版权声明 本白皮书版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本白皮书文字或者观点的， 应注明“来源：中国信息通信研究院”。违反上述声明者，本 院将追究其相关法律责任。 前 言 当前开源技术快速发展，在云计算、大数据、人工智能等领域逐 渐形成技术主流，开源技术已经成为企业构建信息系统的重要选择， 国内企业参与开源生态的热情度持续提升。开源一方面可以突破技术 壁垒，推动技术创新，另一方面也面临知识产权、安全、技术运维等 一系列与开源相关的风险问题。抓住开源技术的快速发展机遇，有必 要进一步健全开源生态、树立开源风险意识、加强开源治理，推动我 国开源产业健康快速发展。 《开源产业白皮书》首先通过调查问卷的形式梳理了开源软件市 场总体规模及应用现状，然后从知识产权及合规、安全、技术运维三 个角度分别对开源软件的风险进行调查分析，进一步总结开源产业发 展特点及趋势，最后结合当前现状给出了我国开源产业发展建议。 本白皮书采用电话访谈和在线调查相结合的方式，共回收有效问 卷 4,135 份，同时利用代码扫描工具对软件的组件、许可证、漏洞等 情况进行统计。在数据采集、代码扫描及编写过程中得到了 FOSSID 等 扫描工具和中国 IDC 圈的支持。 目 录 一、全球开源软件市场规模及应用现状.................................. 1 （一）开源产业链条逐渐形成.......................................... 1 （二）全球开源软件市场现状.......................................... 2 （三）我国开源技术市场应用现状...................................... 3 1、企业对开源技术的接受程度逐年增高 ............................. 3 2、开源解决方案是企业的重要关注点 ............................... 4 3、联合开发成为企业部署开源的主要选择 ........................... 6 4、企业应用开源技术仍面临众多挑战 ............................... 6 （四）我国云计算相关开源技术应用现状................................ 7 1、容器技术应用持续深化 ......................................... 7 2、虚拟化技术走向成熟期 ........................................ 10 3、微服务应用逐步落地 .......................................... 12 4、DevOps 进入实践阶段.......................................... 14 二、开源软件风险调查分析........................................... 15 （一）知识产权及合规风险........................................... 16 1、风险分析 .................................................... 16 2、调查结果 .................................................... 17 （二）安全风险..................................................... 22 1、风险分析 .................................................... 22 2、调查结果 .................................................... 23 三、我国开源产业发展特点及趋势..................................... 28 四、我国开源产业发展建议........................................... 29 附录：开源软件风险调查扫描软件清单................................. 30 一、全球开源软件市场规模及应用现状 （一）开源产业链条逐渐形成 开源即开放一类技术或一种产品的源代码，源数据，源资产，可 以是各行业的技术或产品，其范畴涵盖文化、产业、法律、技术等多 个社会维度。如果开放的是软件代码，一般被称作开源软件。开源经 过形成时期、古典时代、移动时代到云开源时代的不断发展，开源产 业链条已经逐渐形成，其中涉及的企业类型包括：自发开源企业、开 源产品企业和开源用户企业。 图 1 开源产业链条构成 自发开源企业 开源社区 开源产品企业 开源用户企业 自发开源企业指对开源社区做出贡献的企业，如将企业内已有代 码形成项目，公开发布于代码托管平台或捐赠给开源基金会，其代码 能够被公开获取。著名的开源项目如 Android、Linux、TensorFlow 等， 背后多为谷歌、微软等科技公司。