隨著近些年開源技術(shù)的廣泛應(yīng)用,我國(guó)開源生態(tài)不斷發(fā)展壯大,企業(yè)在廣泛使用開源軟件的過程中逐步了解開源風(fēng)險(xiǎn),從而關(guān)注開源治理。與此同時(shí),市場(chǎng)上涌現(xiàn)了大量開源項(xiàng)目、開源治理方法和配套的開源治理工具。針對(duì)水平不一的市場(chǎng)參與者,中國(guó)信通院建立可信開源標(biāo)準(zhǔn)體系,并落地評(píng)估測(cè)試。對(duì)企業(yè)開源治理能力、開源項(xiàng)目合規(guī)性、開源社區(qū)成熟度、開源工具檢測(cè)能力、商業(yè)產(chǎn)品開源風(fēng)險(xiǎn)管理能力開展測(cè)評(píng),以幫助企業(yè)降低開源軟件的使用風(fēng)險(xiǎn),推動(dòng)建立可信開源生態(tài)。
2021年9月17日,中國(guó)信通院2021年最新可信開源評(píng)估結(jié)果在2021 OSCAR開源產(chǎn)業(yè)大會(huì)上正式公布!
可信開源治理能力
中國(guó)工商銀行股份有限公司、上海浦東發(fā)展銀行股份有限公司、招商銀行股份有限公司、中移信息技術(shù)有限公司
可信開源社區(qū)
Apache ShardingSphere、Rancher、TiDB、MOSN
可信開源項(xiàng)目
Apache ShardingSphere(版本號(hào):5.0.0-beta)
Apache APISIX(版本號(hào):2.8)
Apache Doris(版本號(hào):0.14)
EMQ X(版本號(hào):4.3.6)
OpenMLDB(版本號(hào):0.2.2)
RANCHER(版本號(hào):2.5.9)
優(yōu)麒麟(版本號(hào):20.04 LTS Pro)
Flomesh Pipy(版本號(hào):0.8.0-31)
Alluxio(版本號(hào):2.6.1)
CyberDog(版本號(hào):1.0.0.66)
Curve(版本號(hào):1.2.1-rc0)
首批可信開源供應(yīng)鏈-產(chǎn)品能力
日志易-日志易 V2.0
網(wǎng)易數(shù)帆-輕舟微服務(wù) 21.0.1 GA
可信開源治理工具
深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司 開源組件安全及合規(guī)管理平臺(tái)(本地部署版)
中國(guó)信通院累計(jì)完成46項(xiàng)可信開源評(píng)估
可信開源評(píng)估結(jié)果
可信開源治理
開源使用
中國(guó)工商銀行股份有限公司
中國(guó)農(nóng)業(yè)銀行股份有限公司
上海浦東發(fā)展銀行股份有限公司
中國(guó)太平洋保險(xiǎn)(集團(tuán))股份有限公司
中信銀行股份有限公司
招商銀行股份有限公司
中移信息技術(shù)有限公司
自發(fā)開源
騰訊科技(深圳)有限公司
可信開源供應(yīng)鏈
企業(yè)能力
中興通訊股份有限公司
北京小米移動(dòng)軟件有限公司
產(chǎn)品能力
中興T8000(版本:V4.00.10)
小米手機(jī)11 MIUI 12.5(版本:V12.5.6.0.RKBCNXM)
北京優(yōu)特捷信息技術(shù)有限公司-日志易 V2.0
杭州網(wǎng)易數(shù)帆科技有限公司-輕舟微服務(wù) 21.0.1 GA
可信開源社區(qū)
openEuler
openGauss
MindSpore
openLooKeng
TARS
騰訊藍(lán)盾平臺(tái)BK-CI
Apache ShardingSphere
RANCHER
TiDB
MOSN
可信開源項(xiàng)目
騰訊藍(lán)盾平臺(tái)BK-CI(版本:V1.3.0-rc.10)
TARS(版本:TarsJava v1.7.2)
Apache APISIX (版本:1.4)
Apache Pulsar(版本:2.6.0)
Apache Kylin(版本:3.1.0)
騰訊藍(lán)盾平臺(tái)BK-CI(版本:1.0.0-beta.15)
TARS(版本:2.1.0)
Apache ShardingSphere(版本:4.0.1)
Apache ShardingSphere(版本號(hào):5.0.0-beta)
Apache APISIX(版本號(hào):2.8)
Apache Doris(版本號(hào):0.14)
EMQ X(版本號(hào):4.3.6)
OpenMLDB(版本號(hào):0.2.2)
Rancher(版本號(hào):2.5.9)
優(yōu)麒麟(版本號(hào):20.04 LTS Pro)
Flomesh Pipy(版本號(hào):0.8.0-31)
