发实践增强软件供应链的安全性》[1]。基于2014年《联邦信息安全现代化法案（FISMA）》和2021年总统行政命令（EO 14028）《提高国家网络安全》[2]的要求和授权，该备忘录要求每个联邦机构在机构的信息系统上使用第三方软件或以其他方式使用第三方软件影响机构的信息时，遵守NIST指南和任何后续更新。其中，“NIST指南”是指美国国家标准和技术研究所（NIST）2022年发布的（SP 800-218）《安全的软件开发框架（SSDF）》[3]（1.1版）和《软件供应链安全指南》[4]两个文档，用以确定增强软件供应链安全性的实践。
+2022年9月14日，美国总统办公室签发了备忘录（M-22-18）《通过安全的软件开发实践增强软件供应链的安全性》。基于2014年《联邦信息安全现代化法案（FISMA）》和2021年总统行政命令（EO 14028）《提高国家网络安全》的要求和授权，该备忘录要求每个联邦机构在机构的信息系统上使用第三方软件或以其他方式使用第三方软件影响机构的信息时，遵守NIST指南和任何后续更新。其中，“NIST指南”是指美国国家标准和技术研究所（NIST）2022年发布的（SP 800-218）《安全的软件开发框架（SSDF）》（1.1版）和《软件供应链安全指南》两个文档，用以确定增强软件供应链安全性的实践。
 
 如NIST指南中所述，联邦机构只能使用那些能够证明遵守政府规定的安全的软件开发实践的软件生产商提供的软件。各联邦机构必须获得所有本机构使用的该备忘录要求的第三方软件的证明，即NIST指南所述的需要软件生产商提供的“符合性声明”（conformance statement）。这些要求适用于联邦机构对该备忘录生效日期后开发的软件的使用，以及对该备忘录生效日期后通过重大版本变更修改的现有软件的使用。该备忘录中的术语“软件”包括固件、操作系统、应用程序和应用服务（例如基于云的软件），以及包含软件的产品。
 
@@ -145,7 +145,7 @@
 1. 软件生产商的名称；
 2. 对声明所指的一种或多种产品的描述（最好集中在公司或产品线层面，包括销售给联邦机构的所有未分类产品）；
 3. 证明软件生产商遵循标准自我证明表格中列举的安全开发实践和任务的声明；
-4. 自我证明是所需的最低级别；但是，根据备忘录（M-21-30）《通过增强的安全措施保护关键软件》[1]中的界定，由于所采购的服务或产品的关键性，机构可以做出基于风险的决定，即需要进行第三方评估（第三方评估组织需要经FedRAMP或联邦机构认证批准）。
+4. 自我证明是所需的最低级别；但是，根据备忘录（M-21-30）《通过增强的安全措施保护关键软件》中的界定，由于所采购的服务或产品的关键性，机构可以做出基于风险的决定，即需要进行第三方评估（第三方评估组织需要经FedRAMP或联邦机构认证批准）。
 
 此外，对照EO 14028的要求，NIST指南中也对符合性声明给出了更为详细的实践参考，主要涉及组织准备（PO）、软件保护（PS）、安全软件生产（PW）、漏洞应对（RV）四个方面。
 
@@ -161,7 +161,7 @@
 
 该定义适用于为信息系统购买或在信息系统中部署并用于操作目的的所有形式的软件（例如，独立软件、特定设备或硬件组件的集成软件、基于云的软件）。
 
-根据备忘录的要求，对于“关键软件”，除了需要提供第三方评估证明外，还需要提供软件材料清单（SBOM）。受EO 14028的指示，美国商务部与国家电信和信息管理局（NTIA）在2021年发布报告《软件材料清单（SBOM）的最低要素》[2]，对SBOM的要求进行了详细的说明。在该报告中，SBOM的最低要素被概括为三个方面：
+根据备忘录的要求，对于“关键软件”，除了需要提供第三方评估证明外，还需要提供软件材料清单（SBOM）。受EO 14028的指示，美国商务部与国家电信和信息管理局（NTIA）在2021年发布报告《软件材料清单（SBOM）的最低要素》，对SBOM的要求进行了详细的说明。在该报告中，SBOM的最低要素被概括为三个方面：
 
 <table>
     <tr>
@@ -184,16 +184,16 @@
 	
 ##### 欧盟：提案《关于具有数字元素的产品的横向网络安全要求》（《网络弹性法案》）
 
-目前生效的相关欧盟立法，包括从不同角度处理与网络安全相关的某些方面问题的规则，例如改善数字供应链安全的措施，但缺少横向的联盟监管框架为所有具有数字元素的产品确立全面的网络安全要求，也没有解决非嵌入式软件的网络安全问题。2022年9月15日，欧盟发布了提案《关于具有数字元素的产品的横向网络安全要求》，即《网络弹性法案》（Cyber Resilience Act）[1]，从而为具有数字元素的产品投放欧盟市场的基本网络安全要求制定一个统一的法律框架，并消除商品自由流动的障碍。
+目前生效的相关欧盟立法，包括从不同角度处理与网络安全相关的某些方面问题的规则，例如改善数字供应链安全的措施，但缺少横向的联盟监管框架为所有具有数字元素的产品确立全面的网络安全要求，也没有解决非嵌入式软件的网络安全问题。2022年9月15日，欧盟发布了提案《关于具有数字元素的产品的横向网络安全要求》，即《网络弹性法案》（Cyber Resilience Act），从而为具有数字元素的产品投放欧盟市场的基本网络安全要求制定一个统一的法律框架，并消除商品自由流动的障碍。
 
 该法案主要规定了：
 
 1. 将具有数字元素的产品投放市场的规则，以确保此类产品的网络安全；
-2. 设计、开发和生产具有数字元素的产品的基本要求，以及经营商[2]在网络安全方面对这些产品的义务；
+2. 设计、开发和生产具有数字元素的产品的基本要求，以及经营商在网络安全方面对这些产品的义务；
 3. 制造商为确保具有数字元素的产品在整个生命周期中的网络安全而制定的漏洞处理流程的基本要求，以及经营商在这些流程中的义务；
 4. 市场监督规则以及上述规则和要求的执行。
 
-该法案适用于具有数字元素的产品，其预期或可合理预见的用途包括与设备或网络的直接或间接的逻辑或物理的数据连接。其中，“具有数字元素的产品”是指任何软件或硬件产品及其远程数据处理[3]解决方案，包括单独投放市场的软件或硬件组件。此外，关于网络和信息系统安全的指令（EU）2016/1148（NIS指令）修订产生的指令NIS2，将确保对于作为服务提供的软件（软件即服务）的设计、开发和漏洞处理，也实施类似于《网络弹性法案》的基本网络安全要求的技术规范和措施。
+该法案适用于具有数字元素的产品，其预期或可合理预见的用途包括与设备或网络的直接或间接的逻辑或物理的数据连接。其中，“具有数字元素的产品”是指任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件。此外，关于网络和信息系统安全的指令（EU）2016/1148（NIS指令）修订产生的指令NIS2，将确保对于作为服务提供的软件（软件即服务）的设计、开发和漏洞处理，也实施类似于《网络弹性法案》的基本网络安全要求的技术规范和措施。
 
 ![](https://img-blog.csdnimg.cn/6a9568bdefb847059ec6d043c3cdca92.png#pic_center)
 
@@ -246,25 +246,15 @@ GPT(Generative Pre-trainedTransformer))技术在多个车企内部的SOA中均
 
 底层系统的兼容性，以及外部工具软件的硬件清单，其实就是汽车供应链角度的朋友圈，国内鲜有企业能够参与决策，需要通过底层系统的开源，构建和发出可控供应链体系的声音。另外，在功能安全角度，车用系统已经发生了架构上很大的变革，但是现在的判断标准还停留在几年前。我们可组织产业内的企业共建，在国际汽车供应链体系内发出声音，也通过生态企业的广泛应用，形成事实标准，推进团标、国际标准的更新迭代。
 
