开源30问|中国信通院开源系列解读：如何建立开源项目白名单？

近年来，全球开源生态正处于蓬勃发展期。项目层面，开源风险备受关注，可持续供给要素有待充分挖掘。全球头部开源项目通过技术驱动、人才激励等方式，完善开源治理体系，建立信任机制，从项目影响力、项目质量、安全保障性等多个层面增强开源项目核心竞争力。通过构建开源项目评价体系，构建开源项目白名单，可以有效识别优质开源项目，并为用户提供可靠的开源项目选择参考。

　　全球开源项目发展面临的问题

　　生态构建层面，开源项目可持续能力不足。开源项目具有自身的生命周期曲线，如果项目成熟度落后于炒作热度会导致项目出现断层，进而导致开源项目逐步消亡。造成这一现象的主要原因是项目生态支撑不足，导致没有充足的人力资源与商业资源来支撑项目的优化迭代。开源项目发展路径与实际用户需求出现偏差，造成用户大量流失，导致项目渐渐“死亡”。同时产业生态尚未形成，建设碎片化严重。当前开源项目产品产业链上下游尚未形成生态，易导致信息壁垒。此外，部分开源项目小而散，技术路线不统一、研发力量不集中，难以打破主流开源技术的垄断。

　　安全合规层面，安全漏洞与开源许可证风险问题日益加剧。开源安全漏洞风险逐年增长，漏洞修复紧迫性凸显。根据《2023年开源安全和风险分析》报告，开源安全问题依然是开源应用的首要隐患。2022年，84%的代码库至少包含一个已知开源漏洞，同比增长了近4%。自2018年起，物联网、汽车等领域的高风险漏洞连年增长。由于物联网行业涉及大量敏感数据和个人信息，一旦漏洞被利用，将对相关软硬件设备造成重大危害，对用户形成严重威胁。2022年11月，网络安全公司Quarkslab披露了漏洞CVE-2023-1017、CVE-2023-1018，据悉，这些漏洞致使数十亿物联网设备受到严重影响。同时开源许可证风险问题显著，亟需提升开源使用者版权意识。根据《2023年开源安全和风险分析》报告，在2022年审计的代码库中，1/3的代码库存在开源许可证无法识别问题或使用了自定义许可证，同比增长55%。大多数软件开发者版权意识相对薄弱，随意使用网络上出现的无许可证项目代码，从而加剧了开源软件版权侵权风险。大量未通过OSI认证的许可证也广泛应用于公开代码中，如Commons Clause条款限制公开代码的商业使用，若开发者未仔细甄别，将可能为应用项目引入额外合规风险。

　　项目开发层面，企业缺乏针对开源项目开发的顶层战略性规划和制度指导，同时内部存量软件管控力度不足。目前全球仅部分头部企业设立开源管理办公室，将开源管理、开发等工作上升至企业战略高度。部分企业对于开源项目开发管理战略重要性认识不足，存在重度依赖过往经验，缺乏客观性和系统性。企业不具备明确的开源项目开发规划，未制定企业级的开源项目流程制度规范，仅在生态变化等外部因素触发时针对存量开源软件进行非周期检查，从而给开源项目质量和可靠性带来潜在威胁。同时，企业开源项目开发能力不足，制约应用创新发展。部分企业对开源项目的资源统筹和管理能力有待提升。开源项目科学度量模型较为缺乏，标准尚未统一，实现开源项目全要素健康可持续发展进展较慢。

　　开源项目白名单构建方法

　　全球现有开源项目测评模型

　　全球开源项目评价模型开展较早，内容多样，目前全球已有近10个代表性开源项目相关的评价模型。其中以Liunx基金会的CHAOSS指标体系、谷歌和OpenSSF基金会共同推出的Criticality Score指标体系、卡内基·梅隆大学西部开放源代码研究中心的BRR指标体系、南洋理工大学安全研究实验室的Osspert指标体系等为代表。

　　国际开源项目度量指标体系

　　目前主要有项目生态、项目安全合规、项目开发等三个类别的开源项目评价指标。

　　项目生态类现有评价指标从项目活跃情况、项目参与情况、项目支持能力等多维度针对项目生态构建能力开展评价。例如，在CHAOSS指标体系中，通过项目活跃问题数量、新项目贡献者转为持续贡献者的比率、新增贡献者数量等指标对开源项目生态进行评估。Criticality Score指标体系设立项目贡献者数量、贡献者所属的不同组织的计数等指标评价开源项目生态建设。

　　项目安全合规类现有评价指标从开源项目漏洞风险、项目维护、许可证合规等层面实施评价。例如，红帽开源项目健康指标体系中的项目依赖项、项目发布管理和流程等指标针对开源安全合规展开评价。Osspert指标体系通过高风险许可证数量、冲突许可证数量等指标考察开源项目安全合规情况。

