《开放原子开源基金会:全球开源发展态势洞察(2023年全球开源峰会特刊)(68页).pdf》由会员分享,可在线阅读,更多相关《开放原子开源基金会:全球开源发展态势洞察(2023年全球开源峰会特刊)(68页).pdf(68页珍藏版)》请在三个皮匠报告上搜索。
1、2023全球开源发展态势洞察2023开放原子全球开源峰会特刊开放原子开源基金会出品2023年6月CONTENTS目录第十一期01010202020203030304040405050506060710171902 行业发展蚂蚁集团自动化混沌工程ChaosMeta正式开源火山引擎推出托管Prometheus 服务VMP骥步科技多云数据备份恢复产品YS1000 v3.2发布青云Kubernetes集群巡检SaaS服务正式发布Red Hat发布Podman Desktop 1.003 前沿技术Kubespray v2.22.0发布Cert-manager v1.12.0发布Calico v3.26.
2、0发布Antrea v1.12.0发布Karmada v1.6.0发布04 开源热点DeepMind等12 家机构联合发布AI模型安全性评估框架富士通发布AI平台“Fujitsu Kozuchi”澳大利亚计划加强对人工智能的监管09 开源报告开源软件国家情报报告-芬兰08 法律速递PureThink等反诉Neo4j,涉及AGPL Commons Clause条款争议PipeCD成为CNCF沙箱项目Apache SeaTunnel毕业成为Apache顶级项目01 国际开源基金会05 技术政策韩国通过国家尖端战略技术指定案俄罗斯出台2030年科技发展规划07 案例研究开源技术在建立透明的市政管理中
3、的应用:Cityvizor案例研究公共部门开源社区的可持续性研究:Oskari案例研究06 专题研究生成式人工智能大模型的中立观察PipeCD 为多云应用提供了一个统一的持续交付解决方案,为任何应用程序 提供一致的部署和操作体验。PipeCD 是一个 GitOps 工具,能够通过 Git 上的PR 请求来执行部署操作,使得版本控制和部署流程变得更加简介和高效。近日,PipeCD 得到云原生计算基金会(CNCF)的认可,正式成为 CNCF 沙箱项目,预示着 PipeCD 项目将在更广阔的开源社区中得到更多的资源和支持。PipeCD成为CNCF沙箱项目近日,Apache软件基金会(Apache S
4、oftware Foundation)正式宣布Apache SeaTunnel毕业成为Apache顶级项目(Top Level Project)。Apache SeaTunnel原名Waterdrop,在2021年10月更名为SeaTunnel并申请加入Apache孵化器。Apache SeaTunnel是新一代高性能、分布式、海量数据集成工具,支持上百种数据源(Database/Cloud/SaaS),支持海量数据的实时CDC和批量同步,可以稳定高效地同步万亿级数据。2021年12月9日,Apache SeaTunnel正式成为Apache孵化器项目。2023年5月17日,Apache董事会
5、通过Apache SeaTunnel毕业决议,结束了为期18个月的孵化,正式确定Apache SeaTunnel成为Apache顶级项目。Apache SeaTunnel毕业成为Apache顶级项目01国际开源基金会全球开源态势洞察第十一期0102行业发展全球开源态势洞察第十一期02ChaosMeta是一款专为云原生、自动化演练而设计的混沌工程平台,是蚂蚁集团内部混沌工程平台XMonkey的对外开源版本。ChaosMeta在设计上包含了完整混沌工程生命周期的一站式演练综合解决方案,提出混沌工程生命周期模型,全方位地覆盖“准入检测”、“流量注入”、“故障注入”、“故障度量”、“恢复度量”、“注入
6、恢复”等各个阶段的技术支撑,为自动化混沌工程提供技术依据。蚂蚁集团自动化混沌工程ChaosMeta正式开源骥步科技是国内云原生存储和灾备专家,其核心产品银数多云数据管家YS1000,为企业核心应用提供多云架构下的备份恢复、应用迁移及容灾保护。近日,骥步科技多云数据备份恢复产品YS1000 v3.2发布,版本特性更新如下:集群的etcd备份支持;支持创建镜像备份仓库;支持可选应用镜像源的镜像备份;支持沙箱恢复,恢复后不影响原业务;支持备份恢复任务使用钩子程序进行灵活的附属功能配置;支持基于备份恢复的数据卷同步方式;显示RTO/RPO;容灾一致性保护和钩子程序;支持配置容灾实例时同时配置ingre
7、ss映射;支持容灾实例更多配置。骥步科技多云数据备份恢复产品YS1000 v3.2发布火山引擎VMP是一套基于开源Prometheus监控引擎开发的开箱即用的产品方案。VMP采用单AZ多副本、跨AZ高可用的方案,支持接入公有云VKE等产品,单条query扫描样本可多达3亿条数据。支持全面的Kubernetes集群监控场景、自定义监控场景以及开源生态指标观测场景。火山引擎推出托管Prometheus服务VMP近日,青云科技正式发布Kubernetes集群巡检SaaS服务,Kubernetes集群巡检SaaS服务通过即时或周期性检查Kubernetes多云环境中的集群节点、组件等配置是否符合最佳实
8、践,帮助用户及时发现集群组件、服务、端口中的容器漏洞和暴露(CVE),分析Kubernetes中的运行风险,并推送报告,保证业务持续稳定运行,尽早地降低企业风险。集群巡检SaaS服务能一键诊断Kubernetes集群健康状况,并具备四个显著特性:跨云统一管理Kubernetes集群;全面满足业务级健康检查需求;定期检查集群存在的风险预警;提供巡检结果的可视化展示与报告。青云Kubernetes集群巡检SaaS服务正式发布03前沿技术Kubespray是一个可用于部署生产级k8s集群的工具,可用在GCE、Azure、OpenStack、AWS等环境部署k8s集群,属于k8s官方推荐的部署方式之一
9、。近日,Kubespray v2.22.0发布,版本特性更新如下:支持使用相同的镜像名称实现多架构;为cert-manager添加DNS配置;kube-scheduler配置中加入kube-profile配置;允许配置镜像垃圾回收;支持自定义ssh端口;支持启用kube-vip的控制平面负载均衡。Kubespray v2.22.0发布Cert-manager是一款用于Kubernetes集群中自动化管理TLS证书的开源工具,它使用Kubernetes的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。近日,Cert-manager v1.12.0发布,版本特性更新如下:将二进
10、制文件和一些测试拆分为独立的Go模块;添加对JSON日志记录的支持;支持使用Vault生成的短期服务账户令牌;新增标志用于指定应注入到Kubernetes对象中的资源。Cert-manager v1.12.0发布全球开源态势洞察第十一期03Podman Desktop是红帽开源的Podman桌面管理工具,可以替代Docker Desktop。除了支持Podman之外,还支持Docker作为底层运行时,同时还可以直接使用Docker Desktop的扩展。Podman Desktop旨在简化容器的开发、部署和管理,同时隐藏底层配置,提供轻量级的容器管理替代方案。近日,Red Hat发布Podma
11、n Desktop 1.0,这是一个用于创建、部署和管理容器的图形化桌面客户端,适用于Windows、Mac和Linux系统,版本特性更新如下:可在本地环境中安装,配置Podman,并使Podman保持最新版本;提供了一个仪表板来与容器、图像、Pod和卷进行交互;支持使用OCI注册表和网络设置来配置环境;支持多种容器引擎,提供将Pod连接和部署到Kubernetes环境的功能。Red Hat发布Podman Desktop 1.0全球开源态势洞察第十一期04 Calico是一个开源网络和网络安全解决方案,适用于容器、虚拟机和基于主机的本地工作负载。Calico支持广泛的平台,包括K8s、Ope
12、nShift、MKE、OpenStack和裸机服务。Calico以真正的云原生可扩展性提供超快的性能。它还为开发人员和集群运营商提供一致的体验和一组功能,无论是运行在公共云或本地、单个节点上还是跨数千节点集群上。近日,Calico v3.26.0发布,版本特性更新如下:优化服务账户的分配,calico-node和calico-cni-plugin将各自独立运行,提高安全性和效率;利用内核级路由过滤减少在系统的CPU使用率;全面兼容最新版本的Windows Server 2022;支持OpenStack Yoga。Calico v3.26.0发布Antrea项目是一个基于Open vSwitch
13、(OVS)的开源Kubernetes CNI网络解决方案,旨在为Kubernetes集群提供更高效、更安全的跨平台网络和安全策略。近日,Antrea v1.12.0发布,版本特性更新如下:拓扑感知功能和节点IP地址管理功能从Alpha升级到Beta,且默认启用;在AntreaProxy中添加对ExternalIP的支持,以便通过外部IP地址从集群外部访问服务;为Antrea多集群添加WireGuard隧道模式,以支持成员集群之间流量的加密传输;为多集群服务添加对EndpointSlice API的支持。Antrea v1.12.0发布Karmada是CNCF(云原生计算基金会)下面的一个开源项
14、目,旨在为Kubernetes集群提供一个平台来简化跨多个Kubernetes集群的应用程序部署和管理,并提高可用性和可扩展性。近日,Karmada v1.6.0发布,版本特性更新如下:引入FederatedHPA API,以解决跨集群扩展工作负载的要求;支持自动将不健康的应用程序迁移到其他可用的集群;引入新的声明式部署方式Karmada oper-ator;支持第三方资源解释器。Karmada v1.6.0发布04开源热点全球开源态势洞察第十一期05在科技进步的浪潮中,一项领先的合作研究项目引起了广泛关注。DeepMind、剑桥大学、牛津大学、多伦多大学、蒙特利尔大学、OpenAI以及Ant
15、hropic等一流的学术机构和研究机构联合发布了一种前沿的用于评估人工智能(AI)模型安全性的框架。这项创新性的框架有可能转变未来人工智能模型的开发和实施方式,成为其核心组成部分。在这项研究中,研究团队强调对模型潜在风险和对齐性的全面评估的重要性。他们提出,构建通用AI系统的开发者必须从早期阶段就开始关注并评估模型的危险能力,以便及时识别和预防可能出现的极端风险,从而确保训练、部署和风险描述等关键步骤的合规性和公信力。新提出的框架能够精确地评估模型在多大程度上具有实施危险行为的能力,有助于让决策者和其他利益相关者了解详情。通过这个框架,他们能够对模型的训练、部署和安全性做出更为负责任的决策,从
16、而有效地降低人工智能可能带来的风险。测试AI模型的公平性;因果发现AI技术,用于从各种数据中挖掘复杂因果关系从而得出新发现;Fujitsu Wide Learning,用于模拟科学发现过程,提供广泛的学习体验。此外,该平台还支持对合作伙伴公司开源软件(OSS)和AI技术的简化访问,支持客户探索新的业务领域,并提高其自身AI开发和运营效率。DeepMind等12家机构联合发布AI模型安全性评估框架近日,在马德里举行的Fujitsu ActivateNow Technology Summit活动期间,富士通推出了新型AI平台Fujitsu Kozuchi,该平台致力于为全球的企业用户提供一系列强大
17、的AI(人工智能)与ML(机器学习)技术。FujitsuKozuchi平台整合了多种解决方案与工具,其中包括:Fujitsu AutoML解决方案,能自动生成机器学习模型;Fujitsu AI Ethics for Fairness,专门用于富士通发布AI平台“Fujitsu Kozuchi”近日,澳大利亚官员表示,出于对技术滥用的担忧,正计划加强对人工智能的监管,包括可能禁止深度伪造和极度真实的虚假内容。澳大利亚是首批宣布监管人工智能的国家之一,于2018年公布了自愿道德框架。澳大利亚国家科学技术委员会发布的一份报告指出,人工智能生成的内容可能会误导公众舆论,从而在议会磋商中被滥用。澳大利亚
18、工业和科学部部长埃德胡西克(Ed Husic)公开承认,在版权、隐私和消费者保护等方面的法律目前还有待完善,并表示鉴于人工智能行业的快速发展,政府更加坚定要确保其法律框架能起到有效保护效果。同时,在制定新的人工智能法律过程中,如果公众对于限制人工智能中的高风险元素有强烈的诉求,澳大利亚政府将会考虑将这种诉求纳入新的法律规定中。澳大利亚计划加强对人工智能的监管全球开源态势洞察第十一期0605技术政策在科技进步的浪潮中,一项领先的合作研究项目引起了广泛关注。DeepMind、剑桥大学、牛津大学、多伦多大学、蒙特利尔大学、OpenAI以及Anthropic等一流的学术机构和研究机构联合发布了一种前沿
19、的用于评估人工智能(AI)模型安全性的框架。这项创新性的框架有可能转变未来人工智能模型的开发和实施方式,成为其核心组成部分。在这项研究中,研究团队强调对模型潜在风险和对齐性的全面评估的重要性。他们提出,构建通用AI系统的开发者必须从早期阶段就开始关注并评估模型的危险能力,以便及时识别和预防可能出现的极端风险,从而确保训练、部署和风险描述等关键步骤的合规性和公信力。新提出的框架能够精确地评估模型在多大程度上具有实施危险行为的能力,有助于让决策者和其他利益相关者了解详情。通过这个框架,他们能够对模型的训练、部署和安全性做出更为负责任的决策,从而有效地降低人工智能可能带来的风险。韩国通过国家尖端战略
20、技术指定案俄罗斯总理米哈伊尔米舒斯京日前批准2030年科技发展规划,文件提出,俄罗斯应形成本国的、关键和端到端技术的科学、人员和技术基础,建立高科技产品生产基地,通过立足于“国内研发成果”,解决包括微电子、高精度机床、机器人技术、航空航天工程、无人机、软件、加速器和带电粒子探测器等产品的对外依赖问题。规划重点支持科学研究、高等和职业教育以及制造业,拟资助的10个大型重点高科技产品项目清单已获批。该批项目总投资超1000亿卢布(约合12亿美元),计划在2023-2024年间实施,项目内容与药品、医疗器械、设备生产、机床、电子和无线电电子产品、船舶和船舶设备制造以及无人机系统有关。俄罗斯总理米哈伊
21、尔米舒斯京在强调规划目标指标时表示,“为了向创新导向的经济增长转型,随着该规划的实施,工业和其他领域的创新活动水平将增加2.3倍,相应支出将增加1.5倍。到2030年,创新型产品和服务的数量将增加1.9倍,专利申请数量将增加2.4倍。技术创新型先进制造企业的数量应增加1.6倍。国内信息通讯等高技术产品解决方案的份额将增加一倍,自主保障程度增加到近75%,对外依赖度下降到约25%。”此外,规划还提到,将营造舒适的监管环境,为公司和企业家的高强度创新活动创造条件。俄罗斯出台2030年科技发展规划全球开源态势洞察第十一期0706专题研究生成式人工智能大模型成为现阶段推动数字经济发展的重要力量,一方面
22、,推动了行业投资、研究和应用;另一方面,对教育、就业、数据监管、隐私保护、知识产权等社会规则带来了挑战。通过分析生成式人工智能大模型国内外的发展情况,剖析行业发展存在的技术和社会问题,并对行业的健康发展提出合理建议。关键词:人工智能、大模型、技术中立生成式人工智能大模型的中立观察摘要:随着聊天机器人ChatGPT火爆全球,诞生于1956年达特茅斯会议上的“人工智能”(以下简称:AI)概念,历经多次技术迭代与应用场景拓展,迎来新的发展热潮,生成式人工智能大模型(以下简称:AIGC)成为了当前炙手可热的研究和投资方向之一。通过中立客观的视角,分析AI的发展历程以及AIGC的技术实现路径,科学地评估
23、机器与人之间的认知差异,预测AIGC的发展轨迹,以及对AIGC行业发展所面临的多种问题进行剖析,提出AIGC行业健康发展的建议。国外AIGC行业呈现繁荣发展态势,头部企业的主要产品按照文本、图像、音频、视频分类如下所示:(1)文本领域:AutomatedInsights(结构化写作)、Anyword(文案工具)、Copy.ai(数字广告文案)、Jasperai(营销文案)、ChatGPT(通用类聊天机器人)、ChatBox(聊天客服机器人)、Jenni.ai(论文);(2)图像领域:Midjourney(文生图)、DALL-E2、StableDiffusion(开源文生图);(3)音频领域:M
24、urfAI(文本转语音生成器)、AIVA(歌曲生成);(4)视频领域:Synthesia(拼凑生成视频)、WonderStudio(影视特效)、RunwayGen-2(视频生成)。国外AIGC赛道的独角兽公司主要有:推出了ChatGPT的OpenAI估值高达200亿美元,Hugging Face估值 20亿美元,Lightricks估值18亿美元,Jasper估值15亿美元,Glean和Stability AI估值为10亿美元,Character.AI估值10亿美元。目前百度(文心一言)、阿里(通义千问)、华为(盘古系列AI大模型)商汤(日日新大模型)、知乎(知海图AI)、科大讯飞(1+N认知
25、智能大模型)等互联网大厂纷纷布局AIGC。据预测,2023年我国AIGC市场规模可达170亿人民币。随着商业化落地逐渐深入和产业生态逐步完善,2025-2027年为场景应用蓬勃发展期,2028-2030为行业整体加速期,2030年市场容量预计超万亿人民币,届时会呈现蓬勃发展的新业态。2022年以来,我国 AIGC赛道投资事件数量开始出现明显增长,在已披露金额的融资事件中,大多为千万级和亿级的融资体量。其中,融资体量达到亿级的项目包括国内最早开展 AIGC商业化前言一、行业发展情况的简述1.国外多模式的繁荣发展2.国内多家企业纷纷入场文/王 林全球开源态势洞察第十一期08落地的小冰公司、以及超参
26、数科技、光年之外、澜舟科技等科技公司。数字力场、TIAMAT、聆心智能、面壁智能、诗云科技等为千万级融资,预计2023度投融资体量将有数倍增长。二、行业存在的问题分析AIGC的优势在于可以突破人类创作的限制,实现无限的内容创造。它可以根据用户的需求和偏好,生成符合用户期望的内容,提高用户满意度和忠诚度。它也可以节省人力和时间成本,提高内容生产的效率和规模。它还可以创造出人类无法想象的新颖和有趣的内容,拓展人类的知识和视野。数字经济是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型的新经济形态。AIGC作为数字经济重要的智能方式,能够生成更加复杂、真实自然
27、的语言、图片、语音等,与用户进行更加真实的交流与互动,这种真实感带来更多的商业价值和竞争优势。此外,AIGC还可以用于自动化生成分析报告、风险评估、投资策略等内容,进一步提升工作效率。AIGC成为重组要素资源、重塑经济结构、重构竞争格局的重要数字经济引擎。3.数字经济的新增长引擎大语言模型的训练过程,需要算力高、算法精和数据多的三重支撑。而算力高要求高能耗的支撑,算法精意味着迭代要快,数据多意味着要更多高质量的开放数据,这就导致了AIGC行业具有较高的准入门槛,需要有雄厚的资金用以支撑其训练费用。只有部分大企业和资深创业者团队能够持续性深耕行业,导致AIGC基本上成为行业巨头之间的“军备竞赛”
28、。AIGC的致命弱点在于,其所生成的内容还要经过人类的二次高质量解读或加工,还要在本地部署带有垂直细分领域数据库的“小模型”进行二次精细训练,在这样的背景下,大模型的训练就会变得毫无意义。1.大模型训练的资源限制三、行业健康发展的建议AIGC作为数据库的逻辑架构,遵循“垃圾进、垃圾出,精华进、精华出”的黑箱策略,高质量的训练数据是AIGC重要食粮来源,要深化数据高效共享协调机制,提升数据共享统筹协调力度,促进数1.高质量数据资源的共享AIGC是对训练其的各类型数据的排列组合,对其输出结果的评判标准是人的期望,在一些例如陪标、娱乐、代码生成等低期望的应用场景,AIGC的表现是超过期望的。但在例如
29、发现新知识、创造新理念、情感支持等高期望的场景,AIGC还未技术入门。AIGC远远未达到人类的认知水平和高度,未触及人类所特有的创新、韧性、灵感、直觉等主观能动性。对于大多数企业来说,探索如何使用AIGC 实现特定场景的商业化落地,服务目标客户并实现其商业价值。2.暂时应用到低期望场景现有社会的管理核心还是属地管理模式,不能忽视AIGC应用对法律、伦理和社会秩序的挑战。可能制造、传播错误、不准确、不真实的事实,传播深度伪造内容和其他虚假信息,进行诈骗、色情、诽谤、假冒身份等新型违法犯罪活动;大模型训练使用他人版权作品、应用自主产出的创造性内容等面临版权保护争议;生成的内容无法摆脱性别、年龄、种
30、族等方面算法歧视,哪类训练数据多,输出就哪类训练数据的偏好。AI大模型的训练和部署需要消耗大量算力,碳排放惊人,其环境影响也不容忽视。AIGC的挑战在于它需要解决一些技术和伦理方面的问题。技术方面,AIGC需要不断提升人工智能模型的性能和质量,保证生成内容的准确性、合理性、逻辑性、一致性等。它也需要考虑如何处理多语言、多媒体、多风格等复杂的内容生成场景,以及如何评估和优化生成内容的质量和效果。伦理方面,AIGC需要遵守相关的法律和规范,防止生成内容涉及侵权、抄袭、造假、诽谤、暴力、色情等不良信息。它也需要尊重用户的隐私和权利,保护用户的数据安全和知识产权。3.对现有社会规则的冲击全球开源态势洞
31、察第十一期09据公开的范围和边界,实现最大程度开放和保护。打造统一数据资源公开平台,构建统一规范、互联互通、安全可控的公共数据库,实现数据跨地区、跨部门、跨层级共享效益,为AIGC的发展打造坚实的数据共享底座。工具的使用是人类进入文明时代的标志,工具的发明大大提高了生产力,节约了时间成本,AIGC作为新型的工具载体,是人类认知拓展的延伸。人类认知包括感觉、知觉、记忆、思维、想象和语言等,人脑接受外界输入的信息,经过头脑的加工处理,转换成内在的心理活动,进而支配人的行为。如果AIGC具有和人类一样的学习与进化能力,那么根据现有的技术水平,可以将人类的认知过程、风格、能力、策略进行标准化、结构化,
