作者：紫羚云信创创新中心

开源软件在全球技术生态中占据核心地位，其代码透明性便于开发者直接使用和二次开发，有效提升产品开发效率并降低信息系统建设成本。同时，开源生态建设对中国软件产业应对复杂国际贸易环境、抢占科技制高点、迈向全球价值链高端具有重要支撑作用。

基于开源的技术路线并非绝对符合信创或绝对不符合信创的要求，其安全可靠性取决于技术选型、管理流程、风险控制措施等多方面因素。以下从 从 开源软件的特性、开源软件的产业链风险、开源软件治理 三方面展开分析。

一、开源软件的核心特性

开源软件指源代码可被公众获取的软件，其使用、修改和分发通常不受许可证严格限制。尽管开源软件受版权保护，可能包含维护开源状态、声明作者身份或规范开发流程等条款。

推动技术创新：

开源社区为开发者提供开放平台，促进新思想、新技术自由交流，激发创造力并加速技术发展。

增强安全与可靠性：

全球开发者共同审查代码，能快速发现并修复漏洞，通过协作提升软件安全性与稳定性。开源软件本身不直接决定安全，但 透明度 是其安全特性的基础——公开的代码更容易被社区审计，从而发现隐藏的漏洞或恶意逻辑。相比闭源软件，开源的“黑盒”风险更低。

降低应用成本：

免费使用、修改和分发开源软件，显著减少开发和使用成本。

促进技术标准化：

许多开源项目经过多年实践验证，形成了标准化的安全设计，推动技术协议统一，提升系统间兼容性与互操作性，助力构建复杂技术生态。

助 力人才培养：

提供丰富的学习资源，开发者通过参与实际项目提升专业技能。

二、开源软件的产业链风险评估

部分信创产品存在基于国外开源技术内核开源代码的二次开发，这类“半自主”技术路线在和平时期可通过快速迭代满足业务需求，但在国际局势复杂多变的背景下，可能面临多重潜在风险。开源软件的风险主要体现在其产业链上，开源产业链由开源基金会、开源软件贡献者、开源协议、开源社区、开源软件代码托管平台组成。

（图片来源于网络）

开源基金会

开源基金会负责接受项目的捐赠并运营项目，提供资金支持，帮助开源项目持续发展，例如，Apache基金会、Linux基金会等。Apache开源基金会明确宣布遵守美国《出口管制条例》（EAR，Export Administration Regulations），因而旗下的Hadoop、Spark、KafKa等开源项目都需要遵守EAR出口管制。

开放原子开源基金会（以下简称“开源基金会”）是在我国民政部注册的致力于开源产业公益事业的非营利性独立法人机构，管理52个开源项目。

（图片来源于开放原子开源基金会网站）

开发者

开发者是开源软件的主要贡献者，他们通过编写代码、修复bug、提出改进意见等方式参与开源项目，如Linux，Mysql, PostgreSQL。越来越多主体位于欧美地区的开源组织开始宣布遵守美国EAR，会威胁到开源供应链的安全性。如Docker公司禁止被美国维持禁运的国家（统称为“禁运国家”）以及被列入美国“实体名单”的国家、企业、个人使用其开源软件。

国内软件企业是开放原子开源基金会旗下众多开源项目的捐献者。

（图片来源于开放原子开源基金会网站）

开源协议

开源软件许可证协议是规范使用、修改和分发行为的法律框架，其风险主要体现时使用开源软件时的合规风险。开源许可证（如GPL、MIT、Apache、木兰系列许可证系列）有严格的条款要求，若未遵守可能导致法律纠纷。如使用GPL许可证的代码进行二次开发，若未将修改后的代码开源，可能被原作者起诉。

开源社区

开源社区提供开发协作、技术交流与知识共享平台，承担技术建设、项目孵化和商业运作等多重职能。国际上活跃的开源社区拥有庞大的开发者群体，漏洞发现与修复的效率远高于闭源软件。2024年，开源根社区Linux kernel踢出了11名Maintainer级别的俄罗斯开发者，而Maintainer不仅仅是简单的代码贡献者，更是社区的领导者和管理者。

中国已拥有从操作系统、数据库、中间件到AI等全栈技术的开源根社区，具有自主管理权限。

开源软件代码托管平台

托管平台是开源软件产业链的核心环节，为开发者提供代码托管、版本控制等服务，方便开发者之间的协作和代码共享，如GitHub、GitLab等。GitHub宣布遵守EAR，2022年4月俄罗斯境内的开发者和用户无法访问GitHub上的开源项目，影响了他们获取最新代码和社区支持的能力。

开源中国旗下的代码托管平台：码云（Gitee）

（图片来源于码云网站）

三、开源软件治理

要实现开源技术路线的安全可靠，需建立“审查-管理-应急”的全流程风险控制体系，设计符合企业自身情况的开源治理流程，有助于确保开源治理工作的可落地性，促进开源软件的管理规范化、标准化，是安全、合规地使用开源软件的根本保障。

产业链审查

评估开源引入的供应链风险并制定应对措施。

• 选择产业链“可信”的开源项目，基金会、开发者、托管机构、项目社区是否安全、可信、持续，是否遵从了开源协议的要求。
• 开源项目的依赖树可能包含恶意组件或未修复的漏洞。如2022年，npm包colors和faker被作者恶意篡改，导致全球数千个项目崩溃
• 建立完善的开源软件使用台账。处理不同开源软件间复杂的继承包含关系需要建立完善的引入登记机制，解决组件版本冲突问题。在紫羚云一体化数智科技管理平台中，可以通过ITSM运维管理系统中的变更管理流程管理开源软件，在CMDB中添加自定义字段来记录开源软件的版本、许可证、来源链接等。

安全管理

要全面保障开源软件安全，可以利用代码透明性促进漏洞发现，同时警惕恶意利用风险。验证代码安全性，采取的方法有：静态分析、动态分析、人工审计。

采用开源软件的系统软件需通过安全可靠测评方属信创范畴。如《关于做好深化安全可靠应用**的通知》，中国信息安全测评中心公告的《安全可靠测评结果公告（*年*期）》等等。

应急 能力建设

管理团队需具备组件评估、定制和维护能力，避免引入未经验证开源软件模块的风险。

采购专业服务来辅助管理能力补充，是非常现实的选择，借助专业服务提升安全配置能力、建立漏洞预警机制，定期更新组件、配置安全基线。

未来，随着开源治理体系的不断完善和安全评估方法的持续优化，基于开源技术的信创产品将在保障安全可靠的前提下，为中国软件产业参与全球竞争提供更坚实的基础。同时，企业需要建立全面的开源软件管理制度，从引入评估、运营管理到能力建设形成闭环，最大化开源价值的同时有效管控风险。

参考文献

1.PingCode《如何评估开源软件的性能》

2.开放原子开源基金会《开源态势洞察》

紫羚云信创创新中心

信创产品研发： 紫羚云推出了信创云监理平台软件，该软件已获得软件著作权，体现了其在信创技术研发上的投入和成果。

技术自主可控： 紫羚云的ITSM平台结合ITIL理念与本土化实践，支持国产化操作系统、数据库和芯片架构，符合信创产业对自主可控的要求。

行业标杆客户： 紫羚云通过深度服务金融、物流、制造等行业的头部客户，形成行业示范效应，推动信创产品在更广泛领域的应用。

生态合作与推广： 紫羚云以技术自主性、行业深耕和生态协同为核心，积极参与信创产业生态建设，通过培训、咨询、软件平台三位一体的服务模式，助力企业数字化转型。

更多紫羚云相关信息请访问：www.gazellio.com