《開放原子開源基金會：全球開源發展態勢洞察（2023年全球開源峰會特刊）（68頁）.pdf》由會員分享，可在線閱讀，更多相關《開放原子開源基金會：全球開源發展態勢洞察（2023年全球開源峰會特刊）（68頁）.pdf（68頁珍藏版）》請在三個皮匠報告上搜索。

1、2023全球開源發展態勢洞察2023開放原子全球開源峰會特刊開放原子開源基金會出品2023年6月CONTENTS目錄第十一期01010202020203030304040405050506060710171902 行業發展螞蟻集團自動化混沌工程ChaosMeta正式開源火山引擎推出托管Prometheus 服務VMP驥步科技多云數據備份恢復產品YS1000 v3.2發布青云Kubernetes集群巡檢SaaS服務正式發布Red Hat發布Podman Desktop 1.003 前沿技術Kubespray v2.22.0發布Cert-manager v1.12.0發布Calico v3.26.

2、0發布Antrea v1.12.0發布Karmada v1.6.0發布04 開源熱點DeepMind等12 家機構聯合發布AI模型安全性評估框架富士通發布AI平臺“Fujitsu Kozuchi”澳大利亞計劃加強對人工智能的監管09 開源報告開源軟件國家情報報告-芬蘭08 法律速遞PureThink等反訴Neo4j，涉及AGPL Commons Clause條款爭議PipeCD成為CNCF沙箱項目Apache SeaTunnel畢業成為Apache頂級項目01 國際開源基金會05 技術政策韓國通過國家尖端戰略技術指定案俄羅斯出臺2030年科技發展規劃07 案例研究開源技術在建立透明的市政管理中

3、的應用：Cityvizor案例研究公共部門開源社區的可持續性研究：Oskari案例研究06 專題研究生成式人工智能大模型的中立觀察PipeCD 為多云應用提供了一個統一的持續交付解決方案，為任何應用程序 提供一致的部署和操作體驗。PipeCD 是一個 GitOps 工具，能夠通過 Git 上的PR 請求來執行部署操作，使得版本控制和部署流程變得更加簡介和高效。近日，PipeCD 得到云原生計算基金會（CNCF）的認可，正式成為 CNCF 沙箱項目，預示著 PipeCD 項目將在更廣闊的開源社區中得到更多的資源和支持。PipeCD成為CNCF沙箱項目近日，Apache軟件基金會（Apache S

4、oftware Foundation）正式宣布Apache SeaTunnel畢業成為Apache頂級項目（Top Level Project）。Apache SeaTunnel原名Waterdrop，在2021年10月更名為SeaTunnel并申請加入Apache孵化器。Apache SeaTunnel是新一代高性能、分布式、海量數據集成工具，支持上百種數據源（Database/Cloud/SaaS），支持海量數據的實時CDC和批量同步，可以穩定高效地同步萬億級數據。2021年12月9日，Apache SeaTunnel正式成為Apache孵化器項目。2023年5月17日，Apache董事會

5、通過Apache SeaTunnel畢業決議，結束了為期18個月的孵化，正式確定Apache SeaTunnel成為Apache頂級項目。Apache SeaTunnel畢業成為Apache頂級項目01國際開源基金會全球開源態勢洞察第十一期0102行業發展全球開源態勢洞察第十一期02ChaosMeta是一款專為云原生、自動化演練而設計的混沌工程平臺，是螞蟻集團內部混沌工程平臺XMonkey的對外開源版本。ChaosMeta在設計上包含了完整混沌工程生命周期的一站式演練綜合解決方案，提出混沌工程生命周期模型，全方位地覆蓋“準入檢測”、“流量注入”、“故障注入”、“故障度量”、“恢復度量”、“注入

6、恢復”等各個階段的技術支撐，為自動化混沌工程提供技術依據。螞蟻集團自動化混沌工程ChaosMeta正式開源驥步科技是國內云原生存儲和災備專家，其核心產品銀數多云數據管家YS1000，為企業核心應用提供多云架構下的備份恢復、應用遷移及容災保護。近日，驥步科技多云數據備份恢復產品YS1000 v3.2發布，版本特性更新如下：集群的etcd備份支持；支持創建鏡像備份倉庫；支持可選應用鏡像源的鏡像備份；支持沙箱恢復，恢復后不影響原業務；支持備份恢復任務使用鉤子程序進行靈活的附屬功能配置；支持基于備份恢復的數據卷同步方式；顯示RTO/RPO；容災一致性保護和鉤子程序；支持配置容災實例時同時配置ingre

