中国电信PaaS治理体系实践——肖彦昌.pdf

1、中国电信肖彦昌中国电信PaaS治理体系实践1 1使用开源软件的三个问题2 2构建中国电信PaaS治理体系CONTENTS01软件普遍采用混源代码软件的源代码绝大多数是混源代码，由企业自主开发的源代码和开源软件代码共同组成 在被分析的 2557 个国内企业软件项目中，无一例外，均使用了开源软件。最多的项目使用了 3878 个开源软件，平均每个项目使用 126 个开源软件。使用开源软件最多的 5 个项目情况如下表所示（1）国内企业软件项目 100%使用开源软件 被使用最多的开源软件为Apache Commons Lang，被 622 个项目所使用，占比达 24.3%。被使用最多的前 5 名开源软件

2、如下表所示（2）流行开源软件被近 1/4 的软件项目使用开源软件普遍存在已知安全漏洞国内企业在软件开发中普遍使用存在已知漏洞的开源软件，存在巨大的软件供应链安全风险在2557个软件项目中，存在已知开源软件漏洞的项目有2280个，占比高达 89.2%存在已知高危开源软件漏洞的项目有2062个，占比为80.6%存在已知超危开源软件漏洞的项目有1802 个，占比为 70.5%近 9 成软件项目存在已知开源软件漏洞在2557个国内企业软件项目中，共检出168604个已知开源软件漏洞（涉及到 4166 个唯一 CVE漏洞编号）平均每个软件项目存在66 个已知开源软件漏洞最 多 的 软 件 项 目 存 在

3、1200 个已知开源软件漏洞平均每个软件项目存在 66 个已知开源软件漏洞影响范围最大的开源软件漏洞为CVE2020-5421影响了 44.3%的软件项目影响最广的开源软件漏洞存在于 44.3%的软件项目中部分软件项目中存在十几年前公开的古老开源软件漏洞最古老的漏洞是2005年11月公开的 CVE-2005-3510，仍然存在于31 个项目中15年前的开源软件漏洞仍然存在于多个软件项目中开源软件广泛使用带来运维难题 许多软件项目中使用了十几年前发布的开源软件版本，存在很大的运维风险。被使用的老旧开源软件版本中，最老旧的一个是2003 年 3 月 3 日发布的 Apache Xalan 2.5.

4、D1，已经有18 年之久，但仍然被 7 个软件项目所使用。按老旧程度排名前 5 的开源软件：18 年前的老旧开源软件版本仍在被使用 各个项目中开源软件使用的版本非常混乱，并非使用的都是最新版本。Spring Data 是被使用版本最多的开源软件，有162个版本在被使用。按照被使用版本的数量排序，排名前 5 的开源软件：开源软件各版本使用非常混乱开源软件运维复杂多样，主要表现在老旧开源软件和开源软件多版本的使用层面02中国电信从上云1.0到2.0的转变应用功能数据环境应用功能数据环境应用功能数据环境A系统 B系统 C系统应用功能数据应用功能数据应用功能数据计算资源储存资源网络资源应用APP应用A

5、PP应用APP业务服务组件（码号、充值、开通等）数据服务组件（数据标签、数据查询等）通用服务组件(登录、认证、OCR等)APaaS（应用PaaS 原子能力平台）通用PaaS(云翼统一PaaS平台、云道统一应用开发部署平台、云眼统一应用监控平台)DaaS（OneData OneID OneService）计算资源储存资源网络资源A系统 B系统 C系统各种APP“上云1.0”“上云2.0”曾经一些企业已完成了IT系统的去IBM小机和EMC存储，承载在X86的虚拟机上，这种情况定义为上云1.0。如今数字化转型时代，需要从上云1.0向升级到上云2.0，PaaS从各单位独立建设到统一PaaS演进，应用要

6、解耦，能力要开放，流程要重构中国电信的上云2.0构建PaaS治理体系依托全网专家力量，全网集约运营，PaaS组件既要安全可控，又要解决下载容易使用难的问题。八统一运营三统一统一北向接口统一PaaS配置统一PaaS清单统一技术检测统一版本运营统一集中监控清单动态管理组件需求管理技术检测管理组件运维管理使用方申请入清单云网部申请审核研究院技术检测云网部清单发布云网部下发任务单研发单位返修问题检测合格后版本发布事件单使用单位一级支撑IBOC上海二线支撑研发方三线支撑使用方需求申请云网部需求审核研发方版本开发研究院技术检测使用单位版本试用IBOC上海版本发布研究院技术、安全检测四流程云荐社区维护三统一