隨著近些年開源技術(shù)的廣泛應(yīng)用,我國開源生態(tài)不斷發(fā)展壯大,企業(yè)在廣泛使用開源軟件的過程中逐步了解開源風險,從而關(guān)注開源治理。與此同時,市場上涌現(xiàn)了大量開源項目、開源治理方法和配套的開源治理工具。針對水平不一的市場參與者,中國信通院建立可信開源標準體系,并落地評估測試。對企業(yè)開源治理能力、開源項目合規(guī)性、開源社區(qū)成熟度、開源工具檢測能力、商業(yè)產(chǎn)品開源風險管理能力開展測評,以幫助企業(yè)降低開源軟件的使用風險,推動建立可信開源生態(tài)。
2021年9月17日,中國信通院2021年最新可信開源評估結(jié)果在2021 OSCAR開源產(chǎn)業(yè)大會上正式公布!
可信開源治理能力
中國工商銀行股份有限公司、上海浦東發(fā)展銀行股份有限公司、招商銀行股份有限公司、中移信息技術(shù)有限公司
可信開源社區(qū)
Apache ShardingSphere、Rancher、TiDB、MOSN
可信開源項目
Apache ShardingSphere(版本號:5.0.0-beta)
Apache APISIX(版本號:2.8)
Apache Doris(版本號:0.14)
EMQ X(版本號:4.3.6)
OpenMLDB(版本號:0.2.2)
RANCHER(版本號:2.5.9)
優(yōu)麒麟(版本號:20.04 LTS Pro)
Flomesh Pipy(版本號:0.8.0-31)
Alluxio(版本號:2.6.1)
CyberDog(版本號:1.0.0.66)
Curve(版本號:1.2.1-rc0)
首批可信開源供應(yīng)鏈-產(chǎn)品能力
日志易-日志易 V2.0
網(wǎng)易數(shù)帆-輕舟微服務(wù) 21.0.1 GA
可信開源治理工具
深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司 開源組件安全及合規(guī)管理平臺(本地部署版)
中國信通院累計完成46項可信開源評估
可信開源評估結(jié)果
可信開源治理
開源使用
中國工商銀行股份有限公司
中國農(nóng)業(yè)銀行股份有限公司
上海浦東發(fā)展銀行股份有限公司
中國太平洋保險(集團)股份有限公司
中信銀行股份有限公司
招商銀行股份有限公司
中移信息技術(shù)有限公司
自發(fā)開源
騰訊科技(深圳)有限公司
可信開源供應(yīng)鏈
企業(yè)能力
中興通訊股份有限公司
北京小米移動軟件有限公司
產(chǎn)品能力
中興T8000(版本:V4.00.10)
小米手機11 MIUI 12.5(版本:V12.5.6.0.RKBCNXM)
北京優(yōu)特捷信息技術(shù)有限公司-日志易 V2.0
杭州網(wǎng)易數(shù)帆科技有限公司-輕舟微服務(wù) 21.0.1 GA
可信開源社區(qū)
openEuler
openGauss
MindSpore
openLooKeng
TARS
騰訊藍盾平臺BK-CI
Apache ShardingSphere
RANCHER
TiDB
MOSN
可信開源項目
騰訊藍盾平臺BK-CI(版本:V1.3.0-rc.10)
TARS(版本:TarsJava v1.7.2)
Apache APISIX (版本:1.4)
Apache Pulsar(版本:2.6.0)
Apache Kylin(版本:3.1.0)
騰訊藍盾平臺BK-CI(版本:1.0.0-beta.15)
TARS(版本:2.1.0)
Apache ShardingSphere(版本:4.0.1)
Apache ShardingSphere(版本號:5.0.0-beta)
Apache APISIX(版本號:2.8)
Apache Doris(版本號:0.14)
EMQ X(版本號:4.3.6)
OpenMLDB(版本號:0.2.2)
Rancher(版本號:2.5.9)