32、进而转化为AI算法进行技术实现。2.人类认知通过算法实现随着AIGC的突破,预计全球将有3亿个传统工作岗位被机器取代,招聘网站相关数据显示,包括游戏原画、美术设计、基础编程、基础编辑等岗位数量正在收缩。每一轮科技革命似乎都会引发“新技术会否引发失业”的隐忧,但人类社会总是会用“进步”的答案证明这样的担忧是多余的。随着AIGC撞开新时代的大门,新一轮就业结构调整已不可避免,社会的发展是生生不息,会有新的工作岗位、商业模式不断出现,人类最大的优势在于顺应变化且不断进化,会不断随行业进行自我转型与升级。AIGC在数字经济发展中的战略性、基础性、先导性和赋能作用正在逐步显现。随着AIGC技术的改进和优
33、化,以及数据资源的丰富和完善,将能够生成高质量、多样化、个性化的内容,满足用户的多种需求和应用场景,满足更强大和更智能的高期望需求,也将为社会带来更多的创新和进步。AIGC作为人类创造性利用工具的一种表现形式,将人从繁重、重复、冗杂的脑力劳动中解放出来,从而投身于更加具有创造性的工作,也将促进社会秩序和规则的进一步优化,AIGC行业的发展将任重道远。3.被替代行业的结构调整四、小结07案例研究在全球开源发展态势洞察 2023年第八期|总第十期中,我们梳理了开源软件国家情报报告捷克,其中对于Cityvizor平台的描述引人关注:“Cityvizor是一个在线可视化平台,捷克的18个城市和布拉格的
34、一些地区已在使用该平台。该平台使市政当局能够向市民展示他们的资金是如何投资当地建设的。Cityvizor是由财政部员工开发的开源软件应用程序,由esko Digital维护,现由Open Cities协会运营。目前,团队正在努力扩展该应用程序,以便使各个组织的预算可视化,并优化与其他会计系统的连接。”因此,对开源在线平台Cityvizor展开研究,以探究其在市政管理中提高预算数据的可访问性和透明度背后的机理。通过提高预算透明度,有助于政府与市民之间建立信任关系。每年,在捷克政府向国家议会提交预算草案之前,政府会公开披露其公共财务信息。此举旨在确保透明度和公众参与度,保证公众能够了解到政府的财务
35、状况。随后,该草案将在国家议会上进行辩论和审议,最终决策是否通过。此过程确保议会的财务决策受到公众的监督和民主的审查,促使预算分配过程合法和透明。根据经济合作与发展组织(OECD)的相关数据,预算透明度在增加公共资金和支出的问责、廉正、包容和质量等方面起到了关键作用。利用在线平台提高公共预算信息的可访问性,为政府实施预算透明度带来了创新。在捷克共和国,通过诸如Monitor之类的平台,来推动预算透明度的实施。Monitor是捷克财政部于2013年推出的信息门户。该信息门户汇集了中央和地方政府的预算和会计数据,并提供用户进行数据分析的功能。该工具提供关于地方和中央政府财务账目的详尽信息,但可获取
36、的信息仅限于收入和支出等方面的概述。2015年,财政部开发了一个用户友好且开源的平台Cityvizor,旨在为市民、会计师和政府官员提供明确且易于访问的市政预算支出信息。该平台因其对“提升透明度和改善公共行政”的贡献而受到赞扬,在捷克共和国的许多市镇中得到采用。Cityvizor是一个旨在实现透明市政管理的在线开源平台。该解决方案最初由捷克共和国财政部的财务控制方法部门于2015年开发。2016年,该平台由专注于地方政府数字化的非政府组织Oteven Msta(开放城市)接手管理。作为致力于地方政府数字化的组织,Oteven Msta(开放城市)通过与市镇合作,协助解决数字化问题,为市镇节省了
37、宝贵的时间和金钱。通过Cityvizor平台,地方政府受邀以个单张发票的形式分享其财务数据,并提供更多详细的信息。详尽信息如发票号码、金额、供应商和日期等,公众能够更全面地了解地方政府的财务状况。Cityvizor平台提供了通过Web浏览器访问的功能,并且与移动设备兼容。平台上列出了各个市镇的个人资料页面,页面展示了市镇选择使用该解决方案的相关信息,并提供市政指出的视觉概览。访问者可以通过点击不同的支出类别,轻松查看每个公共资助项目的预算。此外,还可查找地方政府的服务供应商或物品供应商,以获取更多有关支出和收入的详细信息。自布拉格市政府成为第一个在Cityvizor平台上发布市政个人资料的城市
38、,其他10个捷克城市也纷纷加入该平台,以向市民提供全面的市政运营和特殊费用概览。文/赵海玲开源技术在建立透明的市政管理中的应用:Cityvizor案例研究Cityvizor全球开源态势洞察第十一期10注释:预算透明度是指将政府预算和财务信息以易于公众访问和理解的形式公开,这一实践涉及到关于收入来源、支出分配以及与公共资金相关的财务交易的详细信息。全球开源态势洞察第十一期11Cityvizor是一个根据自由的GNU AGPL v3许可证开发的开放、透明的市政管理工具。Cityvizor通过其清晰且用户友好的界面,使用户能够轻松识别信息,对支出和收入进行排序,并监测多年来的公共支出情况。Cityv
39、izor提供便捷的访问个别发票的功能,包括查看支出类型、资金来源以及特定事件的供应商列表等详细信息。Cityvizor提供集中的市政预算信息,包括预算执行情况的实时更新,还可直接访问官方公告板和官方合同注册信息。Cityvizor具有以下主要特点:Cityvizor的主页界面是基于开源JavaScript框架Vue.js构建的,市民和地方政府可以在此页面上访问基本信息,包括加入该平台的市镇列表、技术文档和联系表单等基本信息。Cityvizor的个人资料页面是基于开源的Web应用程序Angular开发的,专门用于访问Cityvizor的支出可视化工具。地方官员可以登录到管理个人资料页面,并按照正
40、确的输入数据规范上传其行政机构的会计数据(以.csv格式)。Cityvizor采用开源的数据库管理系统PostgreSQL来存储市政机构的数据。Cityvizor的服务器采用开源工具Node.js和Typescript进行配置和设置,负责将处理数据添加到数据库中,并执行身份验证、管理权限以及定期更新由地方官员提供的数据。此外,还负责提供附加信息,例如最新合同。Cityvizor基于四个主要组件构建而成:Cityvizor的主页界面是基于开源JavaScript框架Vue.js构建的,市民和地方政府可以在此页面上访问基本信息,包括加入该平台的市镇列表、技术文档和联系表单等基本信息。Cityviz
41、or的个人资料页面是基于开源的Web应用程序Angular开发的,专门用于访问Cityvizor的支出可视化工具。地方官员可以登录到管理个人资料页面,并按照正确的输入数据规范上传其行政机构的会计数据(以.csv格式)。Cityvizor采用开源的数据库管理系统PostgreSQL来存储市政机构的数据。Cityvizor的服务器采用开源工具Node.js和Typescript进行配置和设置,负责将处理数据添加到数据库中,并执行身份验证、管理权限以及定期更新由地方官员提供的数据。此外,还负责提供附加信息,例如最新合同。Cityvizor基于四个主要组件构建而成:2015年:捷克共和国财政部开发该解
42、决方案。2016年:由于财政部资源有限,Cityvizor被Open Cities接手管理,负责平台的维护和发展工作。2018年:Cityvizor推出演示版本,允许已经使用GINIS会计系统的市政机构试用该应用程序。2019年:布拉格市率先推出了Cityvizor平台的首个版本,并积极促进其在其他市区的采用。这一举措使得超过35亿欧元的公共资金使用情况变得透明可见,供市民查阅。2019年至2021年期间:esko.Digital积极参与Cityvizor项目,并举办了一次黑客马拉松活动,专门为Cityvizor创建新的视觉形象和设计。作为一个由数字化和技术创新专家组成的社区,esko.Dig
43、ital致力于支持公共部门和非政府组织,推动数字化和技术创新的应用。2020年:GORDIC与Operator ICT和开发者Martin Kopeek紧密合作,共同开发了与GINIS会计系统配套的ODT模型,实现了从会计系统自动转换数据到Cityvizor的功能。这一关键步骤使得布拉格市政府能够采用Cityvizor应用程序并与市区共享数据,极大地促进了应用的推广和使用。2021年:在Open Cities与esko.Digital志愿者的合作下,推出一个界面得到大幅改进的新网站。此次更新旨在确保市民可以清晰、直观且轻松地理解预算信息。为了满足用户对评估支出如何随时间变化的需求,引入了简单易
44、读的图表功能,让用户可以通过直观的可视化方式来解读来自官方公告板(edesky)和官方合同登记册的数据。2022年:引入附属组织预算可视化的功能。Cityvizor的关键里程碑:2015年,时任财政部副部长Tom Vyhnnek博士认识到公众希望看到公共部门财政预算信息更透明的需求。此前,财政部已开发过一个平台,用于财务数据公开分享。然而,大众很难解读这些信息。为了让公众更易于理解这些信息,Tom Vyhnnek决定开发一个具有更强大的预算可视化功能的应用程序。Tom Vyhnnek负责推动该解决方案的内部开发,并授权该项目的启动,他得到了两位部门内具备所需编程技能的同事的支持。Cityviz
45、or作为开源解决方案的决策根植于财政部开发团队的坚定信念,他们希望确保公众可以全面了解公共部门在资金使用方面的各项行为。而决定将Cityvizor作为开源解决方案开发的根源在于财政部开发团队的信念,即为确保公众可以了解公共部门在资金使用方面的一切行为。自2016年起,财政部与Open Cities建立合作伙伴关系,致力于确保Cityvizor的持续发展。随后,重点转向了平台的改进和测试工作,并在2018年推出了演示版本,于2020年发布了首个市政资料页面。Cityvizor平台坚持开源的特性,与Open Cities的核心理念和使命完全契合。其目标是为地方政府提供开放式、模块化的解决方案,以避
46、免供应商垄断的局面。Cityvizor在布拉格市发布后,通过与会计系统GINIS的数据自动转换,为项目的发展带来助力。随着用户群体的扩大,需要更加关注解决方案的基础设施,以确保能够为多个市政机构提供服务。目前,有两位专职开发人员负责维护整个平台,同时也得到了志愿者的贡献,参与开发的人数随着时间的推移而扩大。Cityvizor平台的发展过程:综合市政机构和Operator ICT专家的反馈意见,决定引入新增功能。Open Cities在讨论新功能时与各市政机构进行了广泛的沟通和讨论,以了解他们对解决方案未来发展的偏好。新功能的开发和成本由提出功能请求的一方负责。因为Open Cities的预算有
47、限,无法承担新功能开发所需的费用。Open Cities是非政府组织,其资金来源于参与的市政机构支付的会费。这些资金被分配给各个项目,用于确保其维护和管理。然而,如果市政机构对创建新功能有强烈的动机,开发成本可以直接由会费或Cityvizor的服务费用来支付。市政机构提交的功能请求:截至2022年3月,Cityvizor平台或其软件分支已在捷克10个城市中得到应用,其中包括布拉格和奥斯特拉发市的多个市政区。布拉格作为首都积极支持14个市区的参与,更多市区正处于准备加入的阶段。与此同时,奥斯特拉发市已经连接了11个市区,使得越来越多的地区能够受益于该平台的应用。市政机构是否采用Cityvizor
48、平台取决于当地议会的批准。一旦获得批准,市政机构将被邀请了解该平台,并通过提供解决方案的演示环境来评估其是否符合他们的需求。截至2021年3月,使用捷克GINIS系统的市政机构可以自动将其会计系统与Cityvizor连接起来。而对于使用其他系统的地方政府来说,尚未建立自动连接机制,需要将其会计数据导出为与该解决方案兼容的格式。Cityvizor在公共行政机构内的使用:选择采用Cityvizor的市政机构受益于一个集中的预算可视化工具,该工具真正实现了透明,并提供公众访问财务数据的机会。平台通过展示历史数据、详细发票和合同,以及专家对公共开支的审计,有助于推动对政府支出进行政治辩论的活动。通过可
49、访问的演示页面,该解决方案提供了快速测试的机会。同时,对于具备独立实施和配置软件能力的市政机构来说,可以利用GitHub上提供的代码进行自主的代码复用。对于需要支持的市政机构,Open Cities将提供支持,协助导入数据,并与Operator ICT的专家一起验证会计数据的准确性。针对希望探索平台上可用数据的用户,Cityvizor提供了一个API,用于以计算机可处理的格式下载数据。开源技术在透明的市政管理中的应用:优势与挑战采用Cityvizor的优势:全球开源态势洞察第十一期12据Open Cities表示,捷克市政机构在采用Cityvizor时面临一些阻碍。由于地方政府在会计方面采用不
50、同的方法和流程,因此需要进行个别的手动调整,以确保数据具有意义并与市政机构希望公开的内容保持一致。另一个阻碍Cityvizor推广的原因是各个市政机构数据交付的不一致性,因为不同类型的数据输入和更新频率可能使公众难以跨地方政府进行数据分析。为了应对这些挑战,Cityvizor的服务提供商建议通过立法来统一详细的预算和会计记录水平。最后,采用该平台面临的一个政治障碍是需要地方议会的批准。该过程需要与市议会合作,并在全面实施之间需要适时进行,整个过程需耗时六个月至一年半的时间。在Cityvizor完全实施流程中,每个市政机构都需要进行个人资料创建、数据测试、可视化控制,并最终发布市政机构的个人资料
51、。采用Cityvizor的挑战:Cityvizor的部署和采用依赖于捷克共和国开源和开放数据社区的积极参与,财政部通过组织公开会议和演示会来推广该平台。财政部与Open Cities在项目上的合作被Vyhnnek形容为非常成功,在降低开发成本的同时保证了解决方案的质量。同时,与市政机构和Operator ICT合作的会计专家的参与也有助于确保财务数据在平台上的正确显示。好的实践是政策制定者关注的重点除了通过覆盖更多的市政机构来促进用户增长,Cityvizor的开发人员还致力于增加与平台自动连接的会计系统的数量。此外,市政机构还提出将特定公共部门组织(如学校、博物馆、医院)的数据导入到Cityv
52、izor中以展示其预算管理情况。2022年,Open Cities计划继续完善可视化功能,覆盖奥斯特拉发和布拉格的所有市政区,并添加地区公共预算,特别是中波希米亚州和卡罗维发利地区。未来发展Cityvizor的亮点在全球开源发展态势洞察 2023年第九期|总第十一期中,我们梳理了开源软件国家情报报告芬兰,其中对于Oskari平台的描述引人关注:“Oskari是芬兰的开源地图平台,于2017年开发。此次实践强调了在公共部门中共享政府IT解决方案的重要性及优势。此外,共享政府IT解决方案还可以提高系统的质量和可靠性,使用开源软件意味着可以借助全球开发者社区的力量,对系统进行广泛的合作开发、审查和改
53、进,确保系统的高质量和稳定性,减少对技术供应商的依赖,避免陷入技术束缚。”因此,对开源地图平台Oskari展开研究,以探究维持公共部门开源社区可持续性发展背后的机理。Oskari是一个用于构建Web地图应用程序、展示和分析地理空间数据的开源框架。Oskari中采用的分布式空间数据基础设施使得公共管理部门和其他机构能够共享空间数据并实现协作。此外,Oskari还支持欧洲议会和欧盟理事会于2007年3月14日颁布的建立空间信息基础设施的指令(inspire)以及OGC(开放地理空间信息联盟)标准。欧盟空间信息基础设施(INSPIRE)是欧洲空间信息基础设施建设法令。目的是建立欧盟统一的空间信息基础
54、设施,实现有关环境空间信息在统一的框架下全欧盟范围内的共享,便于跨区域的政策决策及应用。2007年INSPIRE指令通过后,芬兰国家土地调查局(NLS)于2009年推出Oskari,旨在建立一个地理门户网站,存储与该指令相关的信息和必要数据集,并展示现有工具,以支持公共部门机构实施INSPIRE指令。Oskari的创建可视为对实施INSPIRE指令的直接回应。文/赵海玲公共部门开源社区的可持续性研究:Oskari案例研究全球开源态势洞察第十一期13全球开源态势洞察第十一期14Oskari具有以下主要特点:Cityvizor基于两个主要组件构建而成:Oskari的关键里程碑:Oskari开源软件
55、解决方案为公共机构提供了绘制网络地图的解决方案,以向公民提供更优质的数字服务。约有40多个组织参与Oskari的开发,被芬兰和国际上的多个公共和私营机构广泛应用,用于支持各类地理空间项目。最初,Oskari被设计为一个地理门户,旨在托管与INSPIRE指令、数据集和文档相关的信息,以支持公共管理部门在实施该指令方面的工作。鉴于市场上现有的工具难以满足指令的要求,芬兰国家土地调查局(NLS)决定采用创新的开发方法(如SCRUM方法论),并结合现有的开源资源,在内部开发软件。Oskari是采用Java和Javascript进行开发,利用GeoTools、GeoServer、OpenLayers和P
56、ost-greSQL等多种开源工具构建而成。能够与INSPIRE数据服务或其他通过标准OGC API提供的数据源进行连接,从而提供不同类型的数据。该软件的工具和生产服务器运行在Linux操作系统上,所有源代码于2011年在GitHub上以MIT和EUPL许可证发布,赋予用户自由使用和分发的权力。Oskari的架构基于两个主要组件:前端(用户界面)和后端(服务器端组件)。用户界面采用单页应用程序的架构,通过使用各种模块,用户可以自定义界面,以满足其个性化需求。这些模块可以单独或组合使用,还可以创建额外的模块。服务器端提供可部署的网络组件,用于管理和启动基于Oskari的应用程序的用户界面,从而实
57、现更高级别的定制化。如今,来自公共部门和私营部门的40多个组织都参与了Oskari项目。其中,一些主要的贡献者包括芬兰交通局、坦佩雷市、芬兰统计局、约恩苏市、冰岛国家土地调查局和摩尔多瓦国家土地调查局。使用Oskari的市政当局主要依靠该解决方案进行空间数据和城市规划。像坦佩雷这样的大城市,根据自身需要开发新功能,积极为Oskari的发展和可持续性作出贡献。在Oskari推广方面,没有专门的机构负责,整个社区共同承担着利益相关者的参与和推广活动,从而帮助确保Oskari能够触达更广泛、多元化的受众群体。Oskari是一款功能强大且易于使用的基于浏览器的工具,专门用于访问多种来源(如政府的应用程
58、序)的空间数据。通过提供用户友好的向导程序,轻松创建嵌入式地图,包括来自多个数据源的地图图层;通过简单的编程技能,轻松自定义地图用户界面;根据地理空间统计数据创建专题地图,并基于空间数据进行分析。2007年,INSPIRE指令开始生效。该指令旨在在欧洲建立空间数据基础设施,以确保数据库之间的互联互通,促进空间数据的传播、可获得性、使用和重用。Oskari注释:INSPIRE指令于2007年4月25日发布,2007年5月15日生效。为了确保各参与国空间信息基础设施的兼容一致,INSPIRE提出了全欧洲范围内实现空间信息共享的总体框架和统一的执行法规,包括元数据、空间数据集、空间数据服务、网络服务
59、、数据与服务共享政策、监督与报告机制等。注释:SCRUM是一种敏捷软件开发中应用广泛的用迭代增长过程进行软件开发的方法。通过将复杂的项目分解为短期可迭代的工作周期(称为Sprint),在每个Sprint中实现可交付的增量,并在团队成员之间实现高效的协作和沟通。全球开源态势洞察第十一期15Oskari项目的开发始于2009年。当时,芬兰国家土地调查局(NLS)开始构建一个国家地理门户,以支持INSPIRE指令的实施。由于传统地理门户无法完全满足现有的需求,芬兰国家土地调查局(NLS)决定自行开发内部工具。初衷是建设成为公共机构提供包含信息、数据集和文档的综合在线地图服务,以支持和鼓励国家空间数据
60、基础设施(SDI)的广泛应用。随着软件的发布,其他政府机构对在其网站上添加地理门户表现出浓厚的兴趣。为满足这一需求,2011年,Oskari开源软件解决方案被发布。随着软件的不断发展成熟,有必要为社区内的开发者定义更明确的角色和责任,并建立一套有效的治理结构。2014年,Oskari平台的发展以开放的网络形式组织起来,吸引来自公共和私营部门的多个组织加入其中。2016年设立了项目指导委员会,该委员会由九个核心组织组成,负责进行技术讨论和决策。这些举措的目的是更好地管理和推进Oskari项目的发展,确保其持续运作和进步。Oskari项目跨越国界,被广泛复用。北极理事会与成员国合作推出基于Oska
61、ri平台构建的北极空间数据基础设施地理门户,旨在支持和促进北极地区空间数据的共享和交流。该门户为用户提供了丰富的北极地区地理信息资源,并支持各方进行地理分析和决策制定。此外,2016年,冰岛发布了由Oskari支持的国家地理门户,进一步展示了Oskari在国际上的影响力和应用广泛性。同时,Oskari在其他多个国际项目中均被广泛使用,进一步证明了其在地理信息领域的重要性和可靠性。2017年,Oskari开始向私营企业提供软件支持,并提供托管、服务和开发等销售服务。自2019年起,希望获取更多有关Oskari的专业知识的用户可以通过私营公司提供的培训课程来获取。近年来,Oskari的合作网络以稳
62、定的速度不断壮大。从2014年的10个成员发展到如今的40多个组织,这充分的证明了Oskari在公共和私营机构中的广泛传播和成功发展。起初作为响应INSPIRE指令要求而建设的芬兰地理门户,如今已成长为用于构建多功能的Web地图应用的全球性解决方案。根据Timo Aarnio的观点,Oskari不仅实现了最初的目标,而且在可持续性方面超越了预期,成为一个具备可持续发展的开源项目。这种可持续性归功于以下四个关键要素:可持续的资金:确保公共部门开源项目的可持续发展离不开稳定的资金来源。在Oskari项目中,最初的预算来自芬兰农业部(国家土地调查机构的资助单位)。国家土地调查局(NLS)在多项服务中
63、持续使用Oskari,为项目提供了稳定的资金来源,以维护现有服务的正常运行。然而,随着项目的发展,获取资金的挑战逐渐显现,因为并非所有使用Oskari的组织都愿意提供财务支持。为了保持资金的稳定,核心项目指导委员会的九个组织每年向项目缴纳5,000欧元的费用。这些努力有助于确保资金的稳定性,并为Oskari的可持续发展打下了坚实的基础。公共部门采用的激励措施:为确保Oskari等开源项目在公共部门的可持续发展,公共部门的支持至关重要。Timo Aarnio强调获得高级官员和主管的支持,并积极参与其中的重要性。通过战略性地利用组织内部对项目的依赖关系,确保项目的生命周期可持续,并为其长期稳定提供
64、支持。此外,这种参与还能够促进公共部门更好地了解、支持和推动开源项目的发展,实现共赢的局面。在像Oskari这样涉及众多利益相关者的项目中,软件架构的模块化特性至关重要。它能够促进敏捷开发,使开发人员能够及时响应各个组织的需求。软件越灵活,就越具备可持续性。此外,如果多个贡献者要共同管理代码,代码必须以清晰易懂的方式构建,以便于修订和审查。同时,高质量且及时更新的文档对用户来说非常重要,应随时可供使用。为确保软件开发和文档维护的质量和一致性,必须建立适当的流程和机制。对于涉及多个组织的大型开源项目而言,有效的沟通对于维护利益相关者的参与至关重要。Oskari利用项目指导委员会提供的部分资金雇佣
65、了一位社区经理,负责处理内部和外部的沟通工作。社区经理的角色在于确保项目的顺利运作,以及各利益相关方之间的流畅沟通。公共部门开源社区的可持续性:可持续与挑战可持续:HTML全球开源态势洞察第十一期161.Oskari项目最初源自公共机构,随后扩展至私营部门。2014年,这种多元化带来了挑战,部分私营公司认为Oskari利用他们的工作和贡献为公共管理服务开发新解决方案。为解决这一问题,Oskari进行了调整,优化其服务模式以更好地满足公共部门需求。目前,Oskari专注于为公共机构提供实施基于Oskari的解决方案的支持,而不再专门开发定制化的代码。2.对于Oskari项目而言,社区建设一直是一
66、项具有挑战性的任务。Timo Aarnio观察到,个人和组织在不同阶段的参与度存在不平衡的情况。在长期项目中,管理这些多样化的贡献是困难的。为了克服这个难题,Timo Aarnio建议管理部门应该启动更长期的项目,专注于确保稳定的贡献和资金支持,而不是仅仅计划一两年的短期参与。这样的长期项目更有望在可持续性方面取得成功,相对而言,短期项目则更容易陷入可持续性方面的困境。3.根据Timo Aarnio的观点,公共部门在开发新的开源项目时必须充分认识到项目生命周期的重要性,需要向所有利益相关者明确传达项目需要长期的承诺。通常情况下,公共部门更倾向于开展较短期项目。然而,开发开源软件解决方案并非只关
67、注在几年内就能完成一个完整版本,还包括对软件的维护、持续升级和进一步开发。因此,公共机构必须展现出高度的承诺和决心,确保能够长期、持续地获得使用开源软件所带来的优势和效益。挑战:08法律速递自Neo4j,Inc.v.PureThink,LLC案于2022年2月18日由美国第九巡回上诉法院以非判例形式作出上诉处理意见1以来,该案并未就此平息。2023年1月28日,PureThink等基于违约、就AGPL Com-mons Clause 条款不适用于专业服务申请确认性救济等理由向美国加州北区地方法院对Neo4j正式提起反诉2。2023年2月10日,反诉被告Neo4j向法院提起动议要求驳回PureT
68、hink的反诉申请。截至目前,美国加州北区地方法院尚未对该驳回动议发表进一步意见。Neo4j公司注册了NEO4J商标,开发并以GPLv3许可证发布了社区版Neo4j CE,之后使用AGPLv3+Commons Clause的许可证(法院将其称为瑞典软件许可证)发布了企业版Neo4j EE v3.4及v3.5 Beta。基于Neo4j公司的Commons Clause约定,非付费公众将前述企业版用于商业转售和从事商业支持服务将被禁止。2018年11月,原告使用商业许可证发布了Neo4j EE v3.5,不再公开源码。被告PureThink公司作为Neo4j商业版的分销商(基于SPA协议),其联合
69、他人成立GFI基金会并以Neo4j EE v3.4为基础开发了ONgDB,但删除了瑞典软件许可证中的Commons Clause,只以AGPL许可证进行了发布;2019年,被告推出ONgDB v3.5.1,包含了大量Neo4j EE v3.5 Beta的代码。原告以其虚假宣传、违反许可证等为由将PureThink起诉至美国加州北区地方法院。本案经一审上诉,最终由美国第九巡回上诉法院于2022年2月18日作出上诉处理意见,维持了初审判决3,重申了须禁止被告PureThink公司将ONgDB表述为具有相同版本的Neo4j企业发行版的免费且开源替代品(“a free and open source
70、drop-in replacement”)的广告宣传,以及可能导致消费者相信ONgDB是Neo4j美国公司或Neo4j瑞典公司产品,或与Neo4j美国公司或Neo4j瑞典公司产品相同的任何声明。此前初审法院认可,上游被许可人所自行增设的Commons Clause作为“进一步限制”可被下游被许可人移除,但原版权人增设的则不能移除,故而还判令禁止被告PureThink公司宣传Neo4j EE是仅仅以AGPL发布的;禁止被告PureThink公司宣传Neo4j瑞典公司在Neo4j EE的许可证中添加Commons Clause违反了AGPL的规定;禁止被告PureThink公司宣传从瑞典软件许可证
71、中删除Commons Clause是合法的,以及类似的声明。开源律师 Kyle E.Mitchell曾批判,初审中以“能否拿掉Commons Clause”为准评判是否系“免费且开源”的主张,并未真正考虑到OSI意义上的开源定义4;事实上,即使PureThink不拿掉Com-mons Clause,其ONgDB也不应被视为“免费且开源”软件,因为Neo4j层面使用AGPL+Com-mons Clause已非OSI定义的开源。反诉提起之后,软件自由保护协会(Software Freedom Conservancy,SFC)的政策研究员Bradley M.Kuhn提交专家报告5以解决该案中AGPL
72、的解读问题。Kuhn作为Affero Clause的倡议者与AGPLv3的起草人之一指出,初审及上诉法院判定被告不得删除Commons Clause的结论是错误的,禁止被告将生成的代码称为FOSS也是有问题的。SFC称这份专家报告不仅澄清了过去媒体上关于此事的混乱和不正确的信息,而且还全面总结了AGPLv3 和 GPLv3 中“further restrictions”这一条款是如何创设的。PureThink等反诉Neo4j,涉及AGPL Commons Clause条款争议进展跟踪:案情回顾:相关解读:全球开源态势洞察第十一期17全球开源态势洞察第十一期18Neo4J v.PureThink
73、一审及上诉判决已由“源译识”项目组翻译,请见:https:/ EE的一个免费版本,毫无疑问,这种价格差异(免费v.付费)可能会影响客户的购买决策。(Because Defendants mis-represented ONgDB as a free version of Neo4j EE licensed under the APGL,there is no doubt that this price differential(free versus paid)was likely to influence customers pur-chasing decisions)”显然该法院将“fre
74、e”解读为对价格(免费)的宣传。对此,我们认为这与AGPLv3序言中所指出的“所谓自由软件,强调的是自由,而与价格无关(When we speak of free software,we are referring to freedom,not price.)”,即“free”意指“自由”存在偏差。法务与知识产权部撰稿1https:/ Torvalds创建了Linux内核。如今,它发展成为全球最大的开源软件项目之一。早在2003年,芬兰公共部门就率先实施了鼓励使用开源软件替代专有软件的政策。2019年6月,新上任的政府发布了名为一个积极参与、知识丰富的现代芬兰一个社会、经济和生态可持续发展的社
75、会的纲要1该纲要旨在推动芬兰在信息管理领域取得卓越成就,并促进开源软件解决方案在公共信息系统和政府采购中的广泛应用。除了芬兰政府积极支持公共管理部门从使用专有软件过渡到使用开源软件外,芬兰的协会组织如芬兰开放系统及解决方案中心(COSS)2 和Avoinkoodi3协会也在该领域发挥着重要作用。这两个协会致力于在政府、市政、教育和私营部门开展项目。例如,各个城市和市政当局正在开发基于开源的网站和网络服务,以造福芬兰公民。本章将介绍制定开源软件政策的主要政府机构,以及与各级政府合作以提高开源软件意识的主要战略伙伴。在芬兰,没有专门负责开源软件政策的政府机构。财政部下设的信息与通信技术部门(公共I
76、CT)4负责推动公共管理部门数字化政府的总体发展,并协调相关的联合开发项目。该部门参与了早期政策和法律文件的制定,如财政部关于国家信息系统代码和接口开放性的工作报告建议(2003)。作为财政部的支持机构和公共管理部门的合作机构,芬兰公共数据管理咨询委员会(JUHTA)5 负责对公共行政信息管理提出建议,包括在公共管理部门中推广开源软件的使用6。该委员会由芬兰政府每三年进行一次任命,然而自2019年2月以来,其职能未获得续任7。战略参与者Kuntaliitto是芬兰的地方政府协会8,与芬兰开放系统及解决方案中心(COSS)和Avoinkoodi.fi网站合作,共同致力于推广开源软件并为公民提供现
77、有的开源软件解决方案。在Kuntaliitto的努力下,芬兰许多市镇正在积极采用开源软件9。芬兰开放系统及解决方案中心(COSS)10 是一个非营利性协会,致力于推广开源、开放数据、开放标准和应用程序编程接口(API)的发展。COSS专注于企业解决方案、公共部门、学校以及移动和嵌入式系统。COSS是一个帮助软件和服务需求者找到匹配的解决方案和企业合作伙伴的平台。此外,COSS还通过组织会议,提供许可证方面的专家协助来为企业提供法律服务并促进国际合作。同时,COSS还支持关于开源软件主题的研究,开发适用于学校的开源软件。政策与法律框架本节总结了过去十年中与开源软件有关的主要政策和法律法规,包括该
78、领域已知的第一个里程碑。该列表从最新的重要事件开始,按时间顺序排列。全球开源态势洞察第十一期19全球开源态势洞察第十一期20Open source software initiatives开源软件倡议2019年政府计划11特别强调了开源、开放数据和开放接口的重要性,并将推广使用开源软件解决方案作为公共行政的优先事项,并规定公共信息系统采购中必须使用开放接口,以提高系统的互操作性和数据的可共享性。早在十年前,即2009年2月,一项专门为使用开源软件而起草的建议被采纳。公共行政部门关于使用开源软件的建议12 旨在:2008年,芬兰公共数据管理咨询委员会(JUHTA)发布了一份面向公共行政部门的开源
79、采购指南13该指南探讨了在采购开源软件过程中的特殊考量。其中还包含如何处理与开源许可证、风险以及其管理相关的法律问题的信息,并重点聚焦政府机构。先前的相关政策有Linux应用机构的联合企业(2003年)14,15 和关于国家信息系统代码和接口开放的建议(2003年财政部工作文件)16,呼吁政府机构考虑开源软件替代方案。KOHA图书馆系统,201917:KOHA是一个开源的图书馆系统,从2019年开始被芬兰各地的图书馆采用,首先开始于韦斯屈莱大学(the University of Jyvskyl)。KOHA是一个由各种开源功能组成的模块化系统,如软件目录Melinda18。芬兰的其他学术图书馆
80、以及芬兰国家图书馆的系统也正在向KOHA迁移。X-Road和NIIS,201719:X-Road是爱沙尼亚和芬兰使用的信息系统数据交换层,是一个使信息系统之间能够基于互联网进行安全数据交换的技术和组织平台。2017年,两国成立了北欧互操作性解决方案研究所(NIIS),以便以更正式的方式深化合作,共同管理X-Road的开发20。整个X-Road的源代码是公开的,任何人都可以使用。Oskari,201721:Oskari是芬兰的开源地图平台,于2017年开发。此次实践强调了在公共部门中共享政府IT解决方案的重要性及优势。此外,共享政府IT解决方案还可以提高系统的质量和可靠性,使用开源软件意味着可以
81、借助全球开发者社区的力量,对系统进行广泛的合作开发、审查和改进,确保系统的高质量和稳定性,减少对技术供应商的依赖,避免陷入技术束缚。City of Turku,201622:图尔库以基于原始许可证的共享使用协议的形式提供在线开源服务。网络服务的透明开放性使得每个人都能利用新闻动态和活动日历功能的源代码。该网站于2016年由图尔库市推出。为了满足用户的需求,该服务始终坚持以用户为中心的开发理念,灵活快捷地响应和满足用户的需求。“Helsinki Loves Developers”,201523:此为芬兰的首都赫尔辛基推出的一个开发者门户网站,自2015年起由该市的开源软件开发团队负责运营。此开发
82、团队在GitHub上也很活跃。Open Kvarken,200824:在2008年至2011年期间,瑞典的于默奥市(Ume)和芬兰的瓦萨市(Vaasa)合作开展了开放克瓦尔肯(Open Kvarken)项目。在项目期间,他们在克瓦尔肯地区测试、引入并推广不同的开源软件解决方案。Avoinkoodi.fi25:Avoinkoodi是由芬兰开放系统及解决方案中心(COSS)维护的服务网站,它收集了已公开发布源代码的开源软件解决方案。该服务主要面向政府行政部门、开源教育服务、市政当局和城市。Open Hmeenlinna倡议(开放技术城市)26:开放海门林纳(Open Hmeenlinna)倡议的所
83、有参与者都致力于使用开放技术(包括开放源代码、开放数据和开放接口)并促进其发展。这些参与者包括海门林纳市政府、教育机构(提供开放技术教育课程和学习途径),以及各种有使用开源软件解决方案历史的大型公司。该倡议包括为所有参与者提供一个路线图,供所有参与者了解如何推进开放海门林纳倡议的发展和开放政府的构建。本节介绍了芬兰主要的开源软件相关倡议的概况。该列表从最新的倡议开始,按时间顺序排列。1.降低公共部门采购中利用开源软件的门槛,使更多的IT采购人员能够充分利用开源软件的优势;2.提高公共部门IT采购人员对开源软件的了解水平;3.就如何解决软件采购过程中的法律和商业问题提供建议;4.推广开源软件采购
84、方面的良好实践。全球开源态势洞察第十一期21Roam.fi27:Roam.fi是芬兰的市政当局和城市广泛使用的无线网络服务。这是一个高质量、易于扩展的网络系统,采用开放的标准和身份识别机制,旨在为公共服务提供无缝网络连接体验。1https:/julkaisut.valtioneuvosto.fi/bitstream/handle/10024/161664/Inclusive%20and%20competent%20Finland_2019_WEB.pdf?sequence=7&isAllowed=y2https:/coss.fi/3http:/avoinkoodi.fi/4https:/vm.
85、fi/osastot5JUHTA is a permanent co-operation and negotiation body for ministries and municipal governments.The task of JUHTA is to promote the modernisation and implementation of public administration practices and services by utilising ICT.6http:/www.jhs-suositukset.fi/suomi/jhs1697https:/vm.fi/han
86、ke?tunnus=VM130:00/20158https:/www.kuntaliitto.fi/9https:/www.itewiki.fi/blog/2019/05/kuntasektori-suuntaa-kohti-avoimen-lahdekoodin-ratkaisuja/10https:/coss.fi/en/11https:/julkaisut.valtioneuvosto.fi/bitstream/handle/10024/161664/Inclusive%20and%20competent%20Finland_2019_WEB.pdf?sequence=7&isAllow
87、ed=y12http:/www.jhs-suositukset.fi/suomi/jhs16913http:/www.jhs-suositukset.fi/c/document_library/get_file?folderId=50575&name=DLFE-1208.pdf14https:/ Applied Linux Institute run by the Department of Communications and the Institution of Adult Education of Vantaa at the University of Helsinki,and the
88、Department of Schooling and Education of the City of Vantaa,(all public institutions),conducts research and development on OS applications.16http:/www.valo-cd.fi/oppaat/VM-suositus-avoimuudesta.pdf17https:/www.kiwi.fi/pages/viewpage.action?pageId=9319782418https:/www.kansalliskirjasto.fi/en/search?k
89、eyword=services%20metadata-reserve-services%20melinda19https:/www.niis.org/20https:/www.niis.org/history21https:/verkosto.oskari.org/en/front-page/22https:/www.turku.fi/uutinen/2016-09-08_turku-avaa-verkkopalvelun-lahdekoodin-yhteiseen-kayttoon-023https:/dev.hel.fi/24https:/www.openkvarken.fi/25http
90、:/avoinkoodi.fi/26www.openhameenlinna.fi27https:/www.roam.fi/CONTENTS目录第十期01 行业发展02 前沿技术03 开源安全AMD正计划使用开源的OpenSIL代替AGESA开放服务网格OSM(Open Service Mesh)项目已停止维护KSOC推出业内首个实时Kubernetes安全态势管理平台Nutanix推出Kubernetes数据管理平台Nutanix Data Services for Kubernetes Mirantis发布轻量级Kubernetes发行版k0s v1.27Azure AKS正式推出网络方案A
91、zure CNI Overlay 232323242424Envoy Gateway v0.4发布OpenYurt v1.3.0发布Rainbond v5.14.0发布Prometheus v2.44.0发布Contour v1.25.0发布Trivy v0.41.0发布Flagger v1.31.0发布D2iQ Kubernetes Platform v2.5发布2525252526262626DEF CON将举办全球最大规模AI黑客大赛微软将用近一年时间完成对0-day Secure Boot漏洞的修复工作272704 开源热点芬兰南萨沃计划建立开源能力中心Decidim参与式民主的开源平
92、台正在被日本广泛使用图林根继续支持开源替代方案2828293031323706 开源创业企业PingCAP平凯星辰07 开源报告开源软件国家情报报告-捷克05 开源法律速览案例分享:全国首例GPL抗辩获得支持案开源许可与美国裸许可失权制度介绍AMD正计划使用开源的OpenSIL代替AGESA开放服务网格OSM(Open Service Mesh)项目已停止维护在最近举行的Open Compute Project地区峰会上,AMD披露正计划用开源的Open-Source Silicon Initialization Library(OpenSIL)代替AMD Generic Encapsulat
93、ed Software Architecture(AGESA)固件的计划。新固件将经历四个阶段的开发周期预计到2026年开始投入使用。OSM(Open Service Mesh)是一个轻量级、可扩展的云原生服务网格项目,旨在为运行在Kubernetes上的应用程序提供简单、完整且独立的服务网格解决方案,包括处理在Kuberne-tes集群上运行的微服务的流量管理、策略执行和可观测性等任务,以简化应用程序的部署和管理。OSM于2020年8月推出,同年加入云原生计算基金会(CNCF)。不久后,该项目成为云原生计算基金会(CNCF)沙箱级别的项目。2022年初,OSM正式发布v1.0.0版本。近日,
94、OSM维护团队宣布OSM不再发布新的版本,团队将转向与Istio社区共同合作,来推进Istio的发展。此外,OSM向云原生计算基金会(CNCF)申请进行项目归档,目前还未真正执行。KSOC推出业内首个实时Kubernetes安全态势管理平台近日,KSOC推出业内首个实时Kubernetes安全态势管理平台。Kubernetes安全态势管理平台可以通过实时上下文以及当前和历史信息准确定位攻击活动,同时还可以根据集群的当前状态提供可操作的补救措施。具体功能包括:实时态势管理,发现基于事件的错误配置;汇总并找到Kubernetes RBAC中的过度权限;防止部署不合规的工作负载,减少潜在爆炸半径;扫