7、ss映射；支持容災實例更多配置。驥步科技多云數據備份恢復產品YS1000 v3.2發布火山引擎VMP是一套基于開源Prometheus監控引擎開發的開箱即用的產品方案。VMP采用單AZ多副本、跨AZ高可用的方案，支持接入公有云VKE等產品，單條query掃描樣本可多達3億條數據。支持全面的Kubernetes集群監控場景、自定義監控場景以及開源生態指標觀測場景?；鹕揭嫱瞥鐾泄躊rometheus服務VMP近日，青云科技正式發布Kubernetes集群巡檢SaaS服務，Kubernetes集群巡檢SaaS服務通過即時或周期性檢查Kubernetes多云環境中的集群節點、組件等配置是否符合最佳實

8、踐，幫助用戶及時發現集群組件、服務、端口中的容器漏洞和暴露（CVE），分析Kubernetes中的運行風險，并推送報告，保證業務持續穩定運行，盡早地降低企業風險。集群巡檢SaaS服務能一鍵診斷Kubernetes集群健康狀況，并具備四個顯著特性：跨云統一管理Kubernetes集群；全面滿足業務級健康檢查需求；定期檢查集群存在的風險預警；提供巡檢結果的可視化展示與報告。青云Kubernetes集群巡檢SaaS服務正式發布03前沿技術Kubespray是一個可用于部署生產級k8s集群的工具，可用在GCE、Azure、OpenStack、AWS等環境部署k8s集群，屬于k8s官方推薦的部署方式之一

9、。近日，Kubespray v2.22.0發布，版本特性更新如下：支持使用相同的鏡像名稱實現多架構；為cert-manager添加DNS配置；kube-scheduler配置中加入kube-profile配置；允許配置鏡像垃圾回收；支持自定義ssh端口；支持啟用kube-vip的控制平面負載均衡。Kubespray v2.22.0發布Cert-manager是一款用于Kubernetes集群中自動化管理TLS證書的開源工具，它使用Kubernetes的自定義資源定義（CRD）機制，讓證書的創建、更新和刪除變得非常容易。近日，Cert-manager v1.12.0發布，版本特性更新如下：將二進

10、制文件和一些測試拆分為獨立的Go模塊；添加對JSON日志記錄的支持；支持使用Vault生成的短期服務賬戶令牌；新增標志用于指定應注入到Kubernetes對象中的資源。Cert-manager v1.12.0發布全球開源態勢洞察第十一期03Podman Desktop是紅帽開源的Podman桌面管理工具，可以替代Docker Desktop。除了支持Podman之外，還支持Docker作為底層運行時，同時還可以直接使用Docker Desktop的擴展。Podman Desktop旨在簡化容器的開發、部署和管理，同時隱藏底層配置，提供輕量級的容器管理替代方案。近日，Red Hat發布Podma

11、n Desktop 1.0，這是一個用于創建、部署和管理容器的圖形化桌面客戶端，適用于Windows、Mac和Linux系統，版本特性更新如下：可在本地環境中安裝，配置Podman，并使Podman保持最新版本；提供了一個儀表板來與容器、圖像、Pod和卷進行交互；支持使用OCI注冊表和網絡設置來配置環境；支持多種容器引擎，提供將Pod連接和部署到Kubernetes環境的功能。Red Hat發布Podman Desktop 1.0全球開源態勢洞察第十一期04 Calico是一個開源網絡和網絡安全解決方案，適用于容器、虛擬機和基于主機的本地工作負載。Calico支持廣泛的平臺，包括K8s、Ope

12、nShift、MKE、OpenStack和裸機服務。Calico以真正的云原生可擴展性提供超快的性能。它還為開發人員和集群運營商提供一致的體驗和一組功能，無論是運行在公共云或本地、單個節點上還是跨數千節點集群上。近日，Calico v3.26.0發布，版本特性更新如下：優化服務賬戶的分配，calico-node和calico-cni-plugin將各自獨立運行，提高安全性和效率；利用內核級路由過濾減少在系統的CPU使用率；全面兼容最新版本的Windows Server 2022；支持OpenStack Yoga。Calico v3.26.0發布Antrea項目是一個基于Open vSwitch

