隨著近些年開源技術的廣泛應用,我國開源生態不斷發展壯大,企業在廣泛使用開源軟件的過程中逐步了解開源風險,從而關注開源治理。與此同時,市場上涌現了大量開源項目、開源治理方法和配套的開源治理工具。針對水平不一的市場參與者,中國信通院建立可信開源標準體系,并落地評估測試。對企業開源治理能力、開源項目合規性、開源社區成熟度、開源工具檢測能力、商業產品開源風險管理能力開展測評,以幫助企業降低開源軟件的使用風險,推動建立可信開源生態。
2021年9月17日,中國信通院2021年最新可信開源評估結果在2021 OSCAR開源產業大會上正式公布!
可信開源治理能力
中國工商銀行股份有限公司、上海浦東發展銀行股份有限公司、招商銀行股份有限公司、中移信息技術有限公司
可信開源社區
Apache ShardingSphere、Rancher、TiDB、MOSN
可信開源項目
Apache ShardingSphere(版本號:5.0.0-beta)
Apache APISIX(版本號:2.8)
Apache Doris(版本號:0.14)
EMQ X(版本號:4.3.6)
OpenMLDB(版本號:0.2.2)
RANCHER(版本號:2.5.9)
優麒麟(版本號:20.04 LTS Pro)
Flomesh Pipy(版本號:0.8.0-31)
Alluxio(版本號:2.6.1)
CyberDog(版本號:1.0.0.66)
Curve(版本號:1.2.1-rc0)
首批可信開源供應鏈-產品能力
日志易-日志易 V2.0
網易數帆-輕舟微服務 21.0.1 GA
可信開源治理工具
深圳開源互聯網安全技術有限公司 開源組件安全及合規管理平臺(本地部署版)
中國信通院累計完成46項可信開源評估
可信開源評估結果
可信開源治理
開源使用
中國工商銀行股份有限公司
中國農業銀行股份有限公司
上海浦東發展銀行股份有限公司
中國太平洋保險(集團)股份有限公司
中信銀行股份有限公司
招商銀行股份有限公司
中移信息技術有限公司
自發開源
騰訊科技(深圳)有限公司
可信開源供應鏈
企業能力
中興通訊股份有限公司
北京小米移動軟件有限公司
產品能力
中興T8000(版本:V4.00.10)
小米手機11 MIUI 12.5(版本:V12.5.6.0.RKBCNXM)
北京優特捷信息技術有限公司-日志易 V2.0
杭州網易數帆科技有限公司-輕舟微服務 21.0.1 GA
可信開源社區
openEuler
openGauss
MindSpore
openLooKeng
TARS
騰訊藍盾平臺BK-CI
Apache ShardingSphere
RANCHER
TiDB
MOSN
可信開源項目
騰訊藍盾平臺BK-CI(版本:V1.3.0-rc.10)
TARS(版本:TarsJava v1.7.2)
Apache APISIX (版本:1.4)
Apache Pulsar(版本:2.6.0)
Apache Kylin(版本:3.1.0)
騰訊藍盾平臺BK-CI(版本:1.0.0-beta.15)
TARS(版本:2.1.0)
Apache ShardingSphere(版本:4.0.1)
Apache ShardingSphere(版本號:5.0.0-beta)
Apache APISIX(版本號:2.8)
Apache Doris(版本號:0.14)
EMQ X(版本號:4.3.6)
OpenMLDB(版本號:0.2.2)
Rancher(版本號:2.5.9)
優麒麟(版本號:20.04 LTS Pro)
Flomesh Pipy(版本號:0.8.0-31)
Alluxio(版本號:2.6.1)
CyberDog(版本號:1.0.0.66)
Curve(版本號:1.2.1-rc0)
可信開源治理工具
網神信息技術(北京)股份有限公司—奇安信開源衛士(SaaS版+本地部署版)
蘇州棱鏡七彩信息科技有限公司—FossEye(SaaS版)+開源治理平臺(本地部署飯)
深圳開源互聯網安全技術有限公司—開源組件安全及合規管理平臺(SaaS版+本地部署版本)
北京安普諾信息技術有限公司—懸鏡源鑒開源威脅管控平臺(SaaS版+本地部署版本)
國家超級計算無錫中心—重睛鳥代碼審查系統 SaaS 版
西安奇科厚德信息科技有限公司—Checode開源助手檢測系統(本地部署版)
新思科技(上海)有限公司—Synopsys BlackDuck(SaaS版+本地部署版)
杰蛙科技(北京)有限公司—JFrog X-Ray(本地部署版)
可信開源評估介紹
可信開源治理評估
面向用戶企業:評估對象為使用開源軟件的企業用戶。開源軟件的廣泛使用也從安全和合規角度對企業的開源治理能力提出了更高的要求。針對企業用戶在使用開源軟件時面臨的風險,重點考察企業在組織機制、管理制度、風險管理、軟件測評選型、技術使用管理、技術運維管理、定期健康評估和軟件退出管理等方面的能力。根據企業開源治理水平實際所處的不同階段,將劃分為基礎級、增強級和先進級。
面向自發開源企業:評估對象為發起開源項目的企業。重點考察企業在開源治理組織架構、開源項目管理制度、開源工具平臺建設、開源項目申請、開源項目審批、開源項目發布、開源項目運行維護、開源社區管理、開源項目關閉九個方面的規范性。
可信開源供應鏈評估
評估對象為基于開源軟件提供商業解決方案的軟件提供商或者提供云服務的云服務商,幫助軟件提供商和云服務商規范開源軟件引入、開發和交付流程和制度,幫助企業降低開源供應鏈風險。
評估類型分為企業開源供應鏈風險管理能力評估和產品開源供應鏈風險管理能力評估。
可信開源社區評估
評估對象為開源社區,開源社區=人+項目+基礎設施平臺,一個好的開源社區有助于開源項目營造良好的開源生態并擴大影響力。可信開源社區評估從基礎設施、社區治理、社區運營與社區開發等角度,梳理開源社區應關注的內容及指標,聚焦于如何構建活躍的開發者生態與可信的開源社區。
可信開源項目評估
評估對象為社區版的開源項目。重點考察開源項目在許可證合規性、軟件安全性、軟件活躍度、技術成熟度、服務支持力和軟件兼容性六個方面的能力,全面衡量社區版開源項目的健康程度,為開源項目使用方提供選型的參考依據。
可信開源治理工具評估
評估對象為具有開源組成和安全性分析功能的開源組件掃描工具對其基本能力,技術支持能力,易用性,部署能力,安全性,兼容性進行評估,幫助規范和提升開源治理工具質量,同時適用于采購此類工具的開源用戶,幫助用戶企業采購此類工具作為選型參考。
評估評估類型為SaaS版評估、本地部署版評估、SaaS版+本地部署版評估。