95、描漏洞并为运行的容器生成SBOM。OpenSIL的目标不是取代UEFI,而是集成在其他主固件中,比如核心启动、重启、Forti-BIOS,可以与主固件静态链接,绕过任何主固件协议。Google、AWS(亚马逊)、Meta(Face-book)、AMI等行业巨头,都是AMD Open-SIL的合作伙伴。AMD为实现OpenSIL设定了四个阶段的POC(概念验证)评估工作,第一阶段已开始,兼容Zen4架构的四代霄龙(Genoa),接下来经过Zen5架构的五代霄龙(Turin),最终在2026年Zen6架构的六代霄龙上成为默认值,届时AGESA则会退出。注释:OpenSIL的全称为“Open-Sou
96、rce Silicon Initialization Library”(开源硅初始化库),作为一套开源解决方案,使用标准行业语言编写,不但可以实现AGESA的各种传统功能,还有轻量化、简单、透明、安全、扩展灵活等优势。全球开源态势洞察第十期2301行业发展Nutanix推出Kubernetes数据管理平台Nutanix Data Services for Kubernetes 近日,Nutanix推出Kubernetes数据管理平台Nutanix Data Services for Kubernetes。具体功能如下:NDK为Kubernetes应用提供数据保护、恢复、迁移、克隆和复制等管理功
97、能;支持将恢复时间目标(RTO)和恢复点目标(RPO)从几天缩短到几分钟;提供策略驱动的有状态应用管理;Kubernetes和IT管理员可以通过制定规则和限制来管理基础设施,并启用自助式工作流程。Mirantis发布轻量级Kubernetes发行版k0s v1.27Docker和Kubernetes开发公司Mirantis发布了其轻量级开源Kubernete发行版的最新版本k0s。新版本与全新的Kubernetes 1.27版本兼容,并进行了各种其他改进和错误修复,版本特性更新如下:兼容Kubernetes1.27;支持容器插件,如WebAssembly(WASM)和gVisor容器沙箱;k0
98、s将用自建的镜像来运行所有的系统组件;支持控制Helm chart的安装顺序。全球开源态势洞察第十期24Azure AKS正式推出网络方案Azure CNI OverlayAzure CNI Overlay可以利用覆盖的网络来降低IP地址的使用率,同时提供更好的性能和可扩展性。借助该功能,AKS集群可以扩展至非常大的规模,并且用户定义的私有CIDR还可以在不同AKS集群中重复使用,从而大幅扩展了AKS中运行的容器化应用程序可用的IP空间。02前沿技术全球开源态势洞察第十期25Envoy Gateway v0.4发布Envoy Gateway是用于管理Envoy Proxy的开源项目,可单独使用
99、或作为Kubernetes中应用的网关。它通过了Gateway API核心一致性测试,使用Gateway API作为其唯一的配置语言来管理Envoy代理,支持GatewayClass、Gateway、HTTPRoute和TLSRoute资源。近日,Envoy Gateway v0.4发布,版本特性更新如下:升级网关API依赖,升级至Gateway API v0.6.2;支持通过Helm完成Envoy Gateway安装;添加构建初始框架用于扩展Envoy Gateway;添加对基于IP子网的速率限制的支持;支持自定义Envoy代理引导配置、Envoy代理镜像和服务配置注释、资源和安全上下文设置
100、等;添加EDS支持(Endpoint Discovery Service)。近日,OpenYurt v1.3.0发布,版本特性更新如下:重构Openyurt控制平面组件;允许用户为静态Pod定义Pod模板和升级模型;NodePort Service支持节点池隔离。近日,Rainbond v5.14.0发布,版本特性更新如下:各语言源码构建包版本升级;支持一键删除应用及应用下相关资源;使用集群命令行创建的pod有合理的回收机制;域名配置https证书时,增加搜索功能或优先匹配与域名相同的证书;支持配置日志存储路径。近日,Prometheus v2.44.0发布,版本特性更新如下:将每次发送的默认
101、样本数提高到2000;支持处理原生直方图数据;在命令行中添加用于检查Prometheus服务器健康状态和可用性的功能;添加所有查询加载的样本总数指标。OpenYurt v1.3.0发布OpenYurt是由阿里云开源的基于原生Kuberne-tes构建的、业内首个对于Kubernetes非侵入式的边缘计算项目,目标是扩展Kubernetes以无缝支持边缘计算场景。它提供了完整的Kuber-netes API兼容性;支持所有 Kubernetes工作负载、服务、运营商、CNI插件和CSI插件;提供良好的节点自治能力,即使边缘节点与云端断网,在边缘节点中运行的应用程序也不会受影响。OpenYurt可
102、以轻松部署在任何Kubernetes集群服务中,让强大的云原生能力扩展到边缘。Rainbond v5.14.0发布Prometheus v2.44.0发布Rainbond是一款以应用为中心的开源PaaS,深度整合Kubernetes的容器管理和Service Mesh微服务架构最佳实践,满足支撑业务高速发展所需的敏捷开发、高效运维和精益管理需求。Prometheus是一个开源的系统监控和报警系统,受启发于Google的Brogmon监控系统(相似的Kubernetes是从Google的Brog系统演变而来),从2012年开始由前Google工程师在Sound-cloud以开源软件的形式进行研发
103、,于2015年早期对外发布早期版本。2016年5月,继Kubernetes之后成为第二个正式加入CNCF基金会的项目,同年6月正式发布1.0版本。2017年底发布了基于全新存储层的2.0版本,能更好地与容器平台、云平台配合。全球开源态势洞察第十期26Contour v1.25.0发布Contour是基于Kubernetes的Ingress控制器,通过将Envoy代理部署为反向代理和负载均衡器来实现其功能。Contour提供开箱即用的动态配置更新机制,同时保持了轻量级的配置文件结构。此外,Contour引入全新入口API HTTPProxy,该API通过自定义资源定义(CRD)来实现。其主要目标
104、是扩展Ingress API的功能,以提供更丰富的用户体验并解决原始设计中的局限性。近日,Contour v1.25.0发布,版本特性更新如下:Contour的HTTPProxy支持配置Envoy的RBAC过滤器的功能,以根据IP地址允许或拒绝请求;支持将追踪数据导出到OpenTelemetry,以便进行更全面的分析和监控;支持对所有主机进行外部授权;HttpProxy的条件块还增加了对精确路径匹配条件的支持;支持内部重定向;对基于HTTPProxy资源的路由实现了HTTP查询参数匹配功能。Flagger v1.31.0发布Flagger是基于Kubernetes的开源工具,用于实现持续交付和
105、自动化部署。它提供流量分配管理、故障检测和回滚机制等功能,帮助开发人员和运维团队实现高效可靠的应用程序部署和管理。Flagger于2020年7月加入云原生计算基金会(CNCF)。近日,Flagger v1.31.0发布,版本特性更新如下:支持服务网格Linkerd 2.12及更高版本;修复Flux文档中有关安装loadtester的错误;删除OSM测试。D2iQ Kubernetes Platform v2.5发布D2iQ Kubernetes Platform(DKP)是适应生产环境的企业级自主可控Kubernetes平台。DKP基于开源Kubernetes、云原生工作负载及整个云原生生态系
106、统,助力企业获取数字化敏捷性。近日,D2iQ Kubernetes Platform v2.5发布,版本特性更新如下:支持将独立的DKP Essential集群扩展到DKP企业管理集群下进行集中管理;支持通过Kube-bench检查集群是否符合CIS Kubernetes基准;警报内容包括根本信息分析(RCA)和解决方案建议;完全支持Istio;支持ARM64机器;支持外部Load Balancer。Trivy v0.41.0发布Trivy是一款专业的容器漏洞扫描工具,旨在帮助用户识别并解决容器镜像中的安全漏洞。它支持多种容器镜像格式和操作系统,并提供全面的漏洞扫描功能。Trivy能检测操作系
107、统和软件组件的漏洞,以及配置错误等安全问题。此外,Trivy还具备对容器镜像中的文件权限和可疑配置选项等安全配置问题进行全面检查的能力。借助Trivy,用户能够轻松地进行容器镜像的安全评估和漏洞修复工作。近日,Trivy v0.41.0发布,版本特性更新如下:支持使用Vulnerability Exploitability Exchange(VEX)对检测到的漏洞进行过滤;支持为虚拟机镜像生成CycloneDX和SPDX等格式的SBOM(软件物料清单);支持嵌套JAR路径;支持通过分析文件内容来识别dpkg和Go模块的许可证类型;支持使用自定义的Docker socket。全球开源态势洞察第十
108、期2703开源安全DEF CON将举办全球最大规模AI黑客大赛微软将用近一年时间完成对0-day Secure Boot漏洞的修复工作计划于8月10-13日,在拉斯维加斯举办的黑客大会,将邀请OpenAI、谷歌、Antrhopic、Hugging Face、微软、英伟达与Stability AI等顶尖人工智能提供商,共同参与对生成式人工智能系统的公开安全评估。AI Village组织方将这个合作活动描述为“有史以来规模最大的人工智能模型红队演习”。将有数千人参与对公共人工智能模型的评估,期间使用的评估平台由Scale AI负责开发。近日,微软发布了一个补丁,用于修复Secure Boot绕过漏
109、洞。在2023年1月份,微软释出补丁修复了编号为CVE-2022-21894的漏洞,但攻击者很快找到了绕过方法。本次释出的补丁修复了新漏洞CVE-2023-24932。微软称,该漏洞可能被拥有物理访问系统或管理员权限的攻击者所利用。该修复措施与许多优先级较高的Windows修复措施存在显著差异,新补丁不会默认启用,它涉及到对Windows启动管理器进行永久性的更改,最终将导致现有的Win-dows启动媒介无法启动。为避免突然导致用户系统无法启动,补丁将会分三个阶段推出更新。直到2024年第一季度将发布第三阶段的更新,该更新将默认启用修复程序,届时将导致旧的Windows启动媒介将会无法使用。A
110、I Village创始人Sven Cattell表示,“只有让更多的人了解如何开展红队测试和评估人工智能模型,才能解决这些模型中的各种问题。”通过对人工智能模型组开展最大规模的红队演习,AI Village和DEF CON希望能培养出处理人工智能系统漏洞的研究者社区。事实证明,大语言模型的锁定难度远超想象,部分原因在于所谓“提示词注入”技术。人工智能研究员Simon Willison详细介绍了提示词注入的危险,这种技术可以令语言模型偏离正轨,执行创建者想要回避的操作。在DEF CON大会期间,参与者将通过主办方提供的笔记本电脑定时访问多个大语言模型。并将会有一个夺旗式的积分系统,促进测试各种潜
111、在威胁。积分最高的参与者将获得英伟达高端GPU作为奖品。AI Village公告中写道,“我们将公布从此次竞赛中得到的启发,帮助其他想要做类似尝试的人们。希望越来越多的人能知晓该如何使用大语言模型,了解这些模型的局限性。”注释:“红队”测试,是指安全专家尝试在组织系统中发现漏洞或缺陷,以提高整体安全性和弹性的过程。全球开源态势洞察第十期2804开源热点芬兰南萨沃计划建立开源能力中心Decidim参与式民主的开源平台正在被日本广泛使用作为欧盟所资助的Open MemoryLab项目的一部分,芬兰南萨沃地区正在评估确定该地区企业在采用和使用开源软件(OSS)方面所需的支持。Decidim是致力于参
112、与式民主的开源平台,正在被越来越多的国家使用。2020年,它被日本Code for Japan组织引入。首先应用在日本加古川市,现已在其他几个城市得到应用。Decidim平台的首个日本版本主要由日本东京大学先端科学技术研究中心的Yoshimura教授和Code for Japan组织的代理主任Hal Seki负责。现已将源代码上传至其创建的GitHub公开存储库中,使当地社区能够利用该平台。Code for Japan组织致力于在日本公共部门中推广开源作为公民参与社会和民主变革的工具。作为更广泛的Code for all网络的一部分,Code for Japan在日本各地组织了90多个地方团体
113、,这使得解决方案能够在全国范围内轻松地被广泛复用。自2020年10月,日本兵库县加古川市政府采用Decidim以来,该平台已在以下项目中被广泛使用:横滨市参与倡议平台内阁办公室(日本国家政府)智慧城市指南小组(Smart City Guidebook Subcommittee)Decidim在兵库县的应用(Decidim applica-tion in Hyogo Prefecture)在横滨市议员自由民主党的选举中采用Mirai Creative Platform如今,日本的Code for Japan正积极参与Meta-Decidim项目,在发展国际合作的基础上,与本地开源社区开展密切合作
114、,通过案例研究和讨论会不断推进平台在本地的发展。旨在推广Decid-im在国际范围内的应用,并提升其本地化能力。“我们的首要任务是深入地了解该地区企业在采用和使用开源软件方面存在的困难和需求。”来自芬兰东南应用科学大学的Open MemoryLab项目经理Sami Jantunen指出。在短期内,将通过提供支持、培训和协同学习等方式,推动在业务发展和组织战略中充分利用开源解决方案,来满足所确定的需求。在不断的发展中,该项目更为长远的目标是持续地、系统地促进开源软件的使用,协助地区企业和公共机构适应不断变化的数字环境。为实现这一目标,制定在芬兰南萨沃地区米凯利市建立开源能力中心的计划,并与相关的
115、国家和国际网络建立合作关系。“在南萨沃地区建立开源能力中心是一项具有前瞻性的、卓越的举措,旨在填补开源软件在采用和使用中存在的知识鸿沟,使地区企业和公共机构能够充分发挥出开源软件在推动创新、促进协作、控成本、创效益等方面的巨大潜力”。芬兰开放系统和解决方案中心(COSS)的执行主任Timo Vliharju评论到。Open MemoryLab项目于2022年10月启动,计划持续到2023年底。该项目由芬兰东南应用科学大学协调,并得到芬兰开放系统和解决方案中心(COSS)以及当地企业的支持。项目资金由南萨沃经济发展、交通和环境中心、欧洲社会基金和REACT-EU组织提供和支持。注释:Open M
116、emoryLab将提供专业的开源咨询、指导、培训等,加强南萨沃地区公司组织的转型及创新能力,支持保障公司的数字化转型进程及业务发展。该项目旨在与企业间建立密切的互动,以探索和了解企业利用开源技术的现状,加速开源软件的创新。注释:Decidim是致力于帮助公民实现参与式民主的开源平台,通过咨询建议、参与在线辩论、跟进提案等流程参与政府政策法规的制定过程来实现数字民主。全球开源态势洞察第十期29图林根继续支持开源替代方案德国图林根自由州与OpenTalk团队的合作成果在Chemnitzer Linux-Tage大会上宣布并展示。在该会议中,Peer Heinlein(OpenTalk首席执行官)与
117、Christian Sttzer(图林根自由州财政部负责人)就“图林根自由州的IT战略:开源与数字主权”进行联合演讲。Peer Heinlein详细地介绍了解决方案的开发方法,深入地探讨了促进公私合作的措施,以推动该解决方案的广泛采纳和应用。德国图林根自由州已经表明了其对开源项目的支持。其一,在2019年设立开源奖(图林根开源奖由图林根经济、科学和数字社会部发起,旨在提高开源解决方案的认知度),其获奖者包括edu sharing、in.RET、IG Papiergraben。其二,在2019年该州议会通过了一项关于公共采购的规定,明确将开源定义为“源代码公开可访问且许可证不限制其使用、分发和修
118、改的软件解决方案”。图林根州公共采购法(Thringer Vergabegesetz)明确提出,在技术和经济可行的情况下,优先选择采用开源软件。最近,OpenTalk在德国公共管理开源代码仓库OpenCoDE.de中依据EUPL(欧洲公共许可证)共享了其代码。在此之前,他们对解决方案进行了全面重新设计,以满足所需的机密性和安全性要求。OpenTalk首席执行官详细地演示了更多专门为公共管理部门使用该解决方案而开发的各种功能,包括法律合规性、可扩展性等。案例分享:全国首例GPL抗辩获得支持案i05开源法律速递 全球开源态势洞察第十期30基本案情:判决要点:原告未来公司认为被告云蜻蜓公司的“南京工
119、程版投标工具”软件在功能及实现上与原告软件构成实质性相似,被告软件中的配置文件及代码中特有的部分标识、客户名称简称、程序文件的GUID以及拼写上的很多明显错误等与原告软件完全一致,故以著作权侵权为由向法院提起诉讼,要求赔偿经济损失3000万元(后变更为2000万元)。南京市中级人民法院经审理认为,对原告未来公司违反GPL协议的行为给予侵权法上的保护,势必虚置GPL协议关于源代码持续开源的相关规定,对于通过GPL协议让源代码持续开源传播产生不利影响。针对原告涉案软件的主程序部分,对原告主张两被告构成著作权侵权的主张不予釆纳,对其要求两被告承担相应的侵权责任的诉讼请求不予支持。1、非正当手段获取包
120、含GPL协议软件源代码的行为的后果。非正当手段获取包含GPL协议软件源代码的行为,一方面,虽然其获取的源代码中包含GPL协议,但是由于该行为未通过权利人发布的正当手段取得源代码,且与我国著作权保护的精神相违背,不应认定其获取了权利人软件的GPL授权许可。另一方面,非正当手段获取包含GPL协议软件源代码的行为人,由于对权利人软件实施了复制、修改、分发等行为,其实际上以实践行为做出了对GPL协议要约的承诺,其负有GPL协议中的所约定的相关义务。2、“传染性”的认定。判断GPL协议所能传染的衍生软件或修订版本,区分开源代码与自有代码,即确定自有代码是如何与开源代码结合或交互是前提。其次应结合代码的使
121、用场景,即结合代码的功能及其在软件中所起的作用进行判断。最终确定被传染的部分应当是与原开源软件形成密切通信使得二者高度牵连融合成一体的程序,而非只要有数据交换就会构成传染。未来公司软件的主程序与涉案GPL开源代码存在函数调用关系,且该开源代码实现的压缩功能系投标文件上传前不可或缺的功能,故主程序为该开源代码的衍生程序,受GPL协议约束。而预览程序与主程序相互独立,预览程序文件连同不包含GPL开源代码的DLL文件在脱离主程序后,预览程序、主程序都能够独立运行,故预览程序不是涉案GPL开源代码的衍生作品,未被GPL开源代码传染。i https:/ 注:“特邀供稿”系本基金会邀请的第三方供稿,为提出
122、并阐述各方意见,特定稿件观点不代表本基金会观点。特邀供稿1:李维朝“未来公司诉云蜻蜓”一案被告方代理律师江苏瑞途律师事务所合伙人南京市律协知识产权保护法律专业委员会委员合规审查专业委员会委员全球开源态势洞察第十期31开源许可与美国裸许可失权制度介绍案件解读:本案的意义在于:确立开源软件使用规则,维护开源社区秩序,是对“十四五”规划关于建设有国际影响力的开源社区的响应。本案对软件企业的开源合规管理提出了很高的要求,在充分了解开源协议的基础上,一方面,要合规使用开源软件,避免不合规导致自身权利无法得到保护,另一方面,如果不想将自己开发的源代码贡献给社区,则要做好技术隔离措施,根据开源协议的要求,从
123、技术上将自己开发的代码与开源软件隔离开来。商标裸许可(naked licensing)失权制度首见于美国商标法律实践:由于在商标许可中,商标所有人应当对商标被许可人提供的相关商标商品或服务进行质量控制,故而因商标所有人缺失对该等商品或服务质量控制而导致消费者遭受欺诈的情形即为“裸许可”,这将导致推定商标所有人放弃商标,继而造成商标所有人失去商标权ii。在通常情况下,许可过程中的“质量控制”可以通过制定技术标准或技术手段等来实施,但在开源项目中,“质量控制”的实施是复杂的,如果没有商标许可使用的专门规范,商标所有权人很少有机会严格控制根据开源许可协议所修改和分发的软件的质量。鉴于OSI批准的许可
124、证中有部分许可证并未对明确排除任何商标使用(如只禁止背书、广告或其他特定行为),因此可以考虑采取一些措施来规避这类风险,例如在开源许可证中添加条款,以标明商标并声明未授予任何许可;如果不适合在开源许可证中添加条款,可另行添加商标声明,例如OpenJDK商标声明;也可在社区网站上发布商标使用指南,规范商标授权使用的场景和方式等。在Neo4j公司诉Pure-Think公司的开源争议案件中,被告曾以裸许可商标失权作为其抗辩理由之一,但被法院驳回iv。3、不合规使用开源软件的后果。对原告未来公司违反GPL协议的行为给予侵权法上的保护,势必虚置GPL协议关于源代码持续开源的相关规定,对于通过GPL协议让
125、源代码持续开源传播产生不利影响。针对原告涉案软件的主程序部分,本院对原告主张两被告构成著作权侵权的主张不予釆纳。ii 美国商标裸许可失权制度的发展与适用上海市黄浦区人民法院法官助理 魏梦静iii Dare,Tiki&Anderson,Harvey(2009)Passport Without A Visa:Open Source Software Licensing and Trademarks,IFOSS L.Rev.,1(2),pp 99110iv Neo4j,Inc.v.PureThink,LLC,No.5:18-CV-07182-EJD,2021 WL 2483778,at*8(N.D.