13、（OVS）的開源Kubernetes CNI網絡解決方案，旨在為Kubernetes集群提供更高效、更安全的跨平臺網絡和安全策略。近日，Antrea v1.12.0發布，版本特性更新如下：拓撲感知功能和節點IP地址管理功能從Alpha升級到Beta，且默認啟用；在AntreaProxy中添加對ExternalIP的支持，以便通過外部IP地址從集群外部訪問服務；為Antrea多集群添加WireGuard隧道模式，以支持成員集群之間流量的加密傳輸；為多集群服務添加對EndpointSlice API的支持。Antrea v1.12.0發布Karmada是CNCF（云原生計算基金會）下面的一個開源項

14、目，旨在為Kubernetes集群提供一個平臺來簡化跨多個Kubernetes集群的應用程序部署和管理，并提高可用性和可擴展性。近日，Karmada v1.6.0發布，版本特性更新如下：引入FederatedHPA API，以解決跨集群擴展工作負載的要求；支持自動將不健康的應用程序遷移到其他可用的集群；引入新的聲明式部署方式Karmada oper-ator；支持第三方資源解釋器。Karmada v1.6.0發布04開源熱點全球開源態勢洞察第十一期05在科技進步的浪潮中，一項領先的合作研究項目引起了廣泛關注。DeepMind、劍橋大學、牛津大學、多倫多大學、蒙特利爾大學、OpenAI以及Ant

15、hropic等一流的學術機構和研究機構聯合發布了一種前沿的用于評估人工智能（AI）模型安全性的框架。這項創新性的框架有可能轉變未來人工智能模型的開發和實施方式，成為其核心組成部分。在這項研究中，研究團隊強調對模型潛在風險和對齊性的全面評估的重要性。他們提出，構建通用AI系統的開發者必須從早期階段就開始關注并評估模型的危險能力，以便及時識別和預防可能出現的極端風險，從而確保訓練、部署和風險描述等關鍵步驟的合規性和公信力。新提出的框架能夠精確地評估模型在多大程度上具有實施危險行為的能力，有助于讓決策者和其他利益相關者了解詳情。通過這個框架，他們能夠對模型的訓練、部署和安全性做出更為負責任的決策，從

16、而有效地降低人工智能可能帶來的風險。測試AI模型的公平性；因果發現AI技術，用于從各種數據中挖掘復雜因果關系從而得出新發現；Fujitsu Wide Learning，用于模擬科學發現過程，提供廣泛的學習體驗。此外，該平臺還支持對合作伙伴公司開源軟件（OSS）和AI技術的簡化訪問，支持客戶探索新的業務領域，并提高其自身AI開發和運營效率。DeepMind等12家機構聯合發布AI模型安全性評估框架近日，在馬德里舉行的Fujitsu ActivateNow Technology Summit活動期間，富士通推出了新型AI平臺Fujitsu Kozuchi，該平臺致力于為全球的企業用戶提供一系列強大

17、的AI（人工智能）與ML（機器學習）技術。FujitsuKozuchi平臺整合了多種解決方案與工具，其中包括：Fujitsu AutoML解決方案，能自動生成機器學習模型；Fujitsu AI Ethics for Fairness，專門用于富士通發布AI平臺“Fujitsu Kozuchi”近日，澳大利亞官員表示，出于對技術濫用的擔憂，正計劃加強對人工智能的監管，包括可能禁止深度偽造和極度真實的虛假內容。澳大利亞是首批宣布監管人工智能的國家之一，于2018年公布了自愿道德框架。澳大利亞國家科學技術委員會發布的一份報告指出，人工智能生成的內容可能會誤導公眾輿論，從而在議會磋商中被濫用。澳大利亞

18、工業和科學部部長埃德胡西克（Ed Husic）公開承認，在版權、隱私和消費者保護等方面的法律目前還有待完善，并表示鑒于人工智能行業的快速發展，政府更加堅定要確保其法律框架能起到有效保護效果。同時，在制定新的人工智能法律過程中，如果公眾對于限制人工智能中的高風險元素有強烈的訴求，澳大利亞政府將會考慮將這種訴求納入新的法律規定中。澳大利亞計劃加強對人工智能的監管全球開源態勢洞察第十一期0605技術政策在科技進步的浪潮中，一項領先的合作研究項目引起了廣泛關注。DeepMind、劍橋大學、牛津大學、多倫多大學、蒙特利爾大學、OpenAI以及Anthropic等一流的學術機構和研究機構聯合發布了一種前沿

