全球开源生态稳中向好,仍需提升安全治理

慧聪通信网 2023-10-10 09:09 来源:飞象网

【慧聪通信网】数字化时代,开源已逐渐成为软件开发的重要模式,已成为赋能数字经济高质量发展的原动力,是推动数字技术创新的重要抓手,对于技术创新、产业开放、经济提振、全球可持续发展具有重要价值。与此同时,新一代人工智能、大数据、云计算、工业互联网、区块链等技术领域正结合开源,呈现出技术与产业协同共进共融的态势。那么,目前开源究竟进展如何,下一代开源具备哪些特性,开源又面临哪些风险,在近日举办的2023 OSCAR开源产业大会上,我们得到了一些答案。

全球开源生态稳中向好,持续突破圈层向边界渗透

毫无疑问,开源已成为赋能数字经济高质量发展的原动力。中国信息通信研究院云计算与大数据研究所副所长栗蔚表示,在过去一年,全球开源生态稳中向好,全球开源生态持续突破圈层并实现边界渗透,形成项目、技术、区域、社会四个层面的跨越式发展趋势,有力激发社会科技创新突破,有效提升社会经济体量,帮助全社会形成多边而紧密的全球化合作分工格局,全面助力数字社会发展。

在项目层面,开源生态逆势上扬。全球开源软件项目数量增速逆势上扬,2022年GitHub托管仓库已达3.5亿,新增仓库9000万个,增长率达33%,近三年内首次增速提升。同时,全球项目方面开源生态异常活跃,生态规模持续扩大。此外,开源软件项目“马太效应”凸显,头部项目“断层式领先”。值得一提的是,开源工具和平台融合前沿技术,变革开源开发过程,如GitHub推出Copilot X计划,将chatGPT-4引入IDE,使得开发者在整个开发流程中获得更多全新体验,如语音生成代码、自动发现bug、自动解释输入代码、自动完善Pull Request等变革性开发功能。

在技术层面,开源生态具备差异化发展路径。开源已成为全球多技术领域创新主流模式,2022年在全球核心技术领域生态体系中,大前端领域开源软件项目占比高达97%,人工智能、区块链、操作系统等领域开源软件项目占比也超过80%,开发工具和环境、云计算领域开源软件项目占比超60%。开源逐渐改变软件领域的竞争方式和市场格局,但在主流技术领域,开源生态发展阶段差异较大,各自优势明显。

在区域层面,开源热点地区发展成熟。目前,美欧仍是开源主导力量,引领开源生态高速增长。其中,美国开源项目全球占比超四成,是开源软件项目主要供应大国。根据中国信息通信研究院统计分析,截至2023年2月,在全球活跃度排名前100的开源软件项目中,美国开源软件项目占比45%,牢据第一。中国开源软件项目占比17%,排名第二。此外,全球新兴经济体国家纷纷投入开源生态建设。

在社会层面,开源生态公共价值凸显。开源模式助推数字公共产品成为数字时代社会公共基础设施,各国纷纷出台相关政策以在未来竞争中抢占先机。

开源从通用向场景化转化 更需与现实世界适配

“如今开源已取得巨大成功。从生态规模看,全球开源生态成熟繁荣,全球开源软件项目高速增长,覆盖当前主流技术领域,全球开源贡献者储备规模庞大。从行业应用看,全球行业开源逐步兴起,各行业应用开源模式建立产业开放供应链,提升生产效能。” 中国信通院云计算与大数据研究所所长何宝宏讲到。他表示,开源模式正在引领科技实现越来越多的突破。

近年来,开源的经典定义面临着新的挑战与重构,尤其是来自云计算、大数据、大模型和AIGC的挑战,让开源早已不在局限于通用领域,更多转向聚焦于数据、服务等场景化开源。随着大数据尤其是数据资产化,开放数据和数据流通成为一种新“开源”模式。数据通常是事实和信息的表达,而版权通常适用于原创创作的表达形式,版权通常不适用于数据资产。AI大模型涉及的开放许可证类型更为复杂。仅Hugging Face上开源的人工智能模型就超过28万,涉及66个开源协议。何宝宏指出,开放许可协议的基石可分为几个阶段:软件著作权—>著作权—>知识产权—>知识产权+。涉及到开放数据和开源大模型许可协议,更需要考虑使用场景、商业收益和科技伦理问题。

当软件从产品成为服务,当开放的对象从代码延展到数据和模型,当开放许可的法律基础从版权延展所有权,当代码生成主体从自然人的程序员延展到AIGC,当开源与现实中的法规制度、隐私保护和科技伦理日益密切时,下一代开源将更需要与现实世界适配。

开源软件促进会OSI(open source initiative)对于开源提出了十个条款,包括:自由再发布、源代码公开、允许派生作品、作者源代码完整性、不能歧视任何个人或团体、不能歧视任何领域、许可协议的发布、许可协议不能只针对某个产品、许可协议不能约束其他软件、许可协议必须独立于技术。目前,OSI已启动Open Source AI的定义讨论工作,定义了开放数据和人工智能系统的基本原则,涉及数据安全、版权所属、监管要求、道德伦理、责任认定等多个方面。

总体而言,何宝宏认为,下一代开源需要从两方面进行规范:一方面,开源应该与现实社会深度融合,遵守现实治理规则,如:监测统计、自律公约、责任边界、安全防护;另一方面,开源的发展也需要跟随社会长期性和周期性的发展规律。

开源风险日益复杂,治理体系有待完善

尽管开源有力激发了科技创新突破,构建了产业发展新格局,但开源安全、供应链、合规等风险在行业应用过程中日益复杂,企业治理现状差,60%的企业缺少开源治理规划或目标、53%的企业缺乏开源软件评估模式、60%的企业无开源合规管理流程。

栗蔚表示,当前,开源风险状况未见明显改善,仍需各行业高度重视。开源安全漏洞风险日益加剧,部分行业高风险漏洞修复紧迫性凸显;开源许可证风险问题显著,亟需提升开源使用者版权意识;软件供应关系日趋复杂多元,开源供应网络风险问题不断升级。因此,企业开源治理进入高速发展期,诸多领域仍待完善。例如:企业缺乏开源治理战略性规划和制度指导,内部存量软件管控力度不足;开源软件评估模式尚待完善,开源治理颗粒度仍需细化;企业开源合规管理能力相对薄弱,第三方软件管理有待规范等。

此外,数字公共产品的发展和使用面临多方面风险挑战,如:隐私和数据安全风险、数据质量和准确性风险、法律和道德风险、可持续性风险、社会影响风险,因此数字公共产品的风险治理需要多方参与和合作。通过多角度综合治理,能够推动数字公共产品的可持续发展实现社会利益最大化。

栗蔚指出,放眼未来,全球开源生态将呈现四大趋势:一是开源项目的繁荣发展将遵循技术螺旋发展的本质脉络;二是新技术应用将扩充软件开发方式,进而提升开源协作效率;三是行业开源将从开源软件应用到开源模式应用;四是开源治理落地将经历长周期发展,开源风险在集中暴露之后趋于平稳。

对于我国开源发展,栗蔚也提出了建议,项目运营方面,我国应通过大力发展多样化社区运营组织形式繁荣开源生态;基础设施方面,我国应不断提升基础设施生态影响力及安全保障能力,优化开源生态发展环境;风险治理方面,我国应加快以开源安全标准带动开源治理体系落地;行业应用方面,我国应以软件开源带动行业开源,形成全社会开源产业,提升开源生态价值;人才培养方面,我国应完善人才培育与激励机制,充分发挥个体的主观能动性,支撑开源生态建设。


免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。