2019年11月2日-3日,由開源社主辦的2019中國開源年會在華東師範大學正式召開。據瞭解,這次年會共有百餘位國內外的開源貢獻者會聚一堂,一起探討開源的現在和未來發展。
2019 開源年會部分講師合影
1991年,Linus Torvalds 寫下第一份 Linux 開源郵件的時候,估計他怎麼也不會想到現在開源的“燎原之勢”。據Gartner調查顯示,99%的組織正在其組織系統中使用了開源軟件,新興技術領域開源技術應用尤其廣泛。而根據ASF的數據顯示,開源經驗不足一年的開源貢獻者在ASF中佔據了大多數,佔比達到了64.3%。
中國開源現狀
如果我們把目光聚焦到中國,開源同樣開展得如火如荼。
根據GitHub的相關數據顯示,從2017年到2018年開源發生了規模級的攀升,開源人員從2400萬上升爲3000萬+,企業和組織從150萬上升爲200萬+,代碼庫6000萬上升爲9600萬+。而中國截止2018年,成爲了GitHub貢獻排名第二的國家,排名僅此於美國。
在開源項目方面,中國自主研發的開源項目也得到了一定的市場關注。目前,國內共有22個項目貢獻給了國際頂級基金會,包括Linux基金會、Apache基金會等,目前成功畢業的項目有9個,包括Kylin、HAWQ、Eagle、CarbonData、RocketMQ、Griffin、 SOFAStack 、Caliper、TiDB。
除了向開源基金會捐贈項目,國內企業也在積極和國際開源基金會合作。中國在Linux基金會共有1家白金會員,27家黃金會員,在Apache基金會有1家白金會員,1家黃金會員和2家白銀會員,在OpenStack基金會有2家白金會員,7家黃金會員。
在商業模式方面,中國廠商漸漸摸索兩條比較成熟、穩定的道路。一是提供基於開源項目的商業解決方案,例如阿里、騰訊、華爲等;二是開源服務模式,將社區版本的開源項目打包測試通過訂閱模式、按需收費提供給用戶。
開源應用現狀
中國開源項目開展得紅紅火火,那麼實際應用情況如何呢?爲了解開這個謎題,信通院調查了24個省,近90個城市的企業開源應用情況,行業覆蓋包括互聯網、政府、金融、醫療、軟件及信息技術服務、製造、電信、交通及物流、科教文衛和能源等行業。
根據調查結果顯示,超過八成的企業是認可開源技術的。在選擇開源技術時,技術成熟度、功能豐富度、應用部署時間和成本是企業關心的重要因素。而缺少合適的解決方案、安全性、現有技術不夠成熟是企業尚未採用開源技術的關鍵原因。
在具體應用時,最受企業關注的解決方案類型包括規劃設計、產品選型、實施路徑和運維管理;企業對開源解決方案關注的重要指標包括功能性及易用性、服務安全性、異構化系統的兼容性、技術支持能力、行業適用性等;在開源技術應用方向,企業更側重於存儲、數據分析、數據庫、網絡和中間件。
在項目實施時,近七成的企業會選擇聯合服務商共同實施。而在實施過程中面臨的挑戰包括歷史遺留問題多導致原有應用遷移困難、異構資源池管理平臺難統一、安全監管及合規要求較高、物理設備種類多等等。
在雲計算領域,國內的開源項目衆多,下面就詳細介紹一下容器、虛擬化管理技術、微服務、自動化運維的應用情況。
在容器技術的應用方面,目前已有超過七成的企業在使用或者正在測試應用環境。企業選擇容器技術的重要原因是支持快速彈性擴容和移植性強,而不使用容器的原因也很明確,缺少成功案例、遷移成本高、對相關技術不夠了解。現在,容器技術應用最多的場景是運維自動化和彈性擴容,同時有近六成企業選擇Docker作爲容器運行技術。
在虛擬化技術管理方面,超過半數的企業會選擇購買商業版並採用供應商的技術服務支持,其中企業應用較爲廣泛的兩個OpenStack版本是Kilo和Icehouse,在衆多的OpenStack組件中,Keystone是最受企業歡迎的。
在微服務框架方面,超過六成的企業已經應用或者正在測試微服務框架,其中22.8%的企業已經將微服務投入生產環境,31.6%的企業正在測試環境,而28.4%的企業正在評估是否要使用微服務。
針對DevOps,超過三分之一的企業已經實現了系統的自動化運維。其中Jenkins是目前企業使用最廣泛的開源持續集成工具,而超過四成的企業選擇將Ansible作爲自動化運維工具。
開源風險
前段時間,關於“開源”的新聞有很多,例如GitHub和ASF受到了美國出口法律的約束、多個開源產品更改開源協議等等。這些消息使企業在使用開源產品時變得謹慎,那麼,使用開源產品在使用時到底存在哪些風險呢?
中國信通院副主任郭雪
想要回答這個問題,首先我們要理清開源的模式。中國信通院副主任郭雪從基礎設施、開源主體和開源規則三個方面分析了開源模式:
- 基礎設施:代碼託管平臺等;
- 開源主體:用戶企業、科技企業、開源社區、產品企業、開源基金會;
- 開源規則:開源許可證、開源社區規定;
不同的開源主體使用開源的方式會有所不同,面臨的風險也會不同。如果從大的方面來看,開源風險可以分爲四大類,技術及運維風險、合規及知識產權風險、安全及數據風險、管理風險。下面我們具體到不同的開源主體看看它們面臨的開源風險。
如果是科技企業,面臨的開源風險包括:
- 遵守開源許可證要求;
- 基於多個開源軟件,許可證不兼容;
- 是否基於已有開源軟件,企業難以確認;
- 使用的開源許可證知識產權界定不清晰;
- 已有的開源軟件規則存在變化;
- 企業內部數據泄露,業務核心安全性較高的代碼剝離不清;
- 缺乏開源管理流程。
如果是產品企業,不僅面臨和科技企業同樣的開源風險,而且還面臨獨特的技術及運維風險,即技術路徑壽命短、運維投入大,在安全及數據風險方面要考慮提供、使用的軟件是否存在安全漏洞和缺陷。
而用戶企業面臨的開源風險與產品企業相差不大,只是在開源管理方面會有一些新的風險,例如引入的開源產品難以統計、沒有專門的開源治理體系等。
如何避開這些風險呢?郭雪也給出了四個建議:建立開源軟件評價或選型標準;進行開源許可證使用合規和開源代碼檢查;進行開源軟件評價;梳理自發開源流程和開源引入流程。