　　项目开发类现有评价指标从项目质量、项目应用能力等层面针对开源项目的开发能力开展评价。例如，CHAOSS指标体系通过开源项目发布频率、开源项目副本数量等指标考察开源项目开发能力。红帽开源项目健康指标体系通过基础设施组件对开源项目开发能力展开评价。Criticality Score指标体系通过衡量提交消息中提及项目的数量反应开源项目开发能力。

　　开源项目白名单构建指标选取方法

　　开源项目白名单评价体系构建时，应结合当前全球主流开源项目评价体系，从项目生态、项目安全合规、项目开发等角度出发，构建可量化的开源项目评价体系。可基于已有的BRR、CHAOSS、Osspert、Criticality Score等模型的量化指标，综合形成全面客观的开源项目评价体系。

　　中国信通院开源项目白名单评价体系包括三级指标，覆盖开源项目的生态建设、开发能力及安全合规。基于现有开源项目评价体系的关键指标和我国产业发展现状，中国信通院构建了开源项目评价体系，包含2项1级指标，5项2级指标和19项3级指标，从开源项目生态建设、开发能力及安全合规等方面持续监测开源项目发展状况。

　　开源项目可信性包括项目质量、项目响应能力、安全保障能力、规范应用能力，主要考察开源软件项目的安全合规能力以及响应情况。其中，项目质量从项目的代码行数和配套文档数量进行考察，项目响应能力主要考察项目方针对项目的更新速度和针对开发者的答疑能力，包括PR处理时间、Issue处理效率、版本更新速度等。安全保障能力主要考察项目的安全漏洞等情况。规范应用能力主要考察项目在应用过程中的配套文件完备性和组件许可证的兼容性风险，包括CLA、高危许可证类型等。

　　可持续性包括项目参与度，主要从开源软件项目的项目贡献者的参与程度来度量项目情况。项目贡献者参与度主要考察项目贡献者分布情况、参与的形式与内容，如线上进行PR Commit或Issue commit，线下参与项目社区活动等。

　　基于中国信通院开源项目白名单评价体系，可以通过对各技术领域开源项目进行量化评价对比，从而建立开源项目白名单，有效识别优质开源项目，并为用户提供可靠的开源项目选择参考。

　　中国信通院可信开源项目选型赋能计划

　　开源用户社区建立

　　【赋能内容简介】

　　中国信通院依据开源项目白名单筛选重点开源项目，依托可信开源行业垂类社区，组织特定行业用户召开吐槽大会，定期从用户侧收集开源项目的使用情况和使用需求，联合社区组织需求调研讨论会，协助社区形成统一的开源项目规范指南并定向输送给行业用户机构，帮助社区更好寻找行业用户痛点，迭代产品功能，帮助重点项目行业应用落地。

　　【赋能对象】

　　针对金融、制造业、能源等重点行业领域有落地需求的开源项目/社区/企业。

　　【赋能价值】

　　1、 从用户侧收集开源项目的使用情况，针对产品功能完善和新增功能进行调研统计;

　　2、 帮助开源项目/社区对接定向行业内企业，了解行业内企业使用需求

　　3、 成立行业社区，共建特定行业场景下分支版本项目，规范社区生态建设

　　4、 定期召开专题闭门研讨会，共同编制行业优秀实践案例，持续推动项目社区应用落地，提升项目影响力

　　【过往开源用户社区概览】

　　研究报告

　　【赋能内容简介】

　　开源项目选型报告—依据开源项目白名单筛选出重点项目，根据行业需求，定向推送相关领域重点项目，横向对比并形成分领域订阅报告。从开源安全、法律合规、社区活跃、同业使用等角度为企业提供开源技术选型与持续跟踪支持。

　　开源生态洞察报告—根据行业与企业特定需求，输出特定行业/领域开源发展态势洞察报告，调研领域内头部开源项目，分析行业开源使用情况，洞悉行业开源未来发展方向。通过梳理分析各领域开源发展态势(技术、安全漏洞、法律合规、供应链、开源社区、政策指引等)，为企业实行开源常态化管理提供支持。

　　【赋能对象】

　　选型报告—行业内针对特定技术领域有项目选型需求的企业

　　洞察报告—数据库、中间件、人工智能等各技术领域企业

　　【赋能价值】

　　选型报告—从行业侧调研行业技术使用需求，匹配使用痛点，形成开源项目选型推荐。从项目侧角度摸清技术领域现状，丰富对比技术领域内不同项目社区发展路径

　　洞察报告—调研特定技术领域全球及我国市场应用及开源生态发展情况，分析主流项目发展路径，调研特定技术领域中不同行业开源项目使用需求与痛点，给出未来开源项目发展建议。

　　【过往研究报告概览】

　　中国信通院集合自身在开源领域多年的实战经验，推出“源起无垠”|城市/园区/企业三层开源建设赋能服务，创建符合监管要求并推动开源创新战略的综合管理框架。其中“开源项目赋能包”内容如下所示，更多详细内容请通过联系人获取《中国信通院城市、园区、企业三层开源建设赋能服务清单》。

　　中国信通院可信开源项目赋能包