-参考文献：
-
-- https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
-- https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf
-- https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act https://csrc.nist.gov/Projects/ssdf
-- https://www.nist.gov/system/files/documents/2022/02/04/software-supply-chain-security-guidance-under-EO-14028-section-4e.pdf
-- https://www.whitehouse.gov/wp-content/uploads/2021/08/M-21-30.pdf
-
 ## 4.3 开源在工业互联网的应用
 
-> 作者：郑伟波，浪潮国际CTO、开放原子基金会TOC副主席
-
 ### 4.3.1 2022-2023年工业互联网开源发展现状
 
 工业互联网自2017年上升为国家战略以来，在政策与市场双轮驱动下，呈现快速发展态势，国家级双跨平台从最初的10家已经发展到29家，面向行业和专业领域的工业互联网平台更是达到几百家，体系架构也从1.0进化到2.0，功能视图体系架构如下：
 
 ![](https://img-blog.csdnimg.cn/3d95b467bb0f4997b400b60420d57795.png#pic_center)
 
-图：工业互联网功能视图平台体系框架
+<center>工业互联网功能视图平台体系框架</center>
 
 工业互联网高速发展，部分功劳应归功于开源软硬件的助力。目前，工业互联网通用技术领域开源项目较多、成熟度相对高，但不可忽视的是，深入到OT层、传统制造领域，开源项目相对少、成熟度也较低，且核心开源项目以国外为主。推动开源开放技术体系，对加快我国工业互联网发展具有重大意义。近年来，我国也涌现了一批优秀的工业互联网开源项目，整体呈增长态势。
 
@@ -306,13 +296,13 @@ GPT(Generative Pre-trainedTransformer))技术在多个车企内部的SOA中均
 
 #### 国内积极探索工业模型开源开放，促进工业知识的沉淀、复用和迭代创新
 
-工业互联网的核心资源是工业模型，即工业知识的模型化、标准化表达。工业模型的跨系统流转、交付、应用，极大的促进了工业知识的共享与发展。统一建模语言具有领域无关的通用模型描述能力，基于统一建模语言的方法能够实现复杂系统的不同领域子系统模型间的无缝集成。欧洲仿真协会EUROSIM于1996年推出多领域统一建模语言Modelica，经过多年发展，目前Modelica标准库已经包括了不同物理领域的1600多个模型组件，基于Modelica发展出来的商业软件、开源软件也非常多，Modelica模型可以在这些软件中自由流转。除了Modelica外，工业界大部分成熟的建模工具都建有自己的模型库，例如Simulink 建模工具在产业界、学术界被广泛应用，自带对象模型库、算法库、控制系统、环境模型、基础元器件模型库等，但这些模型并不是免费开放的。国内工业互联网发展始终提倡加速工业知识的沉淀、复用和迭代创新，其中，同元软控通过打造工业知识模型互联平台MoHub，构建了一个覆盖函数库、模型库、APP库服务的模型社区，开发者以开源方式分享到社区的模型库，支持海量用户参与到工业知识模型的开发、分享、创新应用过程。
+工业互联网的核心资源是工业模型，即工业知识的模型化、标准化表达。工业模型的跨系统流转、交付、应用，极大的促进了工业知识的共享与发展。统一建模语言具有领域无关的通用模型描述能力，基于统一建模语言的方法能够实现复杂系统的不同领域子系统模型间的无缝集成。欧洲仿真协会EUROSIM于1996年推出多领域统一建模语言Modelica，经过多年发展，目前Modelica标准库已经包括了不同物理领域的1600多个模型组件，基于Modelica发展出来的商业软件、开源软件也非常多，Modelica模型可以在这些软件中自由流转。除了Modelica外，工业界大部分成熟的建模工具都建有自己的模型库，例如Simulink 建模工具在产业界、学术界被广泛应用，自带对象模型库、算法库、控制系统、环境模型、基础元器件模型库等，但这些模型并不是免费开放的。国内工业互联网发展始终提倡加速工业知识的沉淀、复用和迭代创新，其中，同元软控通过打造工业知识模型互联平台MoHub，构建了一个覆盖函数库、模型库、App库服务的模型社区，开发者以开源方式分享到社区的模型库，支持海量用户参与到工业知识模型的开发、分享、创新应用过程。
 