近年来国内华为、腾讯、阿里等企 业均积极主动发起开源项目，主要集中在云计算、大数据、存储、运 维等领域，在国际上的影响力逐渐提升。 开源产品企业指基于社区版开源软件提供发行版售卖给开源用 户企业，或针对主流社区版开源软件提供服务（包括：软件选型咨询、 软件运维服务支持等）的企业。 开源用户企业指从开源社区获取开源软件或代码，用于自身信息 系统构建以辅助实现企业前台业务功能的机构，包括诸多传统行业， 1 如金融、电力、通信、能源等。据 Gartner 调查显示，99%的组织在 其 IT 系统中使用了开源软件，随着开源技术快速形成生态，企业用 户引入开源技术已成大势所趋。 （二）全球开源软件市场现状1 全球开源热度持续攀升。截至 2018 年，全球最大的代码托管平 台 GitHub 已有 3000 万开发人员，其中 2018 年的新用户数量超过了 前六年用户数之和；囊括 200 万家企业或组织，2018 年的组织数目 比去年增加了 40%；拥有 9600 万个代码库，超过三分之一的代码库 是在 18 年创建的；已提交 2 亿的 pull request，仅在过去一年就创 造了超过 6000 万次。 中国贡献者在开源社区中持续活跃。截至 2018 年，全球最大的 代码托管平台 GitHub 上超过 80%的用户来自美国以外的地区，其中 中国的贡献者数目仅次于美国，排名第二；2018 年 GitHub 上的贡献 者数量是 2017 年的 1.6 倍，其中中国的新注册用户数目仅次于美国， 排名第二。 热门领域开源项目涌现，公司成为开源的重要贡献者。2018 年， JavaScript（前端和后端）、机器学习、移动应用程序开发和容器是 贡献最多的领域。其中，微软 VS Code、Facebook React、谷歌 TensorFlow 位列项目活跃度前三甲 （按贡献者数目排序） 。 整体来看， 微软、谷歌、红帽、英特尔等顶级科技公司的员工是开源项目的重要 贡献者。 1 数据来源：https://octoverse.github.com/ 2 （三）我国开源技术市场应用现状 1、企业对开源技术的接受程度逐年增高 超过八成的企业认可开源技术。调查显示，已经应用了开源技术 的企业占比达到 86.7%，有计划应用开源技术的企业占比 10.6%，开 源技术已经被企业普遍接受。 图 2 2018 年开源技术使用率调查（N=4135） 2.7% 10.6% 已经应用 有计划应用 暂时没有计划应用 86.7% 数据来源:中国信息通信研究院 技术成熟程度和功能丰富度是企业选择开源技术时考虑的重要因 素。据调查，企业对技术成熟度的关注最高，达到 68.7%；其次，46.3% 的企业在选择开源技术时会考虑功能丰富程度。此外，还有 43.3%的 企业因缩短应用部署时间而选择开源技术。 图 3 企业选择开源技术的考虑因素（N=4023） 技术成熟程度 68.7% 功能丰富程度 46.3% 缩短应用部署时间 43.3% 节约成本 41.9% 生态完善程度 30.7% 自主性、可控性及可持续性 27.3% 降低试错风险 24.8% 人才培养 其他 23.2% 6.4% 数据来源:中国信息通信研究院 3 缺少适合的解决方案和出于安全性考虑是企业尚未应用开源技术 的两个原因。在尚未应用开源技术的企业中，认为缺少适合的解决方 案的企业占比最高，达到 43.4%，与去年相比提高了 11.2%；其次， 有 35.2%的企业出于安全性考虑尚未使用开源技术。 其他因素还包括： 现有技术不够成熟（30.3%）、开源技术带来的优势不明显（16.4%） 以及无法满足合规要求（9.8%）。 图 4 企业尚未应用开源技术的原因（N=550） 43.4% 缺少适合的解决方案 32.2% 35.2% 37.4% 出于安全性考虑 30.3% 33.0% 现有技术不够成熟 开源技术带来的优势不明显 无法满足合规要求 其他 16.4% 13.9% 9.8% 19.1% 2.5% 3.5% 2018 2017 数据来源:中国信息通信研究院 2、开源解决方案是企业的重要关注点 规划设计和产品选型是最受企业关注的解决方案类型。据调查， 企业对于规划设计类解决方案的需求最为强烈，占比达到了 68.6%， 相比 2017 年上升了 1.1 个百分点；其次，57.6%的企业更关注产品选 型，比去年提高了 3.4%。其他开源解决方案还包括实施路径、运维管 理和人才培养等。 4 图 5 企业对开源解决方案的选择（N=4023） 68.6% 67.5% 规划设计 产品选型 57.6% 54.2% 实施路径 53.4% 59.7% 42.3% 36.1% 运维管理 34.2% 39.5% 人才培养 2018 2017 数据来源:中国信息通信研究院 开源解决方案的功能性及易用性和服务安全性是企业的首要关注 点。在企业对开源解决方案关注指标的调查中，有 48.7%的企业更注 重功能性及易用性，占比最高；其次，分别有 38.7%和 34.3%的企业 更关注服务安全性和异构化系统的集成能力。其他受关注的指标还包 括：技术支持能力（28.2%）、行业适用性（26.1%）以及可用性（16.4%） 等。 图 6 企业对开源解决方案的关注指标（N=4