19、的用于評估人工智能（AI）模型安全性的框架。這項創新性的框架有可能轉變未來人工智能模型的開發和實施方式，成為其核心組成部分。在這項研究中，研究團隊強調對模型潛在風險和對齊性的全面評估的重要性。他們提出，構建通用AI系統的開發者必須從早期階段就開始關注并評估模型的危險能力，以便及時識別和預防可能出現的極端風險，從而確保訓練、部署和風險描述等關鍵步驟的合規性和公信力。新提出的框架能夠精確地評估模型在多大程度上具有實施危險行為的能力，有助于讓決策者和其他利益相關者了解詳情。通過這個框架，他們能夠對模型的訓練、部署和安全性做出更為負責任的決策，從而有效地降低人工智能可能帶來的風險。韓國通過國家尖端戰略

20、技術指定案俄羅斯總理米哈伊爾米舒斯京日前批準2030年科技發展規劃，文件提出，俄羅斯應形成本國的、關鍵和端到端技術的科學、人員和技術基礎，建立高科技產品生產基地，通過立足于“國內研發成果”，解決包括微電子、高精度機床、機器人技術、航空航天工程、無人機、軟件、加速器和帶電粒子探測器等產品的對外依賴問題。規劃重點支持科學研究、高等和職業教育以及制造業，擬資助的10個大型重點高科技產品項目清單已獲批。該批項目總投資超1000億盧布（約合12億美元），計劃在2023-2024年間實施，項目內容與藥品、醫療器械、設備生產、機床、電子和無線電電子產品、船舶和船舶設備制造以及無人機系統有關。俄羅斯總理米哈伊

21、爾米舒斯京在強調規劃目標指標時表示，“為了向創新導向的經濟增長轉型，隨著該規劃的實施，工業和其他領域的創新活動水平將增加2.3倍，相應支出將增加1.5倍。到2030年，創新型產品和服務的數量將增加1.9倍，專利申請數量將增加2.4倍。技術創新型先進制造企業的數量應增加1.6倍。國內信息通訊等高技術產品解決方案的份額將增加一倍，自主保障程度增加到近75%，對外依賴度下降到約25%?！贝送?，規劃還提到，將營造舒適的監管環境，為公司和企業家的高強度創新活動創造條件。俄羅斯出臺2030年科技發展規劃全球開源態勢洞察第十一期0706專題研究生成式人工智能大模型成為現階段推動數字經濟發展的重要力量，一方面

22、，推動了行業投資、研究和應用；另一方面，對教育、就業、數據監管、隱私保護、知識產權等社會規則帶來了挑戰。通過分析生成式人工智能大模型國內外的發展情況，剖析行業發展存在的技術和社會問題，并對行業的健康發展提出合理建議。關鍵詞：人工智能、大模型、技術中立生成式人工智能大模型的中立觀察摘要：隨著聊天機器人ChatGPT火爆全球，誕生于1956年達特茅斯會議上的“人工智能”（以下簡稱：AI）概念，歷經多次技術迭代與應用場景拓展，迎來新的發展熱潮，生成式人工智能大模型（以下簡稱：AIGC）成為了當前炙手可熱的研究和投資方向之一。通過中立客觀的視角，分析AI的發展歷程以及AIGC的技術實現路徑，科學地評估

23、機器與人之間的認知差異，預測AIGC的發展軌跡，以及對AIGC行業發展所面臨的多種問題進行剖析，提出AIGC行業健康發展的建議。國外AIGC行業呈現繁榮發展態勢，頭部企業的主要產品按照文本、圖像、音頻、視頻分類如下所示：（1）文本領域：AutomatedInsights（結構化寫作）、Anyword（文案工具）、Copy.ai（數字廣告文案）、Jasperai（營銷文案）、ChatGPT（通用類聊天機器人）、ChatBox（聊天客服機器人）、Jenni.ai（論文）；（2）圖像領域：Midjourney（文生圖）、DALL-E2、StableDiffusion（開源文生圖）；（3）音頻領域：M