-#### 工业APP基于应用商店模式加快开源开放步伐
+#### 工业App基于应用商店模式加快开源开放步伐
 
-工业APP是基于工业互联网，承载工业知识和经验，满足特定需求的工业应用软件，本质是企业知识和技术诀窍的模型化、模块化、标准化和软件化。开发者社区是开发工业APP的主要推动力，平台和微服务框架降低了工业APP开发的难度和门槛，大量的开发者都可以参与开发工业APP。面向特定工业应用场景，激发全社会资源形成生态，推动工业技术、经验、知识和最佳实践的模型化、软件化和封装，形成海量工业APP。
+工业App是基于工业互联网，承载工业知识和经验，满足特定需求的工业应用软件，本质是企业知识和技术诀窍的模型化、模块化、标准化和软件化。开发者社区是开发工业App的主要推动力，平台和微服务框架降低了工业App开发的难度和门槛，大量的开发者都可以参与开发工业App。面向特定工业应用场景，激发全社会资源形成生态，推动工业技术、经验、知识和最佳实践的模型化、软件化和封装，形成海量工业App。
 
-应用商店是向企业用户提供的工业APP分发渠道，是促进工业APP应用生态繁荣发展的有力支撑。在应用商店模式下，来自不同制造商的工业APP可以跨平台运行，相互交互，具有一致的语义，按照共同的标准工作，并且对所有社区开发者开放。目前开发工业APP的核心技术主要由国外公司把控，国内整体开源产品较弱。开源可成为颠覆传统工业APP的重要武器，国内企业开始布局探索，开源意识逐渐增强，传统优势企业和创新性企业加快开源布局。在应用商店模式下形成开放的应用程序生态系统后，工业APP领域会向传统PC软件市场一样取得蓬勃发展。
+应用商店是向企业用户提供的工业App分发渠道，是促进工业App应用生态繁荣发展的有力支撑。在应用商店模式下，来自不同制造商的工业App可以跨平台运行，相互交互，具有一致的语义，按照共同的标准工作，并且对所有社区开发者开放。目前开发工业App的核心技术主要由国外公司把控，国内整体开源产品较弱。开源可成为颠覆传统工业App的重要武器，国内企业开始布局探索，开源意识逐渐增强，传统优势企业和创新性企业加快开源布局。在应用商店模式下形成开放的应用程序生态系统后，工业App领域会向传统PC软件市场一样取得蓬勃发展。
 
 #### 开源工业软件成果丰富，国内积极探索破局之路
 
@@ -348,7 +338,7 @@ GPT(Generative Pre-trainedTransformer))技术在多个车企内部的SOA中均
 
 ### 4.3.3 工业互联网开源发展前景与趋势
 
-当前，开源已成为工业互联网领域的重要开发模式，工业互联网各技术领域越来越多的采用开源代码，自身的开源化趋势也越来越明显。工业互联网开源正在向垂直行业解决方案、海量工业APP、工业技术为主的OT层渗透。
+当前，开源已成为工业互联网领域的重要开发模式，工业互联网各技术领域越来越多的采用开源代码，自身的开源化趋势也越来越明显。工业互联网开源正在向垂直行业解决方案、海量工业App、工业技术为主的OT层渗透。
 
 #### 工业互联网依托开源社区与生态发展垂直行业解决方案
 
@@ -356,11 +346,11 @@ GPT(Generative Pre-trainedTransformer))技术在多个车企内部的SOA中均
 
 开源社区可以使跨地区、跨领域的专业人才之间通过开放式的创新生态实现深度交互与智慧共享，让更多的人参与到垂直行业解决方案构建中，从而提高项目的数量和质量。面向垂直行业的工业模型、插件类开源项目将逐渐增多。
 