126、Cal.May 18,2021开放原子开源基金会的开源公益项目“源译识”公益翻译、“心寄源”专业沙龙、“源规律”公益课程欢迎您的参与和建议详情请见:http:/www.openatom.org/legal-IP 撰稿:刘博雅;审校:王荷舒PingCAP 平凯星辰主要创始团队PingCAP平凯星辰成立于2015年,是一家企业级开源分布式数据库厂商,提供包括开源分布式数据库产品、解决方案与咨询、技术支持与培训认证服务,致力于为全球行业用户提供稳定高效、安全可靠、开放兼容的新型数据服务平台,解放企业生产力,加速企业数字化转型升级。在帮助企业释放增长空间的同时,也提供了一份具有高度可参考性的开源建设实
127、践样本。06开源创业企业刘奇创始人兼CEO知名开源项目TiDB/TiKV/Codis的作者,曾任职豌豆荚/京东,擅长分布式数据库和分布式缓存。黄东旭联合创始人兼CTO开源分布式缓存服务Codis的作者,资深infrastructure工程师,开源狂热分子。崔秋联合创始人开源爱好者。开源项目梳理项目名称项目开源时间技术领域项目归属托管平台GitHub信息开源许可证2015年开源分布式HTAP数据库公司项目Apache 2.0GitHubGitHubGitHubGitHubGitHubApache 2.0Apache 2.0Apache 2.0/公司项目CNCFCNCF公司项目分布式HTAP数据库
128、云原生混沌工程平台开源软件洞察工具分布式Key-Value数据库2022年开源2019年开源2018年开源/TiDBTiFlashChaos MeshossinsightTiKVStar:13K;Fork:2K;Contributor:392;https:/ TiDB 生态中的开发者、用户、Contributor、合作伙伴一起建立的分享、学习平台。截至目前,TiDB社区有超过96K请求、20K主题、196K帖子、2100贡献者。TiKV:TiKV是一个分布式事务型的键值数据库,提供了满足ACID约束的分布式事务接口,并且通过Raft协议保证了多副本数据一致性以及高可用。TiKV作为TiDB的存
129、储层,为用户写入TiDB的数据提供了持久化以及读写服务,同时还存储了TiDB的统计信息数据。TiKV于2018年8月被云原生计算基金会接受为沙盒项目。2019年5月,CNCF宣布正式将TiKV从沙箱项目晋级至孵化项目。2020年9月,CNCF宣布TiKV正式从CNCF毕业。Chaos Mesh:2019年,PingCAP在GitHub上正式开源Chaos Mesh。Chaos Mesh是一个开源的云原生混沌工程平台,提供丰富的故障模拟类型,具有强大的故障场景编排能力,方便用户在开发测试中以及生产环境中模拟现实世界中可能出现的各类异常,帮助用户发现系统潜在的问题。Chaos Mesh基于Kube
130、rnetes CRD(Custom Resource Definition)构建,根据不同的故障类型定义多个CRD类型,并为不同的CRD对象实现单独的Controller以管理不同的混沌实验。Chaos Mesh提供完善的可视化操作,旨在降低用户进行混沌工程的门槛。用户可以方便地在Web UI界面上设计自己的混沌场景,以及监控混沌实验的运行状态。图 ChaosMesh客户全球开源态势洞察第十期33全球开源态势洞察第十期34开源商业模式图 PingCAP客户群通过多年的开源与商业化实践,PingCAP探索出一条自己的的开源商业化模式:社区迭代+企业级订阅服务+云服务。以TiDB项目为例,目前Ti
131、DB具备三种交付形式。一是向社区用户提供社区版,用互联网极致场景打磨产品,快速迭代产品;二是向企业用户提供企业版订阅,提供原厂服务;TiDB企业版软件,为企业关键业务打造,具备分布式强一致性事务、在线弹性水平扩展、故障自恢复的高可用、跨数据中心多活等企业级核心特性,帮助企业最大化发挥数据价值,充分释放企业增长空间。三是向全球企业用户提供TiDB Cloud版本。PingCAP官网数据显示,TiDB在全球设有9个分支机构,分布于中国、美国、新加坡、日本。服务的客户超过20个国家,超过3000家企业用于线上生产环境。企业融资情况发展历程(大事记)时间2022年12月2022年11月2022年9月2
132、022年6月2022年5月2022年4月2022年2月2021年12月2021年11月2021年7月2021年5月2021年4月TiDB首批通过信通院HTAP数据库基础能力评测以“现在决定未来”为主题的PingCAP用户峰会在京线下成功举办TiDB Cloud正式商用TiFlash开源;TiDB 6.0正式发布云原生混沌工程测试平台Chaos Mesh升级成为CNCF孵化项目TiDB 连续24个月在墨天轮国产数据库流行度排行榜上排行第一TiDB Cloud Developer Tier发布,向开发者提供为期一年的免费试用Chaos Mesh 2.0正式GAPingCAP携手CCF,成为VLDB
133、 Summer School独家协办单位PingCAP加入CNCF,成为银牌会员;面向企业级核心场景的TiDB 5.0 GA发版THE RISE OF HTAP HTAP SUMMIT 2022 在北美加州线下成功举办;推出TiDB Cloud Serverless Tier BETA版与阿里云达成合作,云数据库TiDB上线阿里云心选商城;举行“TiDB V6暨PingCAP云战略发布会”重大事件天使轮2015年12月9日数百万人民币;经纬创投、险峰K2VCA轮2016年9月4日700万美元;经纬创投、峰瑞资本、初心资本、云启资本C轮2018年9月5000万美元;复星、晨兴资本领投,华创资本、
134、云启资本、经纬中国等跟投E轮2021年7月20日数亿美元;红杉中国领投、新加坡政府投资公司(GIC)跟投,一起跟投的还有部分老股东,五源资本、GGV纪源资本、贝塔斯曼亚洲基(BAI)B轮2017年6月13日1500万美元;华创资本领投,经纬中国、云启资本、峰瑞资本、险峰长青等跟投D轮2020年11月17日2.7亿美元;纪源资本、Access TechnologyVentures、晨曦投资、时代资本、五源资本共同领投,贝塔斯曼亚洲投资基金(BAI)、Coatue、天际资本、昆仑资本、挚信资本及老股东经纬中国、云启资本跟投全球开源态势洞察第十期35时间2021年1月2020年12月2020年11月
135、2020年9月2020年7月2020年5月2019年12月2019年9月2019年8月2019年6月2019年5月2019年1月2018年11月2018年9月2018年8月2018年4月2017年10月2017年6月2016年12月2016年8月2015年9月2015年4月PingCAP连续两年在CNCF全球贡献排行榜中位列中国企业第一位,全球排名第6位TiDB通过信通院分布式数据库性能与基础能力两项评测PingCAP团队的论文TiDB:A Raft-based HTAP Database入选VLDB 2020,成为业界第一篇Real-time HTAP分布式数据库工业实现的论文;CNCF宣布
136、TiKV正式从CNCF毕业CNCF 宣布云原生的混沌工程Chaos Mesh正式进入CNCF沙箱托管项目TiDB 4.0 GA发版云原生的混沌工程Chaos Mesh正式开源一体化数据同步平台TiDB Data Migration 1.0 GA发版TiDB 用户问答论坛AskTUG正式上线TiDB 3.0 GA发版;TiDB User Group正式成立CNCF宣布正式将TiKV从沙箱项目晋级至孵化项目TiDB Lightning Toolset&TiDB Data Migration正式开源Cloud TiDB公测宣布获得复星、晨兴资本领投的5000万美元的C轮融资TiDB Operator
137、开源;CNCF接纳TiKV作为CNCF Sandbox的云原生项目TiDB 2.0 GA发版TiDB 1.0 GA 发版宣布获得华创资本领投的1500万美元B轮融资TiDB RC1发版获得云启资本领投的A轮融资;第一家客户在生产环境中使用TiDB 在GitHub上开源,一个月Star数超过2700获得天使轮投资,PingCAP成立宣布完成2.7亿美元的D轮融资重大事件全球开源态势洞察第十期36全球开源态势洞察第十期37开源软件国家情报报告-捷克内容概要参与者政策制定者07开源报告直到2023年,捷克的内政部是负责发展和监督捷克开源软件的中央机构,同时,是其通过电子政务举措实现地区办事处和市政当
138、局数字化工作的一部分,内政部希望以此来提高捷克公共管理绩效。自2021年以来,捷克内政部与非政府组织开放城市(Otevrena Mesta)之间开展了重要合作。双方合作的主要领域是code.gov.cz资源库1,该资源库使捷克共和国的公共部门之间能够共享开源项目。在未来,该资源库还应成为公共部门内推动开源倡议和团队合作的契机。用户友好方法论是公共部门取得开源成果的必要条件(例如,如何在公共机构中使用开源软件,如何开发有特殊安全需求的开源软件等),这也是code.gov.cz http:/code.gov.cz 资源库的愿景。政府的“数字捷克”计划推动了开源软件在公共管理部门内的使用,特别是防止
139、受制于某个供应商。自2023年起,数字化议程已从内政部转移到新成立的数字和信息管理局(DIA)。DIA于2023年4月开始运行,并独立于其他部委。这一结构的重组还包括将原有的电子政务首席架构师部门或政府信息社会委员会(RVIS,由负责数字化的副总理担任负责人)重新划分给DIA。DIA被划分为多个行动单位,它们将接管公共行政部门共享的信息系统,如基本登记、CzechPoint(捷克公证系统)和公民门户网站;它们还将制定和执行关于数字服务、用户友好、统一政府及设计的相关标准。培训公职人员使用开源软件是这些行动单位预期开展的一项工作。这个新机构还将负责创新服务,首批项目之一是移动电子钱包。在中央层面
140、,来自捷克各地公共行政部门的ICT项目需经过电子政务首席架构师的审批,首席架构师制定国家互联性政策并负责管理“国家架构计划”。在审批流程环节中,电子政务首席架构师会请求公共管理部门考虑在其正在开发的解决方案中使用开源软件。如果公共行政部门决定使用开源软件,对源代码的任何修改都应公开,以便在整个公共部门体系中进一步共享和重复利用。购置、维护和支持成本等标准是使用开源软件的决策进行评估的依据。在过去几年中,捷克公共行政部门使用开源软件解决方案的情况有所增加。通过最近对数字管理结构的重组,政府提高了在数字政策不同措施之间的协调可能性。捷克的各级行政部门中,有各种各样的开源软件倡议和战略参与者,其中一
141、些最新项目旨在增强协作以提高效率。这会导致公共行政部门遵循统一的方法使用开源软件,同时进一步推动该国的数字化发展。本章节将介绍制定开源软件政策的主要政府机构,以及与各级政府合作以提高开源软件意识的主要战略伙伴。数字和信息局(DIA)是捷克负责电子身份识别、电子认证和公共行政信息系统的中央行政机构。DIA成立于2023年1月1日,从内政部接管了基本登记管理、CzechPoints(捷克公证系统)以及公民门户网站的管理职能。该机构计划在2023年全面运作,并引入像电子服务eDokladovka(捷克国家级的数字钱包)的新服务。该机构是根据关于数字服务的2020年第12号法案以及2022年第471号
142、修正案设立的。信息社会委员会(RVIS)是捷克政府为公共行政和电子政务领域发展数字服务提供治理、咨询和协调的常设机构2。直至2022年8月27日,该委员会在内政部的支持下运作。此后,它由负责数字化的副总理领导。1 http:/code.gov.cz2 https:/www.vlada.cz/assets/ppov/rvpis/statur-RVIS-2022.pdf全球开源态势洞察第十期38战略参与者直到2023年,内政部3捷克负责内政事务和政府行政现代化相关政策的中央机构。该部门的一项主要任务是通过电子政务举措使地区办事处和市政当局数字化,以提高捷克公共行政部门的效率。由内政部电子政务部门负
143、责在公共部门增加使用开源解决方案的议程。Open Content(开源内容网站)13在社会关于“开放”方面扮演者具有教育性、综合性特点的机构角色,尤其是在开放数据、教育、研究、获取国家行政管理许可以及知识共享许可系列问题等方面。知识共享许可证是通过许可自己的作品为开源文化做出贡献的一种可访问的选择。国家网络和信息安全局(NKIB)是网络安全的中央管理机构,网络安全包括信息和通信系统中的机密数据保护以及密码保护。它还负责执行伽利略计划下全球导航卫星系统的公共监管服务。NKIB于2017年8月1日,根据第205/2017号法案设立,该法案修正了关于网络安全和相关法案修正案的第181/2014号法案
144、。NKIB还创建了与公共部门开源软件开发相关的安全建议清单4。该清单是code.gov.cz资源库方法论要素之一。NKIB是开源软件政策和捷克电子政务的战略伙伴。国家通信和信息技术局(NAKIT)https:/nakit.cz/en/成立于2016年2月1日,是捷克共和国内政部的服务机构。该机构通过40多个地区办事处提供信息和通信技术服务。该机构的特殊地位赋予了其广泛的职能范围,并赋予NAKIT建设与IT基础设施、应用程序、网络安全相关新服务的职责,这些服务主要面向救援、安全部队和公共行政部门。捷克开放社会基金会5倡导通过数字化、创新和开源软件解决方案改善公共管理部门的服务。其向致力于提高公共
145、行政部门透明度和效率的组织或个人提供资助,并与对电子政务服务中开源软件解决方案感兴趣的公民会面、组织活动,致力于提升捷克的数字参与度。捷克科学与社会中心(CCSS)7是一家独立的非营利性组织,与捷克国内外的机构和个人相合作。CCSS的重点工作是实施新型通信和信息技术,这些技术可协助进行环境保护工作、风险管理、农业和乡村可持续发展。CCSS提高了人们对欧盟倡议资助的开源软件解决方案的认识,并强调了开放数据和开源软件的重要性。Otevrena mesta(开放城市)8是由20个市镇和地区组成的协会,通过在开源解决方案上达成合作,以节省市政资源并解决公共行政部门所面临的共同问题。Otevrena m
146、esta重点关注一些特定事项,包括开放数据、公民在线参与、合同披露和良好实践、开源解决方案以及在公共部门中的数字化合作9。此外,Otevrena mesta也是内政部在公共部门中开发和推广国家代码存储库code.gov.cz的战略合作伙伴。esko Digital是一个由IT专业人士组成的社群,包括开发人员、图形设计师和制作人,为国家和非政府组织、公民和公共管理提供无偿帮助,以简化捷克公共部门的数字化流程10。该社群拥有超过5700名志愿者,声称11是欧洲最大的公民科技组织。Bison12是一个非政府组织,其名称着“构建和实施共享的开源工具”。该组织的目标如下:3 https:/www.mvc
147、r.cz/soubor/public-administration-in-the-czech-republic.aspx4 https:/www.nukib.cz/cs/infoservis/doporuceni/1827-nukib-a-ministerstvo-vnitra-vydaly-bezpecnostni-doporuceni-pro-vyvoj-otevreneho-s oftwaru/5 https:/nakit.cz/en/6 https:/osf.cz/en/7 http:/www.ccss.cz/en/zkusebni-stranka/profil-ccss/8 http
148、s:/www.otevrenamesta.cz/9 https:/www.otevrenamesta.cz/10 https:/cesko.digital/11 https:/cesko.digital/about12 https:/www.spolek-bison.cz/13 https:/www.opencontent.cz/-通过公共管理实体在公共管理环境中开发独特的软件解决方案,确保为公共管理表现提供最佳和高效支持。-建立一个统一的、明确的平台,用于开发和推广在公共行政领域的开源软件项目,以支持公共行政的最高质量的绩效,并持续优化在公共行政领域进一步发展开源软件解决方案所需的资源。-向
149、公共行政机构提供确切的、经过验证并已实施的软件解决方案,包括支持、咨询和转让等经验。-在公共行政机构互相分享各自的专业知识时,需尽可能降低成本。全球开源态势洞察第十期39政策和法律框架 开源软件倡议2022年8月,捷克颁布关于开放数据和公共部门信息再利用的2019年第1024号欧洲指令(“OD指令”)14的实施方案。该指令的功能之一是支持信息和数据的提供,以便这些信息和数据被重复获取,特别是通过开放数据获取。为了支持这项法规,捷克相关部门已对现有法规进行了多样化的修正。152022年2月1日,2021年第261号法案16生效,修改超160项法律规定,以促进和加快国家公共行政部门的数字化转型。2
150、020年,数字服务法案(此法案主流题法为数字服务法案)2020第12号法案通过。该法案强调在整个公共部门内推动数字化和电子政务的发展。17捷克的首席数字官员Vladimir Dzurilla承认开源软件在公共行政领域中的创新潜力。在这一法律背景下,他计划将开源元素融入到捷克政府门户网站的建设中,未来可以在此基础上构建其他服务。2018年通过的“数字捷克”计划18,在之前政策的基础上增加了利用电子政务实现公共治理现代化的相关内容。“数字捷克”的主要目标是确保公共部门能够适应数字化带来的快速变革,改善数据结构,促进数字环境中连通性的提高和信任的提升。此外,该计划还有一个专门讨论开源解决方案的章节,
151、名为利用开源解决方案打破供应商锁定的行动计划。2006年,为探索开源软件在捷克公共行政领域中发展的潜力,捷克启动开放政府倡议19。该倡议探讨了公共行政部门不仅是作为开源软件的用户,更是作为开源软件解决方案提出者的可能性。同时,倡议提出需要解决涉及捷克版权法、民法典和合同法的相关法律问题,以确保开源软件许可证的有效性。早在2004年,捷克发布的信息和通信政策里就提出鼓励在捷克的公共行政机构内部和机构之间采用开放标准,以促进互操作性20。此时,捷克政府已认识到采用开放标准是开源软件解决方案的先决条件。因此,他们开始提供方法上的支持和获取信息的途径,来促进开源软件解决方案在公共行政领域中的使用。布尔
152、诺开源宣言(2022年)21:共计四个协会联合发布了布尔诺开源宣言(Brno Open Source Decla-ration),旨在为捷克国家开源项目办公室(OSPO)的创建铺平道路,该宣言包括以下内容:Dotan Software 2(2020年)22:DSW2是一个旨在通过开放数据,实现补贴申请的接收、处理和管理的工具。该项目目前正在布拉格的几个地区和捷克的其他城市进行使用或测试。CSGOV.cz(2019年)23:该项目旨在为小型市政机构和组织提供一个简单而灵活的网站平台,并可根据需要进行扩展,以最低成本满足其需求,网站开发者使用的软件是基于Drupal的开源解决方案。此外,他们还在为
153、斯洛伐克地方政府开发该平台。本节将总结过去十年间与开源软件相关的主要政策和法律法规,包括该领域已知的重要里程碑。列表将从最新的里程碑开始,按照时间顺序呈现。本节介绍了捷克主要的开源软件相关倡议。该列表按时间顺序排列,从最新的倡议开始。14 https:/eur-lex.europa.eu/eli/dir/2019/1024/oj 15 https:/data.gov.cz/%C4%8Dl%C3%A1nky/implementace-sm%C4%9Brnice-o-otev%C5%99en%C3%BDch-datech 16 https:/wipolex.wipo.int/en/legislat
154、ion/details/21272 17 https:/www.zakonyprolidi.cz/cs/2020-12 18 https:/ec.europa.eu/idabc/servlets/Doc6c34.pdf?id=2485519 https:/ec.europa.eu/idabc/servlets/Doc5a7c.pdf?id=24853 20 https:/cityvizor.cesko.digital/declaration21 https:/joinup.ec.europa.eu/sites/default/files/inlinefiles/Digital_Governme
155、nt_Factsheets_Czech%20Republic_2019.pdf22 https:/dsw2.otevrenamesta.cz/about#:text=Dota%C4%8Dn%C3%AD%20software%20bude%20provozov%C3%A1n%20na,dota%C4%8Dn%C3%ADho%20port%C3%A1lu%20a%20technick%C3%BDch%20parametr%C5%AF23 https:/www.csgov.cz/o-projektu-与公共和私营部门的其他参与者签署合作备忘录;-签署欧盟公共服务OSPO宣言;-在特定项目上与国际开源
156、社区建立功能性合作;-开发捷克国家开源门户网站(code.gov.cz)并与美国国防部合作;-面向公共部门和学术机构,监测和推广捷克在开源领域的活动和案例研究;-建立捷克国家OSPO。CityVizor(2019年)24:CityVizor是一个在线可视化平台,捷克的18个城市和布拉格的一些地区已在使用该平台。该平台使市政当局能够向市民展示他们的资金是如何投资当地建设的。CityVizor是由财政部的员工开发的开源软件应用程序,由esko Digital维护,现由Open Cities协会运营。团队目前正在努力扩展该应用程序,以便使各个组织的预算可视化,并优化与其他会计系统的连接。红帽软件与捷
157、克理工大学开源实验室25:2017年,开源软件解决方案的领先提供商红帽软件在捷克理工大学布拉格校区的电气工程学院设立了一个开源实验室。学院学生有机会与红帽软件的工程团队合作,参与基于社区的开源软件项目和开展相关研究工作。捷克公共广播公司26:2015年,捷克政府下属的广播公司esk rozhlas从使用专有内容管理系统切换至使用开源软件解决方案Drupal来构建其网站,通过采用Drupal以降低成本。Supervizor(2015年)27:Supervizor是一款由捷克财政部的员工开发的应用程序,用于将机构和公共行政部门支出情况可视化的应用程序,旨在提高政府支出的透明度。28Superviz
158、or的源代码已在GitHub上公开发布。SpisovaSluzbaOnline.cz29:2013年,市政府和其他公共行政机构以及数十所学校应用了Spisovka,这是一个开源的电子档案系统。该软件具有成本效益,防止了供应商封闭,并鼓励重复使用软件和进行与之相关的多次良好实践。该项目是由捷克开源联盟和捷克共和国内政部共同开发的。30使用这一开源解决方案的著名捷克公共机构包括布拉格国立美术馆和布尔诺摩拉维亚图书馆。CzechPoint31:自2007年起,捷克政府采用了一套基于开源软件(OSS)解决方案的捷克公证系统(CzechPoint)。捷克公证系统旨在实现公民和企业能够访问并获取经过认证的
159、文件,并与公共行政部门直接进行沟通,同时公共行政部门可以利用此系统进行数据共享。这些服务在公共行政联络点获取,可通过蓝色捷克公证系统徽标识别。捷克公证系统采用Suse Linux操作系统和Tomcat Java应用服务器,同时借助Mrtgm Zabbix和Nagios等开源工具进行系统监测和安全保护。目前,捷克公证系统正在进行更新,更新完成后将更加开放,并更加注重防范供应商锁定。Vysocina Tourism32:2007年,捷克的一个补贴机构Vysocina Tourism,采用开源软件建立了一个旅游门户网站。选择开源软件的主要动因在于软件使用零成本以及其卓越的功能。该项目采用了Apach
