开放开源开先河（四）

根据新思科技发布的《2021 开源安全与风险分析报告》显示，84％的开源代码库至少含有一个漏洞，近三年漏洞比例逐年增高，60％的已审核代码库中包含高风险漏洞。所有经过审计的营销科技类公司的代码库都包含开源，其中95％的营销科技代码库存在开源漏洞。97％的金融服务、金融科技行业代码库包含开源代码，其中超过60％的代码库存在漏洞。开源软件因其共享特性可能导致数据泄露风险，开源代码在拥有互操作性、无歧视性和透明性的同时，也存在着数据安全隐患。开源软件很多配置信息会涉及到账号密码，如果不对代码所携带的信息进行检查、评估和加密处理，一旦开发者出现疏忽没能及时处理这些敏感数据，可能会造成大量的用户信息随着代码的共享而泄露。开源软件知识产权风险问题相对专业和复杂，由于软件本身在受到知识产权保护时存在一定权利竞合而带来的专业性和复杂性，软件源代码可能同时存在多种权利类型，源代码可以作为计算机软件作品受到著作权保护，源代码实现的功能形成新的技术方案可以申请专利受到专利权保护，开源前如果源代码符合商业秘密保护要求可以受到反不正当竞争法保护，这就要求对开源软件知识产权问题进行多维度的综合分析。根据新思科技《2021开源安全与风险分析报告》统计，超过90％经审计的代码库中含有许可证冲突、自定义许可证或根本没有许可证的开源组件。2020年审计的代码库中，65％包含存在许可证冲突的开源组件，通常涉及“GNU通用公共许可证”；26％的代码库采用了没有许可证或定制许可证的开源代码。这三种问题可能导致侵权和其他法律风险，通常需要进行审慎评估。而且，企业对开源软件的管理能力有待加强。企业若想更有效率的使用开源软件，必须配备专业的软件管理与运维团队对开源软件进行需求响应和日常维护治理。大多数开源软件由于迭代频率快，且往往不存在专业的第三方技术支持，导致企业内部工作人员需要不断跟踪软件的版本迭代、规避潜在风险，进而大幅度增加开源软件运维工作量。所以在引入开源软件前，要进行引入评估工作，选取社区支持能力较强、具备第三方商业支持或企业内部具备运维能力的开源软件。
如何更好的规避风险，呼唤开源管理模式的创新。由于其涉及海外业务，对开源合规要求较高，头部科技品牌最早关注开源风险治理。OpenChain ISO、IEC 5230是开源许可证合规性的国际标准，作为Linux 基金会下的项目，其成员单位包括ARM、微软、谷歌、高通等各领域巨头。2020年OPPO宣布以白金会员加入OpenChain，也是国内首家加入该项目的白金会员。2021年华为以白金会员身份加入OpenChain项目，与高通、谷歌、西门子、丰田等20多个全球企业共同打造安全的开源软件供应链。探索通过开源模式吸引业界广泛参与、扩大软件应用规模、打造事实标准，以开源模式解决封闭架构下运维成本高、技术易过时等问题。从而尝试达到降低企业运维成本、延长技术寿命、主导技术路线的目的。
肩负上述种种责任使命，开放原子开源基金会应运而生。与排名全球前五的Apache、CNCF、Eclipse、 Linux、FSF基金会相比，仅仅2岁华诞的开放原子开源基金会，从提升我国对全球开源贡献的品牌使命，繁荣开源事业，共享开源价值的品牌愿景方面被寄以厚望。在紧扣开源主题，秉持国际视野，突出科技特色，促进业态繁荣，全面助力开源赋能数字经济高质量发展等维度进行创新实践，从0到1到N勾勒出更新更美的开源品牌。发出中国开源品牌最强音，塑造国之重器品牌形象。
产、学、研、用、官、媒等品牌次级杠杆分别从技术、政策、生态、产业等方面为塑造中国开源品牌铺平了道路。而产、学、研、用、官、媒既是品牌生态构建的依托和载体，也是科技品牌营销传播渠道扩张的依托和载体。秉持共创共建精神、建设开源生态、打造共享平台，是其发展的必经之路。面临技术的快速迭代和需求的日新月异，共同努力、共享信息的紧迫性显而易见，搭建和使用开源生态是一种加速专业知识价值化创造，避免基础错误发生的高效方式。开源生态平台将行业专家、各行业专业人员、开发者和科学家等聚集在一起的力量和潜力无限，通过各方能力和资源进行共享与优化配置，在机制的保障之下形成生态命运共同体，进行有机高效协作、发挥优势，实现新产品、新服务和新商业模式的价值创造，实现生态系统整体价值提升，并有效防范风险，实现共荣共赢。