-#### 工业APP需求繁杂，低代码工具开源能够加速创新效率
+#### 工业App需求繁杂，低代码工具开源能够加速创新效率
 
-工业APP涉及研发设计、生产制造、运维服务和经营管理等不同领域与环节，个性化强，对象众多，关系非常复杂，体系庞大且需求繁杂。低代码开发工具沉淀过去十几年策划、开发、应用工业APP的经验，参考工业产品制造模式形成一些典型模型和架构模式，提供低门槛应对复杂需求的开发方案。
+工业App涉及研发设计、生产制造、运维服务和经营管理等不同领域与环节，个性化强，对象众多，关系非常复杂，体系庞大且需求繁杂。低代码开发工具沉淀过去十几年策划、开发、应用工业App的经验，参考工业产品制造模式形成一些典型模型和架构模式，提供低门槛应对复杂需求的开发方案。
 
-低代码开发工具通过生态联盟，由多家企业专注其擅长的部分，彼此协同发展，可以不断积累工业APP模式，构建领先的产业集群。开源是建立这个生态联盟的有效方式，通过开放源代码，聚集各个行业工业APP的领先厂商，彼此打通、串联，共同推动沉淀工业软件、智慧城市、智能制造等领域的低代码模型，应对繁杂的工业APP需求，提供低门槛开发方案，加速工业互联网领域创新效率。
+低代码开发工具通过生态联盟，由多家企业专注其擅长的部分，彼此协同发展，可以不断积累工业App模式，构建领先的产业集群。开源是建立这个生态联盟的有效方式，通过开放源代码，聚集各个行业工业App的领先厂商，彼此打通、串联，共同推动沉淀工业软件、智慧城市、智能制造等领域的低代码模型，应对繁杂的工业App需求，提供低门槛开发方案，加速工业互联网领域创新效率。
 
 #### 工业互联网技术开源由IT层迈向OT层
 
@@ -382,21 +372,19 @@ IT层主要涉及计算机、互联网、应用软件等，其软件系统相互
 
 #### 开源社区倡导开源文化，激发工业领域的开源氛围
 
-T层和OT层的开源空间都很广阔，但是由于两者的应用场景和技术需求不同，开源社区的重心和方向也有所不同。在IT层，由于其应用范围广泛，开源也更加活跃。比如，开放原子开源基金会、Linux、Docker、Kubernetes等受众广的基金会，以及Apache 基金会下的Apache Hadoop、Apache Spark项目等大型开源项目。而在OT层，出于优先保护商业利益，以及应用场景和技术需求相对专业等原因，导致整个领域的对开源的认识和开源氛围不足。
+T层和OT层的开源空间都很广阔，但是由于两者的应用场景和技术需求不同，开源社区的重心和方向也有所不同。在IT层，由于其应用范围广泛，开源也更加活跃。比如，开放原子开源基金会、Linux、Docker、Kubernetes等受众广的基金会，以及Apache基金会下的Apache Hadoop、Apache Spark项目等大型开源项目。而在OT层，出于优先保护商业利益，以及应用场景和技术需求相对专业等原因，导致整个领域的对开源的认识和开源氛围不足。
 
 未来，工业互联网各方力量应积极利用开源社区的资源和平台，重点推动工业互联网领域OT层开源活动的普及和推广，为工业企业提供更好的开源解决方案和技术支持。其次，注重高校活动实践，开展校园行、组织开源软件开发比赛、提供技术讲座等活动，提高对开源文化的认知和参与度，进而推动整个领域的开源氛围。
 
 ## 4.4 开源在风洞等场景的应用
 
-> 作者：李光杰，红山开源平台技术组负责人
-
-计算流体力学（CFD,Computational Fluid Dynamics）发展对开源生态建设有重要影响。CDF兴起于20世纪60年代，是流体力学与计算机科学相互融合的新兴交叉学科，主要通过计算机和数值方法来求解流体力学的控制方程，对流体力学问题进行模拟和分析。90年代初期，随着计算机性能的优化提升，加速促进了CFD仿真软件在航天设计、化工处理、半导体等重要工业领域应用。当前，以Fluent（美国ANSYS企业主导研发）为代表的商用CFD仿真软件已得到广泛应用，在国际市场的占有率高达70%。为打破商用CFD仿真软件的垄断，由英国帝国理工大学Gosman团队编写，面向公众发行的开源流体学仿真软件OpenFoam应运而生，为用户提供了可扩展的数值模拟方法和求解器，进一步丰富了软件业态。
+计算流体力学（CFD，Computational Fluid Dynamics）发展对开源生态建设有重要影响。CFD兴起于20世纪60年代，是流体力学与计算机科学相互融合的新兴交叉学科，主要通过计算机和数值方法来求解流体力学的控制方程，对流体力学问题进行模拟和分析。90年代初期，随着计算机性能的优化提升，加速促进了CFD仿真软件在航天设计、化工处理、半导体等重要工业领域应用。当前，以Fluent（美国ANSYS企业主导研发）为代表的商用CFD仿真软件已得到广泛应用，在国际市场的占有率高达70%。为打破商用CFD仿真软件的垄断，由英国帝国理工大学Gosman团队编写，面向公众发行的开源流体学仿真软件OpenFoam应运而生，为用户提供了可扩展的数值模拟方法和求解器，进一步丰富了软件业态。
 
 而目前，在CFD仿真软件的商业化和开源应用方面，我国头部研发力量薄弱，对外依附性较强。为提升本土工业应用软件的精确度、稳定性和计算效率，国产CFD软件选择拥抱开源，通过高效的在线协同机制，汇聚广大使用者和开发者群体，利用信息化创作环境和大规模在线协同开发工具实现技术协同攻关，共同打造国产自主CFD软件生态。 
 
 ### 4.4.1 风雷软件
 
-风雷开源项目即风雷软件是中国空气动力研究与发展中心（CARDC）研发的面向流体工程的开源混合CFD平台。平台的建立遵循面向对象的设计理念，采用C++语言编程。风雷软件为了适应结构网格、非结构网格、混合网格、重叠网格等不同网格的计算，设计了具有良好通用性、可扩展性的体系结构和数据结构，实现了在同一个软件平台上，同时兼容结构求解器和非结构求解器。两种求解器可独立运行，也能耦合计算，即在流场中同时含有结构网格和非结构网格的情况下，在结构网格上调用结构求解器，在非结构网格上调用非结构求解器。风雷软件作为目前全球唯一同时兼容结构/非结构的开源平台，其计算范围覆盖低速、亚跨声速和高超声速。开发过程中，以现代软件工程方法为指导，结合CFD行业特点，设计了面向下一代的软件体系结构。目前，软件具备的主要功能点如下图所示。同时，风雷软件也提供常用前、后置软件接口，如Gridgen、Pointwise、ICEM-CFD、FieldView、Tecplot等。
+风雷开源项目即风雷软件是中国空气动力研究与发展中心（CARDC）研发的面向流体工程的开源混合CFD平台。平台的建立遵循面向对象的设计理念，采用C++语言编程。风雷软件为了适应结构网格、非结构网格、混合网格、重叠网格等不同网格的计算，设计了具有良好通用性、可扩展性的体系结构和数据结构，实现了在同一个软件平台上，同时兼容结构求解器和非结构求解器。两种求解器可独立运行，也能耦合计算，即在流场中同时含有结构网格和非结构网格的情况下，在结构网格上调用结构求解器，在非结构网格上调用非结构求解器。风雷软件作为目前全球唯一同时兼容结构/非结构的开源软件，其计算范围覆盖低速、亚跨声速和高超声速。开发过程中，以现代软件工程方法为指导，结合CFD行业特点，设计了面向下一代的软件体系结构。目前，软件具备的主要功能点如下图所示。同时，风雷软件也提供常用前、后置软件接口，如Gridgen、Pointwise、ICEM-CFD、FieldView、Tecplot等。
 
 ![](https://img-blog.csdnimg.cn/b45ad0af7a88461a8e296bc3e600113e.png#pic_center)
  
@@ -404,13 +392,13 @@ T层和OT层的开源空间都很广阔，但是由于两者的应用场景和
 
 ![](RANS_LES自适应湍流模拟.gif)
 
-RANS/LES自适应湍流模拟
+<center>RANS/LES自适应湍流模拟</center>
 
 ![](https://img-blog.csdnimg.cn/1628b09393da4c0bba066dbe4f7cdf01.png#pic_center)
 
-GPU并行计算
+<center>GPU并行计算</center>
 
-2016年4月，风雷软件面向全国免费发布，迄今为止，已有超过100家单位、1000人次申请下载使用；2020年7月，风雷软件面向“NNW项目”参研单位开源，行业内代码开源；2020年12月中旬，风雷软件正式面向全国用户开源发布。截止目前，风雷软件进行了5次版本更新，累计开源新功能37项，红山开源社区fork总数达633次，注册用户970余人，代码提交360次，收集国内用户意见反馈200余条，对其中符合风雷软件发展客观需要，且呼声较高的功能进行了技术突破与功能更新。在国内开源生态方面，2021年7月28日至30日，第2期国家数值风洞风雷开源软件暑期研讨班在线举办。会议采用线上直播方式，共685人（账号数）参会。2022年7月25日至29日，为期一周的国家数值风洞（NNW）风雷软件暑期研讨班（第3期）在四川绵阳成功举办。本次研讨班采用线上线下相结合的方式，清华大学、北京航空航天大学、北京理工大学、西安交通大学、西北工业大学、华中科技大学、国防科技大学、中山大学、沈阳航空航天大学、西北核技术研究院等24家单位，共计98人参与现场研讨，500余人（账号数）参与线上讨论。2022年7月，由中国空气动力研究与发展中心计算空气动力研究所组织的“国家数值风洞自主软件基础理论与工程应用精品系列课程进校园”活动盛大启幕，活动前两站为四川大学、厦门大学。风雷软件在两所高校开展了为期三天的培训课程，共计120名学员选修参与。2022年10月，风雷开源项目基于红山平台发布创客任务“悬赏”项目功能、性能开发问题解决方案，进一步推进CFD良性开源生态建设，激发人才自主创新意识。
+2016年4月，风雷软件面向全国免费发布，迄今为止，已有超过100家单位、1000人次申请下载使用；2020年7月，风雷软件面向“NNW项目”参研单位开源，行业内代码开源；2020年12月中旬，风雷软件正式面向全国用户开源发布。截止目前，风雷软件进行了5次版本更新，累计开源新功能37项，红山开源社区fork总数达633次，注册用户970余人，代码提交360次，收集国内用户意见反馈200余条，对其中符合风雷软件发展客观需要，且呼声较高的功能进行了技术突破与功能更新。在国内开源生态方面，2021年7月28日至30日，第2期国家数值风洞风雷开源软件暑期研讨班在线举办。会议采用线上直播方式，共685人（账号数）参会。2022年7月25日至29日，为期一周的国家数值风洞（NNW）风雷软件暑期研讨班（第3期）在四川绵阳成功举办。2022年7月，由中国空气动力研究与发展中心计算空气动力研究所组织的“国家数值风洞自主软件基础理论与工程应用精品系列课程进校园”活动盛大启幕，活动前两站为四川大学、厦门大学。风雷软件在两所高校开展了为期三天的培训课程，共计120名学员选修参与。2022年10月，风雷开源项目基于红山平台发布创客任务“悬赏”项目功能、性能开发问题解决方案，进一步推进CFD良性开源生态建设，激发人才自主创新意识。
 
 风雷开源项目成立后，虽然构建了较为完整的社区生态，取得了一系列研究与应用成果，但仍面临切乎自身发展的问题与挑战，如：开发者、协作者知识产权保护措施不完备，部分用户自主创新意识淡薄，软件市场化可持续发展路线待探索等。因此，风雷开源项目将不断推进以下研究工作，包括：