160、e2作为网页服务器,PHP4/5作为服务器端脚本语言,Google API用于集成Google服务,MySQL数据库服务器用于数据存储,Mozilla Firefox作为网页浏览器,GIMP 2.6用于图形处理,以及Open Office作为办公软件套件。学校中的开源33:2006年,捷克umperk市的一所小学开始采用GNU/Linux作为开源软件(OSS)解决方案。学校决定停止购买专有操作系统和办公应用程序的许可证,将节省下来的资金用于购买电脑,数量从20台增加到31台,还用于购买投影仪、中央服务器以及相关用于改善网络的设施。目前,该校有两个教室共120台电脑全部运行在GNU/Linux和
161、其他开源软件解决方案上。另外一所捷克学校,Boeny Nmcov Gymnasium,早在1994年就开始使用GNU/Linux。34Grygov35:自2006年以来,格里戈夫(Grygov)地区的行政应用程序、免费公共互联网以及用于向1,400名居民及时更新本地问题的SMS信息系统大多采用了开源软件(OSS)解决方案。在经费有限的条件下,从财政角度来看,使用开源软件的潜力十分广阔。此外,该软件是开源的这一事实意味着它是持续更新的,这意味着用户遇到IT问题的可能性较低。24 https:/cityvizor.cz/landing25 https:/ 26 https:/www.root.cz
162、/zpravicky/rozhlas-prevadi-weby-na-open-source/27 https:/ 28 https:/www.europeandataportal.eu/sites/default/files/use_case_czech_republic_-_supervizor.pdf 29 https:/joinup.ec.europa.eu/collection/open-source-observatory-osor/news/czech-public-administrations 30 http:/www.spisovasluzbaonline.cz/spiso
163、va-sluzba 31 https:/www.czechpoint.cz/public/verejnost/sluzby-pro-verejnost/32 http:/m.kr-vysocina.cz/assets/File.ashx?id_org=450008&id_dokumenty=403866533 https:/www.linuxexpres.cz/business/linux-a-open-source-resi-potreby-zakladni-skoly-v-sumperku34 https:/www.linuxexpres.cz/business/gymnazium-boz
164、eny-nemcove-pouziva-open-source-technologie35 https:/www.linuxexpres.cz/business/grygov-diky-open-source-vycniva-nad-okolim-obcane-profituji 全球开源态势洞察第十期40CONTENTS目录第九期02 行业发展03 前沿技术04 开源安全Servo项目计划迁移到Layout 2020Reddit将向使用其API训练模型的公司收费Stability AI开源其语言模型StableLMTetrate推出针对Amazon EKS设计的服务网格解决方案TSEEsse
165、ntial Kubernetes Gauges开源Helm完成模糊测试安全审计基于Kubernetes 1.24的第三方安全审计结果发布Cilium发布v1.14.0-snapshot.1岸田与OpenAI公司CEO就ChatGPT交换意见ChatGPT每日运营成本超70万美元Keycloak正式成为云原生计算基金会孵化项目自由软件基金会批评Google移除对JPEG-XL支持的决定4242青云企业云平台v6.1版本正式发布服务网格项目Linkerd v2.13.0发布D2iQ推出专为政府部门设计的Kubernetes平台DKP Gov备份容灾工具Velero v1.11.0发布Kuasar项
166、目正式开源服务网格项目Kuma v2.2.0发布Envoy v1.26.0发布容器镜像仓库Harbor v2.8.0发布 容器漏洞扫描工具Trivy v0.39.0发布分布式云原生平台Kurator v0.3.0发布阿里云服务网格ASM2023年3月产品动态43434343444444444545Google Chrome发布紧急更新修复正被利用的0day漏洞JCRE中的内存损坏:无法修复的HSM可能会吞噬您的私钥464646474747474848484849495051525401 国际开源基金会06 开源报告OSPO的商业价值 探究组织创建、维护和发展开源办公室(OSPO)的动机05 开
167、源法律速览最高院发布2022年知识产权典型案例,涉及对源代码技术秘密侵权的认定域外司法:德国地区法院判决著佐权条款的效力程度域外立法:欧盟拟制定聊天控制法案,开源操作系统可能被“误伤”Keycloak是一种身份和访问管理(Identity and Access Management,IAM)解决方案,为应用程序和API提供集中式身份验证和授权。它提供了完整的、随时可运行的IAM服务,可以在单个轻量级容器镜像中轻松部署和扩展。Keycloak可以用于单点登录,用于Kubernetes部署的基础架构和面向最终用户的应用程序,并通过令牌来确保服务之间的API调用。Keycloak由Bill Burk
168、e和Stian Thorgersen于2014年创建。该项目已经在生产环境中被组织机构使用超过八年,其中包括Accenture、CERN、Cisco、Ohio超级计算中心、日立、Okta、Quest等许多组织。该项目的兴趣增长非常迅速,在2022年11月访问keycloak.org的月访问量超过150,000人次,其GitHub仓库的star数目最近超过15,000。4月11日,CNCF技术监督委员会一致投票决定Keycloak正式成为云原生计算基金会(CNCF)孵化项目。Google自二月份从Chrome中移除对JPEG-XL图像格式的支持,转而使用自己的专利格式AVIF。Google工程师
169、给出的理由是整个生态系统没有足够的兴趣来继续实验JPEG-XL,相比现有的格式,新格式没有带来足够的增量收益,通过移除相关代码可以减轻维护负担并专注于改进现有格式。自由软件基金会(FSF)发表文章,公开批评Google。因为Chrome/Chrom ium占据了近九成市场份额,Google Chrome是Web标准事实上的仲裁者。它停止支持JPEG-XL的决定突出其对Web平台的控制。对整个Web生态系统而言,Google拥有压倒性的力量,而普通用户则是微不足道的,FSF呼吁用户团结起来支持自由的浏览器。全球开源态势洞察第九期42Keycloak正式成为云原生计算基金会孵化项目自由软件基金会批
170、评Google移除对JPEG-XL支持的决定01国际开源基金会Servo项目计划迁移到Layout 2020Reddit将向使用其API训练模型的公司收费Servo是一款开源的高性能浏览器引擎,为应用程序和嵌入式使用而设计,用Rust编程语言编写,为浏览器内部带来了闪电般的性能和内存安全性。2012年,Mozilla启动Servo项目,致力于创建一个新的开源浏览器引擎,该引擎可以利用多核硬件来提高速度、稳定性和响应能力。于2020年11月17日,托管到Linux基金会。2023年4月13日,官方博客表示计划迁移到Layout 2020引擎。目前,Servo项目有两个独立的布局引擎Layout
171、2013和Layout 2020,开发时间分别始于2013年和2020年,Layout 2020旨在修复Layout 2013的多个不足之处,开发者表示他们认为Layout 2020是Servo未来发展的最佳布局引擎。Stability AI开源其语言模型StableLM2023年4月20日,Stability AI宣布开源其正在开发中的语言模型StableLM。目前,该模型的Alpha版有30亿和70亿参数两个版本,后续将发布150亿和650亿参数的版本。Stability AI表示开发者可将其模型用于商业使用或研究目的,但须遵守CC BY-SA-4.0许可证的条款。同时,Stability
172、 AI还发布了一套经过教学微调的研究模型,这些微调模型仅供研究使用,并在非商业CC BY-NC-SA 4.0许可证下发布,符合斯坦福大学的Alpaca许可2023年4月18日,Reddit宣布将向使用其API训练模型的公司收费。OpenAI 的ChatGPT和Google的Bard都将Reddit作为其训练语料的来源。Reddit称自己为社交新闻聚合器。数据调查,Reddit每月有超过4.3亿活跃用户,页面浏览量超300亿,平均访问持续大约10分钟,用户每次访问超过7个页面,Reddit联合创始人兼CEO Steve Huff-man称该平台的语料库非常有价值。近日,Reddit修改了其API
173、访问政策,它的API对开发机器人程序等工具的独立开发者,以及学术和非盈利项目的研究员仍然是免费的,但对通过API使用其语料库训练AI则将要开始收费,具体金额将在未来几周公布。同时,免费API的访问也将限制速率。Tetrate推出针对Amazon EKS设计的服务网格解决方案TSETSE是一款针对Amazon EKS的服务连接、安全和弹性自动化解决方案,基于Istio和Envoy等开源服务网格组件构建,并针对Amazon EKS对TSE进行了简化安装、配置和操作的优化。TSE提供了Istio和Envoy之上的服务网格自动化。处理在Amazon EKS上安装和配置开源组件,与AWS服务集成,并为平
174、台运营商提供管理控制台,以快速配置服务网格以实现安全、弹性和可观察性。02行业发展全球开源态势洞察第九期43基于Kubernetes 1.24的第三方安全审计结果发布Cilium发布v1.14.0-snapshot.1Essential Kubernetes Gauges开源Essential Kubernetes Gauges(EKG)提供了一组标准化的预制SLO,用于测量Kuber-netes集群的可靠性。可以将这些SLO视为一个检查引擎指示灯,当你的EKS集群行为异常时,它可以提示你,并记录集群何时按预期运行,何时不按预期运行。SLO允许你为集群可靠性设置可调整的目标,EKG包括衡量集群
175、多个方面的SLO:控制平面运行状况;集群运行状况;工作负荷运行状况;资源效率。已提议将成本效益计量作为未来的改进措施,并正在考虑之中。Helm完成模糊测试安全审计Helm被描述为Kubernetes包管理器。有助于简化查找、共享和使用为 Kubernetes构建的软件。Helm最初是Helm Classic,即2015年开始的Deis项目,并在首届KubeCon上推出。在2016年1月,该项目与一个名为Kubernetes Deployment Man-ager的GCS工具合并,并将项目移至Kuber-netes下。2018年6月,从Kubernetes子项目晋升为正式的CNCF项目。2020
176、年4月,作为CNCF项目毕业。本次审计共编写38个模糊器,测试范围覆盖chart处理、版本存储和仓库等关键部分。共计发现9个漏洞(至今已修复8个),其中包括,4个空指针引用问题,4个内存不足问题,1个栈溢出问题。2018年,云原生计算基金会(CNCF)开始为其项目进行第三方安全审计,目的是改善开源生态系统的整体安全实践。从那时起,Argo、Backstage、CoreDNS、CRI-O、Envoy、etcd、Flux、KubeEdge、Linkerd、Pro-metheus、SPIFFE/SPIRE和其他CNCF项目都经过了安全审计。近日,基于Kubernetes 1.24的第三方安全审计结果
177、发布,本次审计发现以下问题:在限制用户或网络权限方面存在问题,可能导致管理员混淆特定组件的可用权限;在组件间身份验证方面存在问题,恶意用户能够获取集群管理员权限;在日志和审计方面存在问题,攻击者可以在控制集群后利用这些缺陷来进行潜在活动;在用户输入过滤方面存在问题,允许通过修改etcd数据存储的请求来绕过身份验证。Cilium是一个开源软件,用于透明地提供和保护使用Kubernetes、Docker和Mesos等Linux容器管理平台部署的应用程序服务之间的网络和API连接。本次发布的snapshot.1版本是Cilium 1.14.0版本的早期预览版本,具有以下主要特性:改进的VPN功能:C
178、ilium VPN功能得到了改进,现在支持更灵活的VPN 配置和更好的性能;支持Docker容器网络:Cilium支持Docker容器网络,允许用户以更轻松的方式构建和管理Docker容器网络;改进的CLI工具:Cilium CLI工具得到了改进,现在支持更好的命令行交互和更好的错误处理。同时,Cilium还实现了一些其他改进,包括更好的网络诊断、改进的日志记录和增强的安全性。全球开源态势洞察第九期44全球开源态势洞察第九期45岸田与OpenAI公司CEO就ChatGPT交换意见据共同社报道,日本首相岸田文雄10日在官邸会 见 了 开 发 人 工 智 能(A I)聊 天 软 件“ChatGPT
179、”的美国新兴企业OpenAI首席执行官(CEO)阿尔特曼。ChatGPT因为能像人一样流畅对话而引发热议。阿尔特曼向媒体透露,岸田听取了有关ChatGPT优缺点的介绍,对其很感兴趣。ChatGPT的用户正在急剧增加,由于担忧个人隐私等受到侵犯,各国纷纷出台限制措施。阿尔特曼还就如何应对ChatGPT的风险向岸田表达了自己的想法。他还对媒体表示,考虑在日本开设办事处。官房长官松野博一在记者会上就ChatGPT表示:“如果能消除处理机密信息及信息泄露的担忧,为了减轻国家公务员的业务负担,将就加以利用的可能性进行探讨。”ChatGPT每日运营成本超70万美元半导体研究公司SemiAnalysis的首
180、席分析师Dylan Patel,在接受The Information采访时表示,估计基于GPT-3的AI聊天机器人ChatGPT的每日运营成本超过70万美元,OpenAI的最新模型GPT-4的运营成本会更高。训练ChatGPT之类的大语言模型可能需要花费数千万美元,但运营费用或推理成本将会远远超过训练成本。其中,一家利用AI开发生成式文字游戏的创业公司Latitude透露,运行OpenAI的语言模型加上支付AWS的服务费用,使得该公司在2021年每月花费20万美元。全球开源态势洞察第九期HTML近日,青云企业云正式发布其最新版本v6.1,新版本的特性如下:新增巡检与监控功能;新增企业空间管理功
181、能,涵盖组织管理、用户管理、配额管理、资源管理、流程审批等空间管理模块;新增对第三方存储的支持;提供VMware vSphere纳管工具;QKE容器引擎支持裸金属服务器作为集群Worker。近日,服务网格项目Linkerd正式发布v2.13.0,新版本的特性如下:引入客户端策略,包括动态路由和熔断器模式;支持调试基于HTTPRoute的策略;增加新的init容器network-validator,确保本地iptables规则按预期工作。全球开源态势洞察第九期46青云企业云平台v6.1版本正式发布服务网格项目Linkerd v2.13.0发布近日,D2iQ正式推出其专为政府部门设计的Kubern
182、etes平台DKP Gov,DKP Gov基于D2iQ Kubernetes平台(DKP)创建,旨在满足政府、军事和民用机构对创新技术的需求。DKP Gov为公共部门带来的主要特点和好处包括:1.单集群或多集群管理、混合多云管理、多租户架构、vSphere、政府云(GovCloud)和支持硬件裸机(Bare Metal);2.混合云生命周期成本管理;3.对物理和逻辑隔离集群的全面支持;4.战术边缘武器系统支持(DDIL);5.集中式多云、多集群队列管理;6.持续交付(CD);7.IL 2-6+(JWICS)、FENCES、C2S、SC2S、C1D、SIPR/NIPR;8.政府平台上的ATO、c
183、ATO;9.FIPS 140-2认证;10.确认的美国支持(24/7/365支持,符合ITAR和数据完整性标准);11.符合CNCF标准的纯上游Kubernetes;12.生产就绪(Day-2)平台应用程序;13.在大规模环境下启用混合环境的微服务架构;14.统一亚马逊网络服务、微软Azure、谷歌云平台支持。D2iQ推出专为政府部门设计的Kubernetes平台DKP Gov 03前沿技术全球开源态势洞察第九期47备份容灾工具Velero v1.11.0发布Velero是一个支持Kubernetes集群容灾、数据迁移和数据保护的解决方案,通过按需或按计划将Kubernetes集群资源和持久卷
184、备份到外部支持的存储后端。从而实现对Kuberne-tes的备份、恢复、迁移等功能。近日,备份容灾工具Velero v1.11.0正式发布,新版本特性更新如下:增加插件进度监控功能;支持筛选过滤在备份时要跳过的卷;新增集群范围和命名空间范围的资源筛选器;添加用于设置Velero服务器与k8s API服务器超时的连接的参数;支持备份描述命令的JSON格式输出;使用controller-runtime重构控制器;CSI插件通过检查restorePVs参数的设置来决定是否从快照中恢复数据。Kuasar项目正式开源Kuasar在保留传统容器运行时功能的基础上,通过全面Rust化以及优化管理模型和框架等
185、手段,进一步降低管理开销、简化调用链路,扩展对业界主流沙箱技术的支持。此外,通过支持多安全沙箱共节点部署,Kuasar可以充分利用节点资源,实现降本增效。服务网格项目Kuma v2.2.0发布由Kong打造的Kuma是一套强大的Service Mesh解决方案。Kuma属于基于Envoy构建的平台中立型控制平面。Kuma提供多种网络功能,用以保护、路由并增强服务之间的连接性。除虚拟机之外,Kuma还支持Kubernetes。目前,Kuma项目由CNCF托管。近日,服务网格项目Kuma v2.2.0正式发布,新版本特性更新如下:支持OpenTelemetry;支持使用JSONPatch来定义Me
186、shProxy-Patch策略;支持重试指令和优先级;支持将底层Envoy版本升级到v1.25;新增策略以用于更精细地控制服务间的负载均衡;支持在Kubernetes集群中部署通用模式的全局控制平面;支持为离线令牌签名和验证提供公钥。Envoy v1.26.0发布Envoy是一个高性能云原生代理,最大优点是支持配置动态生成、热加载。为了追求性能使用C+语言开发。最开始是由Lyft公司内部使用,随后捐赠给CNCF,并成为最早一批CNCF孵化的项目。近日,Envoy v1.26.0正式发布,更新特性如下:支持对通用代理的跟踪;支持在http过滤器链的任何位置修改请求和响应头信息;支持在动态元数据中
187、设置JWT认证失败状态代码和消息;增加过滤器状态输入功能;支持在TLS握手和过滤器匹配之前启用速率限制;支持上游访问日志中的路由信息;支持动态地禁用TCP隧道;增加负载均衡器Maglev扩展和环形哈希扩展。全球开源态势洞察第九期48容器镜像仓库Harbor v2.8.0发布Harbor是由VMware公司中国团队开发的一个企业级Registry项目,可用于搭建企业内部的容器镜像仓库。Harbor在Docker Registry的基础上增加了企业用户所需的权限控制、安全漏洞扫描、日志审核和远程复制等重要功能,还提供了图形管理界面及面向国内用户的中文支持,开源后便迅速在业内流行开来,成为中国云原生
188、用户的主流容器镜像仓库。2018年7月,Harbor正式进入CNCF,于2020年6月顺利毕业,成为了CNCF首个来自中国的开源项目。版本特性更新如下:支持OCI distribution spec v1.1.0-rc1;支持使用CloudEvents格式发送Webhook负载;支持用户跳过任务扫描器自动更新拉取时间的选项;移除helm chart仓库服务器ChartMuse-um。容器漏洞扫描工具Trivy v0.39.0发布近日,容器漏洞扫描工具Trivy正式发布v0.39.0,新版本的特性如下:支持依赖关系图;下载OCI工件支持授权功能;支持在OCI referrer中发现SBOM;支持
189、k8s并行资源扫描;添加注册表选项;增加并发处理的pipeline;增加节点容忍选项;支持公共TLS证书的Redis。分布式云原生平台Kurator v0.3.0发布近日,分布式云原生平台Kurator正式发布v0.3.0,新版本的特性如下:在Cluster API的基础上添加了一个新的CRD集群,使用此功能,用户只需声明一个API对象即可管理kubernetes集群的生命周期;增加了对kubernetes集群升级的支持;增加了对kubernetes集群扩展和缩容的支持;增加了在本地设置高可用kubernetes集群的支持。阿里云服务网格ASM2023年3月产品动态阿里云服务网格ASM2023
190、年3月产品更新内容:网关支持对接WAF;支持配置Ingress资源;支持Knative服务的管理;网格拓扑支持OIDC方式登录;Sidecar代理支持超卖模式;新增出口流量策略;支持配置全局默认的HTTP请求重试策略。全球开源态势洞察第九期4904开源安全Google Chrome发布紧急更新修复正被利用的0day漏洞Google Chrome发布紧急更新修复了一个正被利用的0day漏洞。改漏洞编号为CVE-2023-2033,是Google旗下Threat Analysis Group(TAG)的安全研究员 Cl-ment Lecigne报告的,属于V8 JavaScript引擎中的高危类型
191、混淆漏洞。类型混淆允许错误类型的数据访问内存,允许对内存非法读写。Google称攻击者可通过创建HTML页面去利用漏洞,该漏洞被归类为高危级。JCRE中的内存损坏:无法修复的HSM可能会吞噬您的私钥密钥一直以来都是安全保护的核心目标。由于密钥槽的限制,大多数加密货币硬件钱包使用MCU芯片(如STM32F205RE)来实现,以便能使用secure element存储和支持更广泛的加密货币种类。然而,那些对保护私钥有更高安全要求的人来说,通常会对Java Card感兴趣。因为Java Card本质上是一种具有加密算法硬件实现的智能卡,私钥或对称密钥无法从中提取。用户只能从Java Card中获得加
192、密操作的结果。另外一点是,已经使用通信参数初始化但尚未加载应用程序(applet)的Java Card是可由用户编程的,而且有一些以Java Card应用程序(applet)形式实现的各种功能的自由开源软件项目。即使Java Card作为HSM(硬件安全模块)的安全性高于常见加密货币硬件钱包的实现,但依然有安全风险,HardenedVault介绍了两个典型的漏洞,这些漏洞位于更底层的JCRE(Java Card运行时环境),虽然不会导致私钥被泄露,但会导致应用程序陷入无法恢复的错误。一旦出现这种问题,卡片中的私钥就可能会丢失。作为HSM的智能卡实现比基于MCU的解决方案(几乎所有硬件钱包都采用
193、了这种方案)更加安全,但仍存在某些安全风险,即使获得EAL 5+认证的硬件钱包也有被攻击的记录。因此,在系统安全方面,我们仍需要坚持纵深防御的策略。另一方面,透明度很重要,开源是确保HSM的整个运行环境能够得到适当审计的唯一途径。对于 Java Card,我们希望未来能够拥有一个免费、开源且可更新的JCRE。或者某种功能上类似于Java Card但可以使用C语言编程的HSM,甚至可以直接使用通用计算(如可信计算、运行时保护、攻击面缩小等)实现。全球开源态势洞察第九期50最高院发布2022年知识产权典型案例1,涉及对源代码技术秘密侵权的认定花儿绽放公司系“有客多”小程序源代码技术秘密的权利人。该
194、公司主张盘兴公司与其签订花儿绽放源代码使用许可合同并依约获取涉案软件源代码后,违反合同约定保密义务,在第三方网站公开披露该源代码,故向广东省深圳市中级人民法院提起诉讼,请求判令盘兴公司及其唯一股东盘石公司连带赔偿经济损失5000余万元并消除影响。一审法院判决盘兴公司、盘石公司连带赔偿500万元。花儿绽放公司、盘兴公司、盘石公司均不服,提起上诉。最高人民法院二审认为,涉案软件源代码构成技术秘密,盘兴公司公开披露涉案软件源代码的行为构成对技术秘密的侵害;花儿绽放公司单方委托鉴定机构就涉案技术秘密商业价值出具的鉴定意见中,多项数据存疑,不应予以采信;综合考虑涉案技术秘密的研究开发成本、实施该项技术秘
