全球开源生态稳中向好，仍需提升安全治理

数字化时代，开源已逐渐成为软件开发的重要模式，已成为赋能数字经济高质量发展的原动力，是推动数字技术创新的重要抓手，对于技术创新、产业开放、经济提振、全球可持续发展具有重要价值。与此同时，新一代人工智能、大数据、云计算、工业互联网、区块链等技术领域正结合开源，呈现出技术与产业协同共进共融的态势。那么，目前开源究竟进展如何，下一代开源具备哪些特性，开源又面临哪些风险，在近日举办的2023 OSCAR开源产业大会上，我们得到了一些答案。

全球开源生态稳中向好，持续突破圈层向边界渗透

毫无疑问，开源已成为赋能数字经济高质量发展的原动力。中国信息通信研究院云计算与大数据研究所副所长栗蔚表示，在过去一年，全球开源生态稳中向好，全球开源生态持续突破圈层并实现边界渗透，形成项目、技术、区域、社会四个层面的跨越式发展趋势，有力激发社会科技创新突破，有效提升社会经济体量，帮助全社会形成多边而紧密的全球化合作分工格局，全面助力数字社会发展。

在项目层面，开源生态逆势上扬。全球开源软件项目数量增速逆势上扬，2022年GitHub托管仓库已达3.5亿，新增仓库9000万个，增长率达33%，近三年内首次增速提升。同时，全球项目方面开源生态异常活跃，生态规模持续扩大。此外，开源软件项目“马太效应”凸显，头部项目“断层式领先”。值得一提的是，开源工具和平台融合前沿技术，变革开源开发过程，如GitHub推出Copilot X计划，将chatGPT-4引入IDE，使得开发者在整个开发流程中获得更多全新体验，如语音生成代码、自动发现bug、自动解释输入代码、自动完善Pull Request等变革性开发功能。

在技术层面，开源生态具备差异化发展路径。开源已成为全球多技术领域创新主流模式，2022年在全球核心技术领域生态体系中，大前端领域开源软件项目占比高达97%，人工智能、区块链、操作系统等领域开源软件项目占比也超过80%，开发工具和环境、云计算领域开源软件项目占比超60%。开源逐渐改变软件领域的竞争方式和市场格局，但在主流技术领域，开源生态发展阶段差异较大，各自优势明显。

在区域层面，开源热点地区发展成熟。目前，美欧仍是开源主导力量，引领开源生态高速增长。其中，美国开源项目全球占比超四成，是开源软件项目主要供应大国。根据中国信息通信研究院统计分析，截至2023年2月，在全球活跃度排名前100的开源软件项目中，美国开源软件项目占比45%，牢据第一。中国开源软件项目占比17%，排名第二。此外，全球新兴经济体国家纷纷投入开源生态建设。

在社会层面，开源生态公共价值凸显。开源模式助推数字公共产品成为数字时代社会公共基础设施，各国纷纷出台相关政策以在未来竞争中抢占先机。

开源从通用向场景化转化 更需与现实世界适配

“如今开源已取得巨大成功。从生态规模看，全球开源生态成熟繁荣，全球开源软件项目高速增长，覆盖当前主流技术领域，全球开源贡献者储备规模庞大。从行业应用看，全球行业开源逐步兴起，各行业应用开源模式建立产业开放供应链，提升生产效能。” 中国信通院云计算与大数据研究所所长何宝宏讲到。他表示，开源模式正在引领科技实现越来越多的突破。

近年来，开源的经典定义面临着新的挑战与重构，尤其是来自云计算、大数据、大模型和AIGC的挑战，让开源早已不在局限于通用领域，更多转向聚焦于数据、服务等场景化开源。随着大数据尤其是数据资产化，开放数据和数据流通成为一种新“开源”模式。数据通常是事实和信息的表达，而版权通常适用于原创创作的表达形式，版权通常不适用于数据资产。AI大模型涉及的开放许可证类型更为复杂。仅Hugging Face上开源的人工智能模型就超过28万，涉及66个开源协议。何宝宏指出，开放许可协议的基石可分为几个阶段：软件著作权—>著作权—>知识产权—>知识产权+。涉及到开放数据和开源大模型许可协议，更需要考虑使用场景、商业收益和科技伦理问题。

当软件从产品成为服务，当开放的对象从代码延展到数据和模型，当开放许可的法律基础从版权延展所有权，当代码生成主体从自然人的程序员延展到AIGC，当开源与现实中的法规制度、隐私保护和科技伦理日益密切时，下一代开源将更需要与现实世界适配。

开源软件促进会OSI（open source initiative）对于开源提出了十个条款，包括：自由再发布、源代码公开、允许派生作品、作者源代码完整性、不能歧视任何个人或团体、不能歧视任何领域、许可协议的发布、许可协议不能只针对某个产品、许可协议不能约束其他软件、许可协议必须独立于技术。目前，OSI已启动Open Source AI的定义讨论工作，定义了开放数据和人工智能系统的基本原则，涉及数据安全、版权所属、监管要求、道德伦理、责任认定等多个方面。

总体而言，何宝宏认为，下一代开源需要从两方面进行规范：一方面，开源应该与现实社会深度融合，遵守现实治理规则，如：监测统计、自律公约、责任边界、安全防护；另一方面，开源的发展也需要跟随社会长期性和周期性的发展规律。

开源风险日益复杂，治理体系有待完善

尽管开源有力激发了科技创新突破，构建了产业发展新格局，但开源安全、供应链、合规等风险在行业应用过程中日益复杂，企业治理现状差，60%的企业缺少开源治理规划或目标、53%的企业缺乏开源软件评估模式、60%的企业无开源合规管理流程。

栗蔚表示，当前，开源风险状况未见明显改善，仍需各行业高度重视。开源安全漏洞风险日益加剧，部分行业高风险漏洞修复紧迫性凸显；开源许可证风险问题显著，亟需提升开源使用者版权意识；软件供应关系日趋复杂多元，开源供应网络风险问题不断升级。因此，企业开源治理进入高速发展期，诸多领域仍待完善。例如：企业缺乏开源治理战略性规划和制度指导，内部存量软件管控力度不足；开源软件评估模式尚待完善，开源治理颗粒度仍需细化；企业开源合规管理能力相对薄弱，第三方软件管理有待规范等。

此外，数字公共产品的发展和使用面临多方面风险挑战，如：隐私和数据安全风险、数据质量和准确性风险、法律和道德风险、可持续性风险、社会影响风险，因此数字公共产品的风险治理需要多方参与和合作。通过多角度综合治理，能够推动数字公共产品的可持续发展实现社会利益最大化。

栗蔚指出，放眼未来，全球开源生态将呈现四大趋势：一是开源项目的繁荣发展将遵循技术螺旋发展的本质脉络；二是新技术应用将扩充软件开发方式，进而提升开源协作效率；三是行业开源将从开源软件应用到开源模式应用；四是开源治理落地将经历长周期发展，开源风险在集中暴露之后趋于平稳。

对于我国开源发展，栗蔚也提出了建议，项目运营方面，我国应通过大力发展多样化社区运营组织形式繁荣开源生态；基础设施方面，我国应不断提升基础设施生态影响力及安全保障能力，优化开源生态发展环境；风险治理方面，我国应加快以开源安全标准带动开源治理体系落地；行业应用方面，我国应以软件开源带动行业开源，形成全社会开源产业，提升开源生态价值；人才培养方面，我国应完善人才培育与激励机制，充分发挥个体的主观能动性，支撑开源生态建设。