开源软件供应链面临的风险及挑战

12月24日，由中国电子技术标准化研究院、中国软件行业协会、绿色计算产业联盟主办，华为、飞腾、麒麟软件、统信软件、普华基础软件、麒麟信安、中科院软件所协办的操作系统产业峰会在北京成功举行。会上，中国科学院软件研究所所长赵琛发表主题演讲，从开源软件的源头出发，对比了国内外开源软件发展现状，阐述了开源软件供应链面临的风险及挑战，并介绍了“开源软件供应链点亮计划－暑期2021”的相关规划。

数字经济时代，“软件定义一切”。当前，软件已经成为知识、技术诀窍和商业模式的重要载体，是数字基础设施建设的重要组成部分。Synopsys公司的权威代码审计报告指出，2020年99％的商业软件都包含了开源软件组，其中有70％直接由开源代码提供。从世界上来看，开源软件占了重要的主导地位，开源软件作为开发的主要方式，成就了企业和各行各业的服务器。

与此同时，国内开源行业也存在三方面的问题，分别是开源软件产业价值不高、开源社区贡献不足、开源生态受制于人。从产业价值来看，产业整体机制，国外开源软件公司Red Hat 2019年的收入高达30亿美元，国内整个行业的开源收入仅为人民币9亿元，整体价值没有充分发挥。从社区贡献来看，国内很少有机构跟开源签署非常正式的共建协议，整体缺少国际上主流的重要开源项目。

面对这一挑战，开源软件供应链应运而生。开源软件供应链即一个系统在开发和运行过程中，涉及到的所有开源软件上游社区、源码包、二进制包、包管理器、存储仓库、社区、基金会等，按照依赖、组合等形成的供应关系网络，拥有商品迭代周期短、生产线上化、供应全球化、仓储集中化、边际成本低等特点，可以很好地解决这三方面的主要问题。

赵琛表示，开源软件最重要的是源码包，要想推动开源软件快速发展，首先需要保证整个开源软件供应链网络的健康发展。然而由于种种原因，开源软件供应链目前仍面临着安全性风险、知识产权风险、维护性风险等挑战。

基于这一背景，中国科学院软件研究所联合openEuler社区于2020年4月推出了“开源软件供应链点亮计划－暑期2020”活动，从“学生贡献、开源社区发展、产业壮大”三个维度化解相关风险，推动开源软件供应链网络的健康发展。该活动共吸引了42个开源技术社区、246位社区导师参与，成功上线388个项目。

本次大会上，赵琛宣布“开源供应链点亮计划－暑期2021”正式启动。据悉，“开源供应链点亮计划暑期2021”将在首届活动的基础上扩大规模，计划支持不少于100个开源技术社区、800个项目，吸引超过1000 名海内外高校学生参与，并与更多的科研机构、技术企业、媒体合作，以期扩大活动及开源社区的影响力，提高成果数量和产出质量。

开源之路任重道远，但“开源软件供应链点亮计划”的正式启动，必将让开源领域的从业者拥有更强大的信心与底气，去链接更多开源力量、共建开源软件生态、发挥出开源更大的社会价值，加速操作系统建设，共同谱写中国软件发展最壮丽的新篇章。

责任编辑：xj