195、密的收益、可得利益、可保持竞争优势的时间等因素,一审法院酌定的损害赔偿数额并无明显不当。遂判决驳回上诉,维持原判。企业通过与源代码权利人签署源代码使用许可合同获得权利人交付的非公开源代码后,应当依约使用,未经权利人许可公开披露该源代码的行为,除构成违约外,还可能构成对源代码的技术秘密的侵权,从而面临巨额赔偿。向公开网站/开源社区发布源代码的贡献者(不论个人或法人)应当注意其提交/公开行为是否受到有关前置保密义务限制。最高院在判断代码“是否为公众知悉”时认为,代码中涉及程序的组织结构、调用关系、执行逻辑等,应将一个源代码文件作为一个整体对待,不应将一个完整代码进行部分切分而判断是否“为公众所知悉
196、”,故基于此对被告第040号鉴定意见书中关于4个文件中的部分代码已被公开的鉴定结论不予采信。对于被告关于软件功能相同推论出代码相同的主张,最高院认为软件源代码涉及到特定的变量名、类名及方法的定义、程序的组织结构、调用关系、执行逻辑等,还包括在特定位置对方法、语句和变量的注释文字等,软件源代码也体现了软件开发人员的代码风格、特定字词的独特表达,故即使为开发相同功能的软件,不同开发者可以设计不同的源代码进行表达,盘兴公司、盘石公司有关软件功能相同推论出代码相同的主张没有事实依据,不予支持。在认定侵权责任应当如何承担时,最高院认为原告委托评估机构所作的评估结论多项数据难以令人信服,对原告花儿绽放公司
197、主张以价值评估鉴定认定的商业价值作为赔偿依据的主张不予支持。鉴定机构经评估作出的商业价值鉴定仅是确定知识产权商业价值的一种方式。在本案经审查不宜直接依据价值评估鉴定意见认定涉案技术秘密商业价值的情况下,依据本案现有证据情况,可以综合考虑涉案技术秘密的研究开发成本、实施该项技术秘密的收益、可得利益、可保持竞争优势的时间等因素酌情确定涉案技术秘密的商业价值,进而作为确定赔偿数额的依据之一。05 开源法律速览撰稿:张苏兵 郭雪雯审校:王荷舒基本案情判决要点案件解读全球开源态势洞察第九期51域外司法:德国地区法院判决著佐权条款的效力程度德国对开源软件/自由软件有持续的司法实践2。十余年前,柏林地区法院
198、曾在AVM v.Cybits一案中3判决,违反GPL将自动导致权利人丧失权利,因为GPL传染性将迫使曾经的专有软件被视为开源软件4。该法院判令,AVM有义务使其集成了预安装GPL软件的固件受GPL约束,且AVM因其GPL不合规而无法基于著作权侵权对WLAN路由器的竞争供应商Cybits提出禁令救济5。2021年1月,德国卡尔斯鲁厄高等地区法院对GPLv2.0的著佐权条款的效力作出了判决(OLG Karlsruhe,Urteil vom 27.01.2021-6 U 60/20)6,该法院消除了这种自动性。根据该法院的判决,开发者对著佐权条款的违反可导致其使用、修改开源软件的权利丧失,但其侵权行
199、为并不能使得第三方有权以自己的名义披露其开源软件修改版的源代码。案聚焦在:1)以创建主题方式对WordPress进行修改,是否构成GPLv2条款下的“衍生作品”?2)如果著佐权条款适用,第三方主体是否有权利发布该主题或者该发布是否将构成著作权侵权?针对问题一,基于GPLv2第2条款,所有“基于本程序”(based on the Program)的衍生作品均应在同样条件下发布(即“著佐权限制”)。上诉法院并未就问题一给出结论,而是就问题二判定构成侵权,主要涉及以下原因:a.开源软件的使用权是在不违反许可条款的条件下授予的,如违反GPL(如修改者分发时不披露修改代码)只直接导致其不能使用源程序(德
200、国著作权法案第63c.2款的条件也指向“修改”),但其作为主题专有权的持有者并未就其修改版丧失著作权,因而有权禁止被告利用和披露;且GPL2.0仅在缔约方之间具有约束力,即使在缔约方故意违反GPL2.0的情况下,第三方也不能强制执行开源义务。b.对于公众对修改后的程序的使用权的假设,至少缺乏原告或开发者的同意。上诉法院审查了WordPress原始开发者及主题开发者之间可能存在共同作者身份(德国著作权法案第8(1)款,共同创作作品且不可单独利用其份额构成共同作者,这不排除后续贡献/修改的权利),在这种情形下,共同作者(指原告)未经其他共同作者同意,无权单独授予第三方(指被告)发布和利用共同作品的
201、权利。此外,GPL 许可条款中也没有任何默示同意。因而无论如何,主题源代码的发布都需要原告的同意。就此,上诉法院驳回了GPL软件的修改版须自动基于GPL下许可的抗辩8。内容管理系统WordPress软件在GPLv2.0下许可7,原告基于WordPress发布了预设计的“主题”(即Theme)并委托另一家机构设计新主题。该机构将使用主题的专有权利转让给了原告后,原告将主题置于MIT许可证的约束下,并通过商业许可协议在线提供付费版主题。被告威胁原告,由于该主题系WordPress的衍生作品,被告将基于GPLv2.0在GitHub上发布该主题的源代码。为免源代码披露,原告向初审法院申请了临时禁令。临
202、时禁令获批后,双方在卡尔斯鲁厄高等地区法院进行上诉。有评论称9,卡尔斯鲁厄高等地区法院的判决极具启发性,并可能会给软件GPL有效性的法律评估带来根本性变化。也有评论称10,该判决只对GPLv2文本进行了机械解释。因为根据该法院的说法,这种GPL传染性发布必须是积极保证的(GPL文本中要求的“您必须导致”),而非自动导致的。这样一来,开源的想法则很快会消亡。案件背景案情回顾案情焦点相关解读全球开源态势洞察第九期52域外立法:欧盟拟制定聊天控制法案,开源操作系统可能被“误伤”自2022年5月份以来,欧盟委员会正在制定并审议一项名为Commission proposal on manda-tory
203、messaging and chat control11的法案(以下简称“聊天控制法案”),委员会本意是希望责成所有电子邮件、聊天和信息服务的提供者以完全自动化的方式搜索可疑信息,检测“儿童色情”相关的内容,以通过预防更好地保护儿童。随后该法案遭到广泛反对,除了对该法案可能侵犯公民自由的质疑外,以瑞典VPN服务提供商Mullvad为代表的多家厂商、组织认为,拟议的法案不仅将对所有私人通信进行极权控制,而且还将禁止Linux等开源操作系统。瑞典VPN服务提供商Mullvad认为,拟议的法案不仅将对所有私人通信进行极权控制,而且还将禁止Linux等开源操作系统13,如果该法案生效,几乎所有开源操作
204、系统都是“非法”的。理由是该法案第6条定义了软件应用商店的义务,软件应用商店的提供者应该:(a)在可能的情况下,与软件应用程序提供商一起“采取合理措施”,评估通过其软件应用程序提供的每项服务是否存在用于招揽儿童的风险;(b)采取合理措施,防止儿童用户访问他们已确定有重大风险用相关服务招揽儿童的软件应用程序;(c)采取必要的年龄验证和年龄评估措施,以可靠地识别其服务中的儿童用户,使他们能够采取(b)点所述的措施。同时该法案的第2条明确了“软件应用商店”的定义:一种专注于将软件应用程序作为中介产品或服务的在线中介服务。对于该定义,Mullvad认为该定义几乎涵盖了自20世纪90年代以来的所有开源操
205、作系统,因为不论是应用分发还是安全更新开源操作系统均有涉及,并举例当前主流的Debian就拥有超过17万个软件包,在这种理解下,开源操作系统也属于“软件应用商店”。结合该法案第6条,由于开源操作系统和软件包的作者众多,甚至分布在全球,因此各方很难一起“采取合理措施”,另外在代码开源的前提下,也难以追踪下载用户的信息以进行分析控制。Mullvad认为一旦该法案生效,包括主流 Linux 发行版在内的几乎所有开源操作系统都将成为“非法”的。Chrisoncrypto14,reddit15,No Bullshit Bitcoin16等外网平台也表达了同样的忧虑。2020年7月,欧盟委员会提出允许对聊
206、天进行控制的“临时”立法。2021年7月,欧洲议会通过了允许聊天控制的立法,允许聊天、消息和电子邮件供应商自愿进行聊天控制,此后美国服务提供商Gmail和O部署了这种监控技术。2022年5月,欧盟委员会就聊天控制提出了第二个立法提案Commission proposal on man-datory messaging and chat control,即当前聊天控制法案,该法案强制要求所有聊天、消息和电子邮件服务提供商在没有任何怀疑的情况下部署这种大规模监控技术。至2023年3月底,公民自由委员会(LIBE Committee)及安理会执法工作组(Councils Law Enforcemen
207、t Working Party)多次就该法案进行评估和讨论,审议工作预计在2023年底前完成。12据悉,聊天控制法案中“软件应用商店”的定义援引了欧盟数字市场法案Digital Markets Act17第2条第(14)款:“software application stores means a system software that controls the basic functions of the hardware or software and enables software applications to run on it”.同时,第2条第(10)款亦对“操作系统”进行以下定
208、义:“operating system means a type of online intermediation services,which is focused on software applications as the inter-mediated product or service”.截至发稿前,聊天控制法案尚在审议中,后续其是否将对此进行补充定义或概念厘清,还有待观望。立法进程对开源可能产生的影响法案条款全球开源态势洞察第九期53引用文献:1https:/ 4https:/fsfe.org/news/2011/news-20111201-02.en.html5https:/f
209、sfe.org/news/2011/news-20111201-02.en.html6https:/www.junit.de/2020/wp-content/uploads/OLG-Karlsruhe-Urteil-2.pdf7https:/developer.wordpress.org/themes/getting-started/wordpress-licensing-the-gpl/8https:/cms- 9https:/ Chat Control Law Will Ban Open Source OS Linux and End Privacy15https:/ 全球开源态势洞察第九
210、期54OSPO的商业价值探究组织创建、维护和发展开源办公室(OSPO)的动机前言06开源报告为什么从商业角度来看,创建、维护和发展开源办公室(OSPO)具有价值?这是在TODO Group最新报告中讨论的问题。该研究报告探讨了OSPO的不同价值主张,并提供建议和见解来帮助利益相关者、监管机构和组织内的其他员工来理解、衡量其价值。该报告汇集了来自欧洲、亚洲和北美的OSPO及开源领袖在各行各业的观点,包括两所公立大学。涵盖了几个关键领域,包括建立OSPO的动机、OSPO面临的主要挑战、OSPO的不同角色以及OSPO的可永续性及项目健康的重要性等。开源软件持续地改变着各行业创建和应用软件的方式。在许
211、多领域,由大量甚至完全由开源软件组件构建的系统正逐步替代专有和封闭的软件技术栈,这些系统通过开放的API进行通信。通过开放协作和共同开发,开源软件已经成为推动创新、促进技术普及和公开传播知识的基本途径。尽管开源软件的显著优势无可争议,但对于组织而言,能在实践中充分利用这些优势并不简单。随着企业组织内部对于开源软件的应用不断扩大和完善,许多组织意识到通过建立一种有条理的方法来管理开源软件的发展是非常有必要的。起初,这种需求主要来自于许可证合规方面,但涉及范围很快超越了单纯的合规问题,最终发展到业务战略层面。本报告汇编了来自各种公司和大学的开源办公室(OSPO)中开源倡导者的调查结果。为我们提供了
212、一个广泛洞察的视角,以了解组建OSPO背后的动机,以及OSPO为其所在组织带来的具体商业价值。调查结果发现,与开源软件类似,OSPO具有各种不同的形态及规模。然而,尽管OSPO的具体实施路径各不相同,但调查显示,在各个组织中,OSPO的关键商业价值都汇聚于相同的基本目标:为组织建立使用开源软件的工作框架,确保开源软件能够充分利用并与组织的业务目标保持紧密一致。因此,OSPO的职责包括规范流程、在组织内培养开源文化,以及制定和执行长期的开源战略。该报告的撰写者立足于开源软件的核心原则开放协作和知识共享,旨在提供有帮助的信息。报告的目标受众包括组织中正在组建OSPO的开源拥护者,以及现有OSPO的
213、开源领导者,帮助他们明确定义,衡量和传达OSPO的商业价值。Georg Kunz爱立信 开源经理翻译:赵海玲 梁婷婷 王铭典审校:赵海玲全球开源态势洞察第九期55随着开源软件在技术领域的广泛应用,更多的组织认识到与开源项目及其开源社区合作的优势。为充分发挥开源的战略价值,直接投资参与项目社区不再是锦上添花的选择,而是一个必要条件。曾经,OSPO主要出现在大型技术公司,如今,OSPO已在众多行业中蓬勃发展,成为组织启动、规范和发展开源的核心。在过去的五年,我们见证了OSPO在汽车、娱乐、金融服务、制造业以及学术界和政府部门等领域的蓬勃发展。设立OSPO并分配专门的资源来制定和执行公司的开源战略,
214、为所有参与者能产出最佳成果提供了一个框架。这使得组织对其业务所依赖的软件系统有了更加清晰的认识,核心软件项目的维护者能够更直接地与他们的用户组织建立联系。同时,外部寻求合作的伙伴能够找到一个友好且容易理解的切入点与企业展开商谈。在这份报告中,您将了解来自不同行业的OSPO领导者的经验,他们分享企业使用开源、贡献开源和参与开源社区的战略及其过程。您还会发现,每个OSPO的目标、成功的衡量标准和参与方法,会根据创建OSPO的动机、组织在开源实践方面的成熟程度以及OSPO的内部倡导者如何制定其发展战略而有所差异。尽管OSPO承担着许多相似的职责,但没有哪两个OSPO是完全一样的。在我们积累的30多年
215、的开源经验中,我们发现OSPO共有的特点是,它们重视促进协作和共同创造,无论是与内部不同的软件团队合作,还是与上游社区的竞争对手合作。OSPO是少数具有明确的双向倡导任务的团队,既在组织内部,确立参与开源项目的规范,倡导开源最佳实践;也在组织外部,保证公司在特定社区的举措既实现商业目标,又推动所有参与者的技术发展。正是因为OSPO的任务具有灵活性和双向性,这些团队可以成为企业技术战略的关键支撑。OSPO有充分的自由去探索和支持业务创新,确定参与流程,以便更好地满足各方参与者的目标,包括从工程人才、业务高管到开源项目社区本身。OSPO成为各利益相关者之间的桥梁和联系纽带,巧妙地确保所有方面的利益
216、都被考虑,并协商所有协作和共创的参与者以争取到最佳成果。这种面向内部和外部的双向服务使命是OSPO真正的魅力所在。在这样的职责下,成功的OSPO将扮演其组织在更广泛世界中的外交官,负责向社区表达业务需求,同时将社区的需求反馈给业务组织。OSPO作为行业最佳实践的守护者、协作与共创中心,在推动公司在不断变化的市场环境中产生变革等方面具有独特的作用。本报告将分享来自各行业资深OSPO领导者的意见,针对OSPO的挑战和机遇提供关键的见解,对于长期从事开源领域工作或刚刚开始开源之旅的读者都具有参考价值。无论是您的组织已经建立了长期成熟的开源战略,还是只有一名专注于开源软件许可证合规方面的员工,我们希望
217、您能从本研究中发现OSPO对企业的商业价值。在本报告中,您将了解到各行业开源领袖的研究发现,我们希望您能从中受到启发并在您的开源之旅中找到方向。同时,我们也欢迎您加入OSPO社区,为开源实践做出贡献,共同推动行业发展。Kimberly Craven 红帽开源办公室高级主管,首席技术官Leslie Hawthorn 红帽开源办公室高级经理全球开源态势洞察第九期56简介一个精心设计的OSPO是一个组织开源运营和结构的中心。我们为什么需要了解OSPO如何助力企业实现目标?无论是倡导创建新的OSPO、维护OSPO,还是发展OSPO,最终都必须将OSPO与业务目标联系起来。无论是在营利性企业还是在非营利
218、性大学中,任何无法对组织有意义、有结果的举措都不太可能在一开始就获得批准,如果它们不能为自己的存在提供商业意义,也就无法生存下去。“作为一个整体,开源办公室(OSPO)需要具备灵活性,应始终准备好应对接下来的变化”,来自VMware的开源营销和战略总监Suzanne Ambiel说到。“他们需要适应业务,因为他们既服务于企业,也服务于社区。随着业务的变化和演进,OSPO也需要作出相应的调整,确保OSPO与业务战略紧密联系是非常重要的。”尽管OSPO通常(但并非总是)隶属于首席技术官(CTO)以及许多软件工程师,但公司如何开源绝不仅限于工程部门。正如这份报告中,我们在采访OSPO领导者所发现的,
219、多数组织中的OSPO倡导者是企业高管,他们看到了开源带来的机遇,以及在某些情况下,他们认为公司需要从战略层面应对的潜在威胁。在进行这项研究时,我们希望能更好地了解开源对公司的战略意义,以及OSPO如何帮助组织积极面对开源带来的机遇和挑战。索尼高级联盟经理Hiro Fukuchi举了一个例子:OSPO组织了一场与外部专家的虚拟大会,许多来自日本和美国的高管都参加了这场活动。这项研究的挑战在于,各组织创建的OSPO确实存在一些共同点,但是每个OSPO是独特的,它们最初成立的背景故事以及它们促进组织实现目标的方式也是独一无二的。因此,虽然我们确实可以对为什么OSPO重要,谁倾向于支持它们以及OSPO
220、的商业价值如何发展等问题做出一些概括性的总结,但实际上并没有两个组织是完全相同的。“几天前,我阅读了Linux基金会发布的一份关于不同开源办公室(OSPO)结构的报告,”来自F5的开源高级总监Christine Abernathy说到。“我发现它们并非千篇一律。”开源办公室(OSPO)结构各具特色,它们所设定的目标以及成立过程中的各种故事充满了多样性。我们为什么要关心OSPO如何对企业产生贡献?个例中存在的共性全球开源态势洞察第九期57方法论为了编写这份报告,我们采访了来自欧洲、亚洲和北美的12位OSPO领导者,他们分布在各行各业,包括两所公立大学。所有接受采访的OSPO领导都在TODO Gr
221、oup中积极参与。以下是我们开始时提出的问题:OSPO成立时团队成员有多少人?现在有多少人?OSPO团队成员的大致薪资范围是多少?OSPO团队成员的背景是什么(例如,工程、法律、市场营销)?您从事的行业是什么?OSPO在组织中的定位(例如,工程、法律、市场营销)?谁是OSPO的最初倡导者?倡导者是如何在内部倡导OSPO的?他们认为OSPO的价值是什么?刚开始建立OSPO时,为其设定了哪些成果或关键绩效指标(KPI)?随着时间的推移,您对OSPO价值的理解以及您期望从OSPO中获得的具体成果是如何变化的?在未来五年内,您预计OSPO将获得预期的商业价值,还是其价值会发生变化?您收集了哪些指标来追
222、踪这些成果所取得的进展?这些指标随着时间的推移如何变化?您的OSPO现在致力于实现哪些KPI?您如何评估OSPO的成功?组织概况及其与开源的关系技术公司一个组织与开源的关系以及它从OSPO中获得的价值,似乎依赖于它所属的公司类型。那些属于技术公司的组织在开源方面所面临的机遇和挑战与那些销售家具的公司组织不同。显而易见,那些技术公司更容易看到开源与其业务之间最直接的关系,而OSPO在管理这种关系方面起着至关重要的作用。Ambiel提到,VMware的一位OSPO倡导者是当时的首席执行官Pat Gelsinger。“正是他大力支持并表示,我们需要建立一个OSPO,我们需要采取战略性地行动。”技术公
223、司需要以战略方式对待开源问题,这是组建OSPO的核心原因。尽管常有高管的参与,但将OSPO描述为纯粹的自上而下的倡议,或是管理层强迫不情愿的工程师团队推动的倡议是错误的。通常,公司内部的开源爱好者会在高管推动开源战略方法的同时,要求与开源建立更加正式的关系。显然,创建OSPO是下一步行动,以满足双方利益相关者的需求。在与我们交谈过的所有公司中,开源都不是新鲜事物。多年来,它们一直在内部使用开源,过去还将内部项目开源。它们越来越意识到,开源开发者是如何成为他们产品采纳曲线的一部分。因此,在开源生态系统中拥有良好的声誉是多么重要。Abernathy表示:“F5的业务在从硬件厂商转型软件服务。”“很
224、多做购买决策的人喜欢试用后购买。这些人可能是倾向于开源的软件开发人员,甚至是希望查看公开源代码以检查漏洞的公司和政府。”所以,在F5的案例中,开源不仅对公司的产品制造方式变得重要,还对市场营销工作产生影响。OSPO确保F5能够战略性地利用开源,并在涉及到开源的情况下做出明智决策。曾在Facebook(现称Meta)开源办公室工作的Abernathy简述了像Facebook公司和像F5这类公司之间存在的开源差异。“在Facebook,开源很重要,”她说。“但不是从收入方面来看,他们并没有打造一款开源产品所以容易以一种更直接且有意义的方式开始思考开源的投资回报率。”F5创建OSPO的一个主要触发因
225、素是在2019年收购开源公司Nginx。这次收购意味着Nginx团队加入F5,并成为推动成立OSPO的另一个声音,这也提高了开源战略的重要性。对于像Aiven这样的公司,其核心业务与一个或多个开源项目紧密相关,一个正式的、战略性的开源方法也许更为关键,但是如果没有OSPO,他们仍然缺乏这种方法。来自Aiven的开源工程总监Josep Prat表示,即使考虑到开源的战略重要性,在产品功能发布需求与回馈开源需求之间总是存在矛盾。当工程师除了其他职责外还需要为开源做出贡献时,开源贡献总是会处于次要地位。全球开源态势洞察第九期58由于这种矛盾,Aiven的高管团队在早期就决定成立一个专门的OSPO,其
226、唯一的职责就是向开源做出贡献并管理与开源社区的关系。绝非仅仅是开源公司或是初创公司才会觉得开源具有巨大的战略重要性。华为在美国的研发部门Futurewei的开源战略负责人Chris Xie表示,该公司意识到开源带来的威胁和机会已有二十余年,而OSPO是该公司应对这些威胁和机会的方式之一。在纯技术公司之后,有些技术前沿公司希望模仿他们在纯技术公司中看到的情况,特别是在软件开发方面。这些公司的收入来自于硬件或软件之外的其他业务,他们不认为构建硬件或软件是他们的业务核心。然而,技术对他们的业务运营至关重要,他们希望被视为一家技术公司,以吸引顶级人才并创造新的收入来源。在这些公司中出现的一个模式是,O
227、SPO以及向开源做出贡献、发布开源项目,都是为了改变公司形象,同时提高公司更快地交付高质量软件的能力。“Spotify从一开始就一直在使用和创建开源项目,但并没有以战略的方式对待它,也没有考虑它是如何为公司创造价值的,”Spotify的OSPO负责人Per Ploug说。“对于我们来说至关重要的是,将开源工作提升到与内部工作相同的水平,这样我们才能考虑为什么要做这些工作以及它们如何带来价值,从而确保我们的工程师将时间投入到有影响力的项目中。”在Spotify的案例中,这种新方法最明显的应用是Backstage,这是该公司在2020年向CNCF捐赠的成功开源项目的基础上,投入建设的商业产品的大胆
228、尝试。Spotify打算使他们在Backstage的投资更具有自我持续性,并确保他们长期参与开源社区。目前,他们有超过40人在Backstage项目上工作。我们为Backstage项目制定了雄心勃勃的计划,其中包括一项既能为这些计划筹集资金,又能为所有人带来更好终端产品的商业策略,目标是将开源从成本中心转变为利润中心。“Wayfair是一家科技公司,需要许多技术专家在众多领域进行持续性的工作来支持我们的运营和发展,”Wayfair的全球OSPO负责人Natali Vlatko说到。“在与我们前首席技术官的交谈中,我强调,对我们来说,真正实现这种心态的最简单方法是开发技术产品。做到这一点的万全之