優(yōu)麒麟(版本號:20.04 LTS Pro)
Flomesh Pipy(版本號:0.8.0-31)
Alluxio(版本號:2.6.1)
CyberDog(版本號:1.0.0.66)
Curve(版本號:1.2.1-rc0)
可信開源治理工具
網(wǎng)神信息技術(shù)(北京)股份有限公司—奇安信開源衛(wèi)士(SaaS版+本地部署版)
蘇州棱鏡七彩信息科技有限公司—FossEye(SaaS版)+開源治理平臺(本地部署飯)
深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司—開源組件安全及合規(guī)管理平臺(SaaS版+本地部署版本)
北京安普諾信息技術(shù)有限公司—懸鏡源鑒開源威脅管控平臺(SaaS版+本地部署版本)
國家超級計算無錫中心—重睛鳥代碼審查系統(tǒng) SaaS 版
西安奇科厚德信息科技有限公司—Checode開源助手檢測系統(tǒng)(本地部署版)
新思科技(上海)有限公司—Synopsys BlackDuck(SaaS版+本地部署版)
杰蛙科技(北京)有限公司—JFrog X-Ray(本地部署版)
可信開源評估介紹
可信開源治理評估
面向用戶企業(yè):評估對象為使用開源軟件的企業(yè)用戶。開源軟件的廣泛使用也從安全和合規(guī)角度對企業(yè)的開源治理能力提出了更高的要求。針對企業(yè)用戶在使用開源軟件時面臨的風險,重點考察企業(yè)在組織機制、管理制度、風險管理、軟件測評選型、技術(shù)使用管理、技術(shù)運維管理、定期健康評估和軟件退出管理等方面的能力。根據(jù)企業(yè)開源治理水平實際所處的不同階段,將劃分為基礎(chǔ)級、增強級和先進級。
面向自發(fā)開源企業(yè):評估對象為發(fā)起開源項目的企業(yè)。重點考察企業(yè)在開源治理組織架構(gòu)、開源項目管理制度、開源工具平臺建設(shè)、開源項目申請、開源項目審批、開源項目發(fā)布、開源項目運行維護、開源社區(qū)管理、開源項目關(guān)閉九個方面的規(guī)范性。
可信開源供應(yīng)鏈評估
評估對象為基于開源軟件提供商業(yè)解決方案的軟件提供商或者提供云服務(wù)的云服務(wù)商,幫助軟件提供商和云服務(wù)商規(guī)范開源軟件引入、開發(fā)和交付流程和制度,幫助企業(yè)降低開源供應(yīng)鏈風險。
評估類型分為企業(yè)開源供應(yīng)鏈風險管理能力評估和產(chǎn)品開源供應(yīng)鏈風險管理能力評估。
可信開源社區(qū)評估
評估對象為開源社區(qū),開源社區(qū)=人+項目+基礎(chǔ)設(shè)施平臺,一個好的開源社區(qū)有助于開源項目營造良好的開源生態(tài)并擴大影響力??尚砰_源社區(qū)評估從基礎(chǔ)設(shè)施、社區(qū)治理、社區(qū)運營與社區(qū)開發(fā)等角度,梳理開源社區(qū)應(yīng)關(guān)注的內(nèi)容及指標,聚焦于如何構(gòu)建活躍的開發(fā)者生態(tài)與可信的開源社區(qū)。
可信開源項目評估
評估對象為社區(qū)版的開源項目。重點考察開源項目在許可證合規(guī)性、軟件安全性、軟件活躍度、技術(shù)成熟度、服務(wù)支持力和軟件兼容性六個方面的能力,全面衡量社區(qū)版開源項目的健康程度,為開源項目使用方提供選型的參考依據(jù)。
可信開源治理工具評估
評估對象為具有開源組成和安全性分析功能的開源組件掃描工具對其基本能力,技術(shù)支持能力,易用性,部署能力,安全性,兼容性進行評估,幫助規(guī)范和提升開源治理工具質(zhì)量,同時適用于采購此類工具的開源用戶,幫助用戶企業(yè)采購此類工具作為選型參考。
評估評估類型為SaaS版評估、本地部署版評估、SaaS版+本地部署版評估。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )