近年来，开源生态发展势头迅猛，开源在推动技术创新、促进产业协作、加快各行业数字化进程方面发挥的作用日益凸显。作为推动建立中国可信开源生态的重要力量，中国信息通信研究院（以下简称“中国信通院”）始终活跃在开源领域一线。自2015年创建国内首个“可信开源”品牌以来，中国信通院在推动我国开源生态建设和开源技术发展上已全面开花，硕果累累。

深入研究开源生态，开展可信开源标准制定和评估

如今中国开源的发展速度已成为全球最快，为了推动我国开源生态的健康有序发展，中国信通院作为国家高端智库对开源生态展开了长期深入的研究。

为了帮助各类企业降低开源软件的使用风险，推动建立可信开源生态，中国信通院从2015年开始，以“公开+透明+合规+安全=可信任”为原则，依据开源生命周期建立了一系列可信开源标准体系，并落地评估测试，规范对外开源管理、开源使用管理、开源供应链管理，同时对开源项目、开源社区、SCA工具、开源代码库、企业内源等进行评价。

截至2023年9月，中国信通院已对国内多个行业头部企业、知名开源社区，以及明星开源项目、产品、工具等开展测试，共完成13类、119项可信开源评估。

经过严格的测试评估，中国信通院系统梳理出开源生态各方面产业发展特点：

在开源治理能力方面，一是部分企业对于开源软件治理战略重要性认识不足，开源治理缺乏客观性和系统性，在开源治理战略和人力投入方面有所欠缺。二是部分企业的开源软件管控力度有待提高。开源软件管理制度存在较大的缺陷，使用和评估开源软件缺乏规范性和持续性，可能导致不可控风险加剧。三是我国企业开源治理工作开展较晚，存量开源软件量级较大，因此对于存量软件的全量、周期性管理存在一定困难，可能导致潜在的安全风险和合规问题。四是我国企业对于第三方软件管理的重视程度存在不足，缺乏开源合规相关专业人员，难以规范审查第三方软件中专有代码、开源代码的交互方式是否合规。

在开源项目社区方面，我国开源项目社区主要存在三大特点：项目马太效应明显、项目可持续性发展前景广阔、项目可信性发展成熟。目前头部开源项目成熟度断层领先，大多开源项目与头部项目主要差距在于项目可持续性，未来会有更多的项目注重通过外部合作提升自身的流行度和参与度，同时大多开源项目可信性发展较好，普遍注重发展安全漏洞修复能力和法律合规能力。

在开源治理工具方面，主要存在功能全面、部署灵活性高、企业需求和工具功能仍有偏差等发展特点，如：大部分工具可嵌套研发运营流程各环节中进行自动化扫描，基本可以识别间接依赖组件；大部分工具可以提供SaaS部署或者本地部署，同时支持断网部署；缺乏与企业内部代码库、漏洞库打通功能，高并发处理能力弹性扩容实现困难。

在开源供应链方面，交付物管理体系较完善、开源安全管理体系较严格、人员开源合规意识逐步加强，但企业层面开源供应链管理制度有待加强。

目前，中国信通院仍在持续完善“可信开源”系列标准，力图打造中国开源领域业务覆盖范围最广、能力评估标准最全、行业认可度最高的标准体系，并进一步扩大评估测试范围，推动国内开源行业的规范化发展。

同时，中国信通院还将持续发布开源系列白皮书，围绕开源产业、生态、行业、社区、技术、安全合规、自研水平等多个层面，梳理开源发展现状，探究开源发展路径，为国内开源发展提供有力参考。

推动行业生态圈建设，全面提升我国开源治理水平

作为开源生态的重要一环，好的开源社区有助于开源项目营造良好的开源生态并扩大影响力，通过“网络效应”营造完整的开源生态。

为了进一步推动我国可信开源生态建设，中国信通院已在云计算开源产业联盟指导下牵头成立多个垂直行业开源社区，包括：金融行业开源技术应用社区（FINOC）、通信行业开源社区（ICTOSC）、科技制造行业开源社区（TMOSC）、汽车行业开源社区（AOS）。一方面，围绕开源治理、开源技术进行产业研究及标准化梳理，解决各行业开源引入、开源安全可靠使用等问题；另一方面，搭建行业开源交流平台，推动行业整合优势资源和技术成果，共享开源经验，共同推动行业开源生态的健康发展。

同时，中国信通院进一步成立了云计算开源产业联盟可信开源社区共同体（TWOS），由众多开源项目和开源社区组成，旨在引导建立健康可信且可持续发展的开源社区，提供全套的开源风险监测与生态监测服务，并与国内外现有开源基金会工作形成有利互补。

与此同时，在国内开源组织的合规建设方面，中国信通院已联合企业用户、科研机构、法律专家筹备了“云计算开源产业联盟可信开源合规计划”，旨在凝聚各方力量，完善开源合规标准体系，输出开源合规建设经验，全面提升我国开源合规水平，为行业的发展提供强劲合力。在开源软件供应链的安全管理方面，中国信通院牵头成立了云计算开源产业联盟开源供应链安全共筑示范社区，旨在聚集重点行业开源安全人才，整合优质资源，完善开源安全标准体系，输出开源安全建设经验，全面提升我国开源安全水平，为行业的发展提供强劲合力。

构建全生命周期开源赋能体系，推进千行百业落地开源技术

针对我国多个行业开源能力有待提升的现状，中国信通院发布了可信开源赋能系列计划，致力于推动开源技术在传统行业的应用，进而助力行业技术创新与数字化转型。

其中，“企业赋能计划”通过构建开源培训、诊断、咨询、订阅、评估全生命周期赋能体系，帮助我国企业从“开源使用者”到“开源引领者”。

“项目赋能计划”通过行业社区推动重点领域开源项目运营。一方面，依托院金融行业开源技术应用社区、通信行业开源社区、科技制造行业开源社区，推动开源项目各行业应用需求调研，同时吸纳行业用户进入上游社区，实现开源项目的产业场景应用；另一方面，通过社区行业交流活动和社区案例集等多种形式形成开源项目的经验互通，帮助开源项目健康有序的发展。

针对知识产权问题复杂、开源风险突出、开源生态信息不全面等一系列问题，中国信通院推出了可信开源公共服务：一方面，持续更新开源项目全景图、开源供应商名录、开源许可证兼容性列表，为全行业普及可信开源知识；另一方面，推出可信开源公共平台，从“开源风险治理”和“开源生态监测”两大平台入手,持续对项目进行安全合规把控和生态数据监测，帮助企业检测开源风险,降低因使用开源而造成的违规现象,通过全方位的综合性开源治理平台为企业提供开源项目选型参考。

开展丰富开源活动，激发开源生态创新活力

随着开源生态的飞速发展，开源已不局限于技术本身，而是发展到社区、文化、商业等方方面面。中国信通院在推动国内开源生态有序发展的同时，也同样重视激发开源生态的创新活力。

目前，中国信通院举办的“OSCAR开源先锋日”、“OSCAR开源产业大会”已成为开源领域最具影响力的行业会议，通过解读可信开源最新标准、颁发最新评估结果、行业头部企业技术专家现场演讲等方式，为行业从业者搭建了近距离交流的平台。同时，中国信通院还推出了开源共读、可信开源人物专访等多种活动，将开源思想、知识和价值进一步向外界传播，为促进开源生态各方交流营造了良好的氛围。