229、策是构建开源项目并投资回馈开源生态系统。”虽然这些公司确实以变得更像科技公司为目标,但这只是达到目的的手段。在某些情况下,目标是明确的,通常是能够聘请到最优秀的人才以及提高内部工程工作的质量。然而,即使这些公司在开始时就认为开源很重要,但却无法准确地阐述开源为什么或者如何能够促进工程或商业目标。成立OSPO有助于他们明确开源如何使公司受益,并确定如何从开源中获得更多价值。“他们曾经有几个开源项目,但都没有取得任何成果,”Indeed的开源总监Duane OBrien谈到在他加入公司之前的情况。“没有人认为这些项目是巨大的成功,我认为他们并没有对成功有一个明确的认识。”他说。对于大学来说,开源的
230、价值以及与之相关的开源办公室(OSPO)来负责监督大学中开源项目与研究人员之间关系,与营利性公司有所不同。他们通常将开源视为进一步推动大学使命的途径但直到最近,这一机会在很大程度上都被忽略了。“他们并没有真正参与开源项目的历史记录,”加州大学圣克鲁兹分校开源软件研究中心主任Carlos Maltzahn说到。事实上,虽然已经有一些成功的开源项目起源于大学,但在多数情况下,这只是少数学生或研究人员的个人项目,因为多数大学对将研究成果转化为高影响力的开源项目几乎没有支持与贡献,这是他希望改变的事情。他认为创建OSPO是支持创造开源项目学生和研究人员的途径,帮助更多项目跨越从研究项目到更广泛生态系统
231、中使用的鸿沟。开源在扩大知识获取的更大使命中发挥着重要作用,位于西班牙马德里的胡安卡洛斯国王大学的教授兼开放知识工作负责人Jesus Gonzalez-Barahona说到:“在整个欧洲,尤其是在西班牙,大学正在重新发现这样的一个观念,即我们需要为社会创造知识。”开源软件以及研究的开放获取,是实现这一使命的途径。终端用户公司大学全球开源态势洞察第九期59OSPO能为企业做什么?当我们思考OSPO所提供的价值时,有两个不同的阶段。第一个阶段是最初创建OSPO的原因,第二个阶段是OSPO在发展成熟时所看到的价值。在本章节中,我们将讨论各组织创建OSPO的初衷,并在后面的章节中讨论OSPO所提供的价
232、值是如何演变的。创建OSPO有多种原因,就像随着OSPO的成熟,维护和发展OSPO也有多种原因一样。虽然创建和维护OSPO可能存在教育和社会原因,但本报告主要侧重于关注创建OSPO背后的商业原因,因为我们的研究主要集中在营利性组织上。企业组织创建OSPO的最根本原因是,他们意识到公司的工程师正在使用开源软件,但他们并不知道是否遵守了项目中开源许可证的规定。“开源是不可避免的。”DB Systel(德国铁路公司的数字合作伙伴)的开源管理负责人Cornelius Schumacher说到。鉴于这一现实,DB Systel需要进行有组织的、统一的管理,以确保公司遵守项目中的开源许可证的规定,并管理潜
233、在的安全问题。Cornelius Schumacher认为:“风险管理并不是创建OSPO的唯一原因,但肯定是该决策的重要组成部分。”由于新的开源项目每天都在被下载和使用,特别是在大型组织中,与其说OSPO的作用是进行合规性审计,不如说是将技术和流程落实到位,确保开发者了解哪些许可证是可接受的,哪些是不可接受的,这样在必要时就更容易进行合规性审计。解决相关的合规性问题,通常还需要将临时使用开源项目的方式转为更加标准化的过程。Ploug说:“现在,开源项目之间有太多的依赖关系。”创建OSPO的部分原因就是为了简化这些依赖关系,避免存在多个实现相同功能的项目。这将使得开源管理的许多方面变得更容易,从
234、许可证合规性审计到安全性,再到对公司核心流程起重要作用的开源项目进行战略投资。除了围绕工程师是如何构建开源使用的标准化流程外,还需要构建关于工程师是如何贡献开源项目甚至创建自己项目的标准流程。在许多组织中,以前这些决策是由个别工程师和他们的经理作出的,结果常常导致各种方法混合在一起,对什么是可接受的方法缺乏确定性。通常,开源办公室(OSPO)的初始任务之一就是制定关于使用和贡献开源的政策,并在整个工程组织中进行传播,其目标是消除工程师在使用和贡献开源方面的困惑。提高组织在开源生态系统中的声誉是许多公司创建开源办公室(OSPO)的重要动机。在VMware任职的Ambiel说:“我们的目标不仅是更
235、具战略性和目的性,还要提升我们在开源社区的声誉被视为并被接受为开源生态系统中一个负责任的、积极的贡献者。”这一点尤为重要,如果一家公司在之前没有任何参与项目社区的经历,突然需要一个新功能或是修复一个错误,那么这个请求就不太可能被社区优先考虑。而如果公司坚持投资社区参与,当他们有需要时,社区更有可能将其优先考虑。在Aiven任职的Prat说:“我们需要聘请具备代码提交权限的专业人士。”这里所说的提交权限是指Aiven所依赖项目中的提交权限。获得这种权限的唯一途径是持续投资于该项目,这就是为什么Aiven成立了一个开源办公室(OSPO),以确保公司及其雇佣的个人在社区中保持活跃。开源办公室(OSP
236、O)也是一种分享开源知识的方式,要想参与关于如何战略性地使用开源的讨论,公司可能需要建立一个OSPO。Fukuchi表示,这种知识共享是索尼从其OSPO中获得的巨大价值的重要组成部分。提高一个组织的声誉,归根结底是要能够与行业中的其他人进行富有成效的合作,以及参与关键项目方向的讨论。来自Wayfair的Vlatko说到:“提高我们的声誉使我们能够参与到科技界更大的市场对话中,在那里我们可以影响对我们重要的产品及解决方案。”创建OSPO的原因1.进行合规性审计2.构建开源标准化流程3.提高组织声誉4.扩大开放知识获取范围全球开源态势洞察第九期60对于大学来说,OSPO是一种增强研究影响力、使其更
237、容易为更广泛的社区所接受或使用的方式,也是一种改善学生获取知识的方式。加州大学圣克鲁兹分校的Maltzahn说:“学生是只阅读论文,还是看了论文后去相关的公共git存储库并获取那里的所有信息以重现实验,这是一个巨大的区别。已有研究表明,“如果你让学生参与到重现实验结果的工作中来,这比仅仅阅读论文会有更好的学习效果。”这对学生的留存非常重要。许多学生过早地放弃了计算机科学,因为他们对使用脆弱的实验系统造成的陡峭学习曲线感到非常沮丧。将开源的实用性融入到学生的学习过程中,减少他们的挫败感,既有助于他们对计算机科学的学习,又有助于他们未来在软件开发方面取得成功。5.提高开发速度没有人会从创建操作系统
238、开始构建产品这样什么东西都建不出来。爱立信开源经理Georg Kunz表示:“我们的产品中有很多部分几乎完全由开源软件组成,这在爱立信悠久的历史中是一次根本性变化。”开源办公室(OSPO)不仅能为公司如何使用开源项目制定秩序,而且还可以为使用哪些项目提供指导。7.降低风险开源存在不同的风险,而正式的开源办公室(OSPO)可以帮助降低这些风险。正式设立OSPO机构的一个原因是,有一些工程师正在承担类似OSPO的职责,但没有相应的头衔或结构,这就是爱立信发生的情况。Kunz说:“我们基本上有一个单人OSPO,他负责一切事务,主要关注合规问题,就像许多OSPO一开始做的那样。但显然,这种情况是不可持
239、续的,他不应该被繁重的工作压倒。”创建OSPO可以使经常以临时方式来解决事情的步骤正式化,减少对关键人物的依赖,降低一位关键人物的离职可能会使公司面临的法律问题、安全事故或被排除在开源对话之外的风险。8.提高安全性确保公司尽可能地保持安全,特别是厘清进入内部和外部应用程序的软件材料清单,是关于OSPO如何提供价值的一个反复出现的主题。然而,这些例子是在战略层面,而非严格的执行层面。Indeed的OBrien表示:“如果不与社区中正在合作开发的内容保持一致,我们就无法开发自己的安全框架,并把它应用到每一个领域。”爱立信的Kunz在谈到软件供应链安全时表示:“从设计上讲,这是一个分布式问题,最优秀
240、的工6.改善人才获取渠道开源有两种方式可以改善人才的获取,最明显的方式是让组织雇佣到更高水平的工程师,要么提高他们在开源界的声誉,要么通过创建自己的开源项目并从活跃在这些项目社区的人员库中招聘。来自Indeed公司的OBrien说:“我的老板和执行担保人想了解我们与开源社区的关系是否健康,因为我们需要从中招聘人才。”“我们面临的最大挑战之一,就像其他IT公司一样,是找到人来完成所有的软件工作。”OSPO及随之而来的开源战略方法推动改善人才获取的另一种方式是,创建解决组织问题的开源项目,特别是解决组织中普遍存在的问题,而这些问题的解决并不能带来任何竞争优势。来自DB Systel的Schumac
241、her说:“像其他IT公司一样,我们面临的最大挑战之一是找到人来做所有的软件工作。”如果公司能够创建一个开源项目,并与业内其他公司合作,就可以在无需雇佣更多人员的情况下利用技术人才。根据Schumacher的说法,鼓励工程师使用开源并为开源做出贡献,也是让他们感到满意并降低离职可能性的一种方式。同样的,鼓励更多的工程师创建开源项目并在开放环境中做更多的工作,也是提高现有员工技能的一种方式。Wayfair的Vlatko表示:“如果我们向外界展示我们的代码,向外界展示我们的技术实力,那么就需要尽量表现出最好的一面。”她说,随着Wayfair鼓励员工更多地在开放环境中工作,他们发现代码质量以及对最佳
242、实践的遵循都有所提高。全球开源态势洞察第九期61程师也不能解决这个问题,你也不能通过内部流程来解决这个问题。”这需要与整个行业和开源生态系统中的其他人合作。OSPO为组织提供了一种实现安全流程的方法,尽管OSPO并不最终负责实施安全流程,但他们确实分享了最佳实践,并促进开源社区、行业参与者、基金会和其他利益相关者之间的协作,以提高安全水平。安全性也是各组织希望参与,并成为具有战略意义的项目中备受尊重的社区成员的原因之一。这使得他们参与幕后对话,不仅能了解到正在开发的任何新功能,还可以第一时间了解到任何潜在的安全问题。这样既可以帮助他们采取积极措施解决这些安全问题,也可以防止潜在的安全漏洞或数据
243、泄露。同时,也有助于建立与客户和社区的信任,展示对安全和负责任数据处理实践的承诺。9.可持续性有时开源项目会被废弃,如果你依赖于它们,那就可能会出问题。来自Spotify的Ploug说:“如果我们对挪威的单一维护者有很强的依赖性,那么应该采取一些措施来确保他们保持参与度,或是让我们的开发人员花时间投入到这些项目上,或是提供一些资金支持。”设立开源办公室(OSPO)可以帮助识别风险,否则单一维护者的情况可能会不为人知,OSPO也可找到降低风险的最佳方法。这个问题正是促使OBrien在Indeed创立开源软件(FOSS)基金会的原因,该基金是Indeed为其所依赖的项目维护者提供财政支持的一种方式
244、。其目标是支持那些容易出现疲劳倦怠的维护者,以此来降低该项目最终被放弃的风险。谁在OSPO中?克服内部障碍:文化和教育虽然我们通常将开源视为个人工程师的基层努力,但是采访结果表明,来自于高管层面上对OSPO的支持是一种压倒性趋势。在VMware和Futurewei这样的大型科技公司中,OSPO的支持者是CEO。来自Futurewei的Xie表示:“CEO意识到,开源不仅仅是技术问题,更是商业问题。因此,他们将开源办公室搬到了首席战略办公室,也就是我们现在的位置。”即使在更基层的项目中,高层的参与也很常见。来自Wayfair的Vlatko说:“我自己带着这个想法去找了我们的前CTO,他非常支持,
245、说“好,去做吧”,但也非常现实地表示,他不是专家不能指导我。我说“没关系,我是专家。”显而易见,在许多公司中,与开源建立战略关系已经成为一个高层次的业务关注点,而不仅仅是一群工程师应该解决的技术问题。一旦OSPO制定了关于使用和贡献开源项目的政策,下一步通常是在内部推广这些政策。这是至关重要的,尤其是考虑到许多OSPO只有少数几个人,而组织内可能有数千甚至数万名工程师。OSPO承担的内部沟通作用可以追溯到最初创建OSPO的原因之一:来自软件工程师的大量关于如何处理开源问题的咨询。许多开源办公室(OSPO)在着手解决更具战略性的问题之前,首要任务就是清理开源领域的混乱现象。很多OSPO领导者将这
246、一步称为整顿开源现状,要从多年来零散无序地使用和贡献开源中恢复过来。来自Spotify的Ploug表示:“过去十年,我们发布了许多项目,但却没有长远的规划或明确的归属。”目前,OSPO正逐一审查公司创建的所有项目,搞清楚它们的归属,并确保项目归属于团队而非个人。确定关闭哪些项目需要一个过程,前提是确认内部没有使用。开源项目办公室(OSPO)在组织内管理和推广开源活动方面起着重要作用。他们在初始阶段处理的一些工作是有限的,比如关于哪些许可证可不可以使用的问题。通常,OSPO可以与法律团队合作,弄清楚哪些许可证是可以接受的。一旦做出决定,就不需要再重新审视,而是需要向整个组织传达在哪些场景下可以接
247、受哪些许可证。但是,当组织已经整理好内部项目,为如何使用和贡献开源项目制定了框架,并充分解决了合规性问题之后,他们接下来会做什么呢?OSPO的发展过程全球开源态势洞察第九期62与开源的战略关系顾问当我们谈论为开源软件做贡献时,在开始的时候,我们面临的问题是,我们可以这样做吗?”来自DB Systel的Schumacher说。人们并不知道在使用开源,特别是回馈开源方面有什么规定。如果开源办公室(OSPO)的首要目标之一是弄清楚这些规定是什么,那么次要目标就是确保信息在整个组织内传播。来自Wayfair的Vlatko说,在GitHub上建立组织结构并确定可以使用的许可证类型后,通过开展教育活动,以
248、确保这些信息在整个组织内广为人知。但除了预先回答工程师们关于与开源交互的问题之外,人们对开源的看法有了更大的转变。“问题的重点从是否使用开源转变为如何战略性地使用开源。”Schumacher说。“在经过一段时间后,我现在看到的是,我们正更多地关注如何利用开源进行战略合作,例如与外部公司合作。”尽管开源无处不在,但并非所有组织都拥有他们想要的开源文化,对开源的看法也并非普遍积极。从个人贡献者到经理和高管,在他们职业生涯的某个阶段都有过使用开源软件或参与开源社区的糟糕经历,说服这些人接受开源是OSPO所面临挑战的一部分。“我们希望文化思维转变,发展开源社区。”在F5的Abernathy说。这将是帮
249、助该公司在开源生态系统中发挥更大作用的主要动力。从真正意义上说,OSPO力图改善开源在组织内的声誉,就像提高组织在开源生态系统中的声誉一样重要。毋庸置疑,开源战略的重要性因公司类型不同而异。对于像Futurewei这样的公司来说,它所销售的“黑盒子”解决方案的开源替代品,是对公司创收能力的根本威胁。“如何从商业角度而不是技术角度处理这个问题?”Xie说。在类似的情况下,来自VMware的Ambiel表示:“说到底,VMware是做什么的?我们销售软件。因此,我们的开源投资需要与我们的商业愿景保持一致。”OSPO的存在就是为了确保这种情况的发生。在Spotify,有一个颇有野心的计划,要把公司最
250、成功的两个开源项目分拆成独立的业务部门,它将在项目的基础上推出商业产品,把项目从成本中心变成利润中心。OSPO在Spotify的部分作用是帮助识别和启动有可能成为新业务部门的新项目,并支持它们以增加成功的可能性。开源办公室(OSPO)在制定战略方针方面发挥着至关重要的作用。有时,采取战略方法意味着需要后退一步,花时间思考一些棘手的问题:哪些特定项目适合哪种参与模式,或者组织应该在每个项目中参与的程度。还有一个问题是:在何时应该为现有项目做出贡献,而何时又应该创建一个新项目。在进行这些战略层面对话的OSPO将能够为工程师提供指导,这样工程师在尝试解决问题时就不必考虑不同开源参与模式的商业影响。引
251、导者开源办公室(OSPO)在F5公司中担任着至关重要的角色,负责在工程团队和有关开源的商业利益之间进行沟通协调。Abernathy提到,“我们如何确保工程师们能够持续投入时间在开源项目上,并能从商业角度证明这是有意义的?这正是OSPO在F5的职责之一,即传达开源项目对企业所带来的商业价值。这些战略问题在OSPO创建之初并不总是被放在首位,特别是那些不那么专注于技术的公司,开源并没有对收入构成直接威胁。但即使是这些公司最终也会意识到,合理利用开源不仅仅是为了降低许可证的合规风险。Schumacher说:“现在我们也在研究更多的案例,从战略角度来看,利用开源对我们自己的项目或是与其他各方合作的项目
252、具有意义。”对于组织来说,当它们适应商业、竞争环境和更大技术生态系统的变化时,连续性是一个持续的挑战。根据Linux基金会的白皮书关于OSPO的深入研究,OSPO需要建立一个清晰、简单的报告程序,并确保与所有利益相关者的沟通渠道保持畅通。这对于维持OSPO的内部支持,确保组织继续遵循其商定的开源战略,并能够在开源项目和优先事项上具备可持续性的工作能力至关重要。OSPO的不同角色全球开源态势洞察第九期63衡量OSPO的成功衡量OSPO的成功“当我面试这个职位时,我问我们将如何衡量成功,”Prat说。“他们说我们还不知道”。这种不确定的模式在采访中经常出现一位行政主管支持OSPO,认为开源很重要,
253、公司需要采取实际的、战术性的步骤来确保合规性和安全性,同时也要弄清楚如何在这个过程中战略性地参与。在许多情况下,他们并不真正知道这长什么样子,OSPO最初的任务之一就是弄清楚成功是什么样子,以及如何衡量他们自己的进步。受访者谈到使用一些指标来衡量对开源的参与,但最终放弃了。例如,Pull请求(prs)的种类太多,无法提供有意义的信息PR可能是一个错别字的修复,也可能是一个重要的功能。衡量在开源上的工作时间似乎也不合适,因为它不能衡量影响。决定该衡量什么是相当具有风险和战略意义的,这也是OSPO领导者本身承担了弄清这一点的任务。人类的本性是对我们知道正在评估的东西进行优化,受访者谈到了选择指标的
254、重要性,恰当的指标将鼓励整个组织的工程师成为更好的开源参与者。通常,随着OSPO的成熟,最初应用的指标会发生变化。例如,在Indeed,最初的重点在于增加贡献者以及衡量在每一季度有多少人为开源做出贡献。然而,过了一段时间,他们开始关注增加所谓的“持续贡献者”,这些人对同一个项目,即对Indeed具有战略意义的项目进行反复贡献。这是因为对维护者来说,从一个人那里得到5份贡献比从5个人那里得到5份贡献更容易,而且更大的目标是让维护者的工作更容易。通常,很难用数字来量化OSPO表现的情况。“我个人衡量成功的标准是继续提升VMware在开源方面的声誉和领导地位。”Ambiel说。“我在这方面的成功指标
255、是相当定性的。”她谈到了感知研究、声音份额,以及社区系统地分享VMware的故事或贡献的时间。单独地看,这些指标可能是模糊的,但它们“加在一起形成了一个整体,表明我们正在取得进展。”那么,一旦OSPO有时间考虑哪些指标能鼓励有益的行为并与OSPO真正的目标相一致,他们最终会衡量什么?持续贡献者:组织中对同一项目进行定期、反复贡献的人数(假设这些项目对组织具有战略意义)。成功发布项目:组织发布项目的外部参与和影响。OBrien举了一个例子:Indeed发布的一个项目被CNCF Sanbox视为极大成功的衡量标准。来自UC Santa Cruz的Maltzahn提到,不仅要衡量所发布的项目,还要衡
256、量这些项目在吸引校外更广泛的追随者方面的成功程度,以及这些项目在没有大学持续参与的情况下是否能够长期生存。开源的内部声誉:人们是否知道OSPO的存在?他们是否知道OSPO围绕着如何使用开源、贡献现有项目,或创建新项目而建立的参数?许多公司追踪这些内部意识指标,因为他们的很大一部分作用是负责内部沟通。组织在开源社区中的声誉:对于许多公司来说,建立OSPO是为了提高组织在更大开源生态系统中的声誉,他们通常会追踪声誉和意识指标,如社交媒体的提及,提到公司参与开源的求职者数量,或在开源相关会议上发言的员工数量。有些公司会对第三方的开发者进行调查,并提出与声誉有关的问题。减少开发者的响应时间:除了追踪内
257、部团队对政策的了解程度外,OSPO还经常追踪他们为这些开发者带来了多少响应。例如,如果一个人需要批准一个贡献请求,需要多长时间?追踪项目的健康状况:追踪组织所依赖的“健康”项目的百分比。判断一个项目的健康状况,通常需要追踪活跃贡献者的数量,提交的频率,维护者的数量,以及其他指标,包括有来自许多不同组织的用户和贡献者。外部合作:OSPO正在与多少个伙伴积极合作?这可以采取参与合资企业或赞助项目的形式,特别是在大学之间。或者积极加入开源基金会和行业团体。其他积极的外部合作的例子包括作为发言人、代表或赞助商参与会议,以及参与研究开发过程,正如本报告中的许多受访者所展示的那样。还有一些联合项目,以确定
258、追踪的最佳指标:TODO小组和CHAOSS创建了OSPO指标工作组,以帮助开发更好的指标,供OSPO衡量自己的成功。全球开源态势洞察第九期64许多OSPO领导者强调,谈论量化指标不仅是困难的,而且可能导致误导性的结论。许多OSPO只是没有可衡量的目标。来自Ericsson的Kunz说:“我们对团队的期望目标是相对较高的。”“我觉得我们应该远离数字。”来自VMware的Ambiel说。“数字并不能说明问题,并且在开源领域可能会产生误导。”Ambiel说,关注数字的部分危险在于,OSPO的最终目标是推动公司成为开源生态系统中更好的参与者,而成为一个好的成员是永无止境的。“没有一个指标你可以说,好吧
259、,我完成了,检查一下。”她说:“你可以一直接近,你将一直努力做到更好。在时间跨度方面也可能存在问题。来自Aiven的Prat说:“每个公司都试图用三个月的时间跨度来衡量事情。”但是开源维护者并不关心你是否需要达到接受贡献的季度目标;他们不会围绕季度目标或财政年度来安排开源项目。还有一种感觉是,OSPO在不断地发展,因此,要追踪的正确关键绩效指标也在不断地发展。“我们现在正在寻找那个有效的关键绩效指标,因为我们的活动在变化,现状已经改变,所以我们需要调整关键绩效指标。”Fukuchi说。关键绩效指标检索在一点上,所有受访者都有绝对的共识:OPSO在未来将继续发展。特别是,OPSO越是成熟,它就越
260、能进行战略思考,并帮助整个组织制定更具战略性、深思熟虑的开源方法。他们不期望更多的关注会在法律和合规层面上这是一个大多数受访者认为更像是多项选择的最低限度,而且他们已经搞定了。一些受访者谈到,希望OSPO在影响他们公司未来采用哪些技术和项目方面发挥更大的作用。还有人希望OSPO能够深入依赖关系链,更好地了解他们所依赖的项目(即使它在下面两三个级别),追踪这些项目的健康状况(并在必要时作出贡献)。还有人谈到了建立自动化平台来处理一些目前手动操作的任务,比如批准对项目的贡献请求。Kunz说:“OSPO需要制定一个战略,把它建立起来,然后让开发者加入进来,做正确的事情。”Kunz和其他许多人认为,O
261、SPO应该致力于愿景和战略,并确保他们与整个公司合适的人员达成合作,将愿景变为现实。归根结底,OSPO的部分职责就是与开源和它所提供的商业价值进行对话。这是开源布道的一部分,这也是许多OSPO使命的一部分。Schumacher说:“我认为其中一个重要的部分是真正让人们理解其商业价值。”这并不容易,因为开源并不总能将商业领袖所考虑的事情完全转化,但是这很重要。企业领导者通常知道开源是重要的,但他们需要OSPO来帮助他们理解为什么,然后利用这些信息从开源中获得更多的价值。关键绩效指标检索结语编写委员会主编:刘京娟编写小组:赵海玲、郭雪雯、王林、刘博雅设计:马坷、刘雅朦版 权 声 明全球开源发展态势
262、洞察旨在传递和分享开源行业最新动态,我们仅对已公开资料进行收集、整理与翻译,供您阅读、参考及交流使用。开放原子开源基金会享有所刊登原创内容的著作权,第三方引述资料不代表基金会观点。您可“按原样”转载本刊内容,并应注明来源。开放原子开源基金会兼具科技、公益、慈善属性,以“繁荣开源事业、共享开源价值”为愿景,遵循“以开发者为本的开源项目孵化平台、科技公益性服务机构”的定位,以“打造科技创新共同体、孵化明星开源项目、构筑技术竞争优势、培育新兴产业生态、助力新一代信息技术和产业发展”为目标,致力于提升我国对全球的开源贡献。在开源繁荣发展的背景下,开放原子开源基金会推出全球开源态势发展洞察,现已发行五期。为推动更多的社会大众能认识开源、了解开源、参与开源,现诚邀各位开源专家、开源大使、开源爱好者等开源人输出关于开源的权威、专业、前沿的观点及内容,为促进全球的开源发展贡献出一份力量!扫码参与开源发展态势讨论开源发展专题投稿地址:北京市北京经济技术开发区 科谷一街8号院8号楼22层网址:WWW.openatom.org资金/项目捐赠:sponsorshipopenatom.org