Alluxio(版本號(hào):2.6.1)
CyberDog(版本號(hào):1.0.0.66)
Curve(版本號(hào):1.2.1-rc0)
可信開源治理工具
網(wǎng)神信息技術(shù)(北京)股份有限公司—奇安信開源衛(wèi)士(SaaS版+本地部署版)
蘇州棱鏡七彩信息科技有限公司—FossEye(SaaS版)+開源治理平臺(tái)(本地部署飯)
深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司—開源組件安全及合規(guī)管理平臺(tái)(SaaS版+本地部署版本)
北京安普諾信息技術(shù)有限公司—懸鏡源鑒開源威脅管控平臺(tái)(SaaS版+本地部署版本)
國(guó)家超級(jí)計(jì)算無(wú)錫中心—重睛鳥代碼審查系統(tǒng) SaaS 版
西安奇科厚德信息科技有限公司—Checode開源助手檢測(cè)系統(tǒng)(本地部署版)
新思科技(上海)有限公司—Synopsys BlackDuck(SaaS版+本地部署版)
杰蛙科技(北京)有限公司—JFrog X-Ray(本地部署版)
可信開源評(píng)估介紹
可信開源治理評(píng)估
面向用戶企業(yè):評(píng)估對(duì)象為使用開源軟件的企業(yè)用戶。開源軟件的廣泛使用也從安全和合規(guī)角度對(duì)企業(yè)的開源治理能力提出了更高的要求。針對(duì)企業(yè)用戶在使用開源軟件時(shí)面臨的風(fēng)險(xiǎn),重點(diǎn)考察企業(yè)在組織機(jī)制、管理制度、風(fēng)險(xiǎn)管理、軟件測(cè)評(píng)選型、技術(shù)使用管理、技術(shù)運(yùn)維管理、定期健康評(píng)估和軟件退出管理等方面的能力。根據(jù)企業(yè)開源治理水平實(shí)際所處的不同階段,將劃分為基礎(chǔ)級(jí)、增強(qiáng)級(jí)和先進(jìn)級(jí)。
面向自發(fā)開源企業(yè):評(píng)估對(duì)象為發(fā)起開源項(xiàng)目的企業(yè)。重點(diǎn)考察企業(yè)在開源治理組織架構(gòu)、開源項(xiàng)目管理制度、開源工具平臺(tái)建設(shè)、開源項(xiàng)目申請(qǐng)、開源項(xiàng)目審批、開源項(xiàng)目發(fā)布、開源項(xiàng)目運(yùn)行維護(hù)、開源社區(qū)管理、開源項(xiàng)目關(guān)閉九個(gè)方面的規(guī)范性。
可信開源供應(yīng)鏈評(píng)估
評(píng)估對(duì)象為基于開源軟件提供商業(yè)解決方案的軟件提供商或者提供云服務(wù)的云服務(wù)商,幫助軟件提供商和云服務(wù)商規(guī)范開源軟件引入、開發(fā)和交付流程和制度,幫助企業(yè)降低開源供應(yīng)鏈風(fēng)險(xiǎn)。
評(píng)估類型分為企業(yè)開源供應(yīng)鏈風(fēng)險(xiǎn)管理能力評(píng)估和產(chǎn)品開源供應(yīng)鏈風(fēng)險(xiǎn)管理能力評(píng)估。
可信開源社區(qū)評(píng)估
評(píng)估對(duì)象為開源社區(qū),開源社區(qū)=人+項(xiàng)目+基礎(chǔ)設(shè)施平臺(tái),一個(gè)好的開源社區(qū)有助于開源項(xiàng)目營(yíng)造良好的開源生態(tài)并擴(kuò)大影響力。可信開源社區(qū)評(píng)估從基礎(chǔ)設(shè)施、社區(qū)治理、社區(qū)運(yùn)營(yíng)與社區(qū)開發(fā)等角度,梳理開源社區(qū)應(yīng)關(guān)注的內(nèi)容及指標(biāo),聚焦于如何構(gòu)建活躍的開發(fā)者生態(tài)與可信的開源社區(qū)。
可信開源項(xiàng)目評(píng)估
評(píng)估對(duì)象為社區(qū)版的開源項(xiàng)目。重點(diǎn)考察開源項(xiàng)目在許可證合規(guī)性、軟件安全性、軟件活躍度、技術(shù)成熟度、服務(wù)支持力和軟件兼容性六個(gè)方面的能力,全面衡量社區(qū)版開源項(xiàng)目的健康程度,為開源項(xiàng)目使用方提供選型的參考依據(jù)。
可信開源治理工具評(píng)估
評(píng)估對(duì)象為具有開源組成和安全性分析功能的開源組件掃描工具對(duì)其基本能力,技術(shù)支持能力,易用性,部署能力,安全性,兼容性進(jìn)行評(píng)估,幫助規(guī)范和提升開源治理工具質(zhì)量,同時(shí)適用于采購(gòu)此類工具的開源用戶,幫助用戶企業(yè)采購(gòu)此類工具作為選型參考。
評(píng)估評(píng)估類型為SaaS版評(píng)估、本地部署版評(píng)估、SaaS版+本地部署版評(píng)估。