24、urfAI（文本轉語音生成器）、AIVA（歌曲生成）；（4）視頻領域：Synthesia（拼湊生成視頻）、WonderStudio（影視特效）、RunwayGen-2（視頻生成）。國外AIGC賽道的獨角獸公司主要有：推出了ChatGPT的OpenAI估值高達200億美元，Hugging Face估值 20億美元，Lightricks估值18億美元，Jasper估值15億美元，Glean和Stability AI估值為10億美元，Character.AI估值10億美元。目前百度（文心一言）、阿里（通義千問）、華為（盤古系列AI大模型）商湯（日日新大模型）、知乎（知海圖AI）、科大訊飛（1+N認知

25、智能大模型）等互聯網大廠紛紛布局AIGC。據預測，2023年我國AIGC市場規?？蛇_170億人民幣。隨著商業化落地逐漸深入和產業生態逐步完善，2025-2027年為場景應用蓬勃發展期，2028-2030為行業整體加速期，2030年市場容量預計超萬億人民幣，屆時會呈現蓬勃發展的新業態。2022年以來，我國 AIGC賽道投資事件數量開始出現明顯增長，在已披露金額的融資事件中，大多為千萬級和億級的融資體量。其中，融資體量達到億級的項目包括國內最早開展 AIGC商業化前言一、行業發展情況的簡述1.國外多模式的繁榮發展2.國內多家企業紛紛入場文/王 林全球開源態勢洞察第十一期08落地的小冰公司、以及超參

26、數科技、光年之外、瀾舟科技等科技公司。數字力場、TIAMAT、聆心智能、面壁智能、詩云科技等為千萬級融資，預計2023度投融資體量將有數倍增長。二、行業存在的問題分析AIGC的優勢在于可以突破人類創作的限制，實現無限的內容創造。它可以根據用戶的需求和偏好，生成符合用戶期望的內容，提高用戶滿意度和忠誠度。它也可以節省人力和時間成本，提高內容生產的效率和規模。它還可以創造出人類無法想象的新穎和有趣的內容，拓展人類的知識和視野。數字經濟是以數據資源為關鍵要素，以現代信息網絡為主要載體，以信息通信技術融合應用、全要素數字化轉型的新經濟形態。AIGC作為數字經濟重要的智能方式，能夠生成更加復雜、真實自然

27、的語言、圖片、語音等，與用戶進行更加真實的交流與互動，這種真實感帶來更多的商業價值和競爭優勢。此外，AIGC還可以用于自動化生成分析報告、風險評估、投資策略等內容，進一步提升工作效率。AIGC成為重組要素資源、重塑經濟結構、重構競爭格局的重要數字經濟引擎。3.數字經濟的新增長引擎大語言模型的訓練過程，需要算力高、算法精和數據多的三重支撐。而算力高要求高能耗的支撐，算法精意味著迭代要快，數據多意味著要更多高質量的開放數據，這就導致了AIGC行業具有較高的準入門檻，需要有雄厚的資金用以支撐其訓練費用。只有部分大企業和資深創業者團隊能夠持續性深耕行業，導致AIGC基本上成為行業巨頭之間的“軍備競賽”

28、。AIGC的致命弱點在于，其所生成的內容還要經過人類的二次高質量解讀或加工，還要在本地部署帶有垂直細分領域數據庫的“小模型”進行二次精細訓練，在這樣的背景下，大模型的訓練就會變得毫無意義。1.大模型訓練的資源限制三、行業健康發展的建議AIGC作為數據庫的邏輯架構，遵循“垃圾進、垃圾出，精華進、精華出”的黑箱策略，高質量的訓練數據是AIGC重要食糧來源，要深化數據高效共享協調機制，提升數據共享統籌協調力度，促進數1.高質量數據資源的共享AIGC是對訓練其的各類型數據的排列組合，對其輸出結果的評判標準是人的期望，在一些例如陪標、娛樂、代碼生成等低期望的應用場景，AIGC的表現是超過期望的。但在例如

29、發現新知識、創造新理念、情感支持等高期望的場景，AIGC還未技術入門。AIGC遠遠未達到人類的認知水平和高度，未觸及人類所特有的創新、韌性、靈感、直覺等主觀能動性。對于大多數企業來說，探索如何使用AIGC 實現特定場景的商業化落地，服務目標客戶并實現其商業價值。2.暫時應用到低期望場景現有社會的管理核心還是屬地管理模式，不能忽視AIGC應用對法律、倫理和社會秩序的挑戰?？赡苤圃?、傳播錯誤、不準確、不真實的事實，傳播深度偽造內容和其他虛假信息，進行詐騙、色情、誹謗、假冒身份等新型違法犯罪活動；大模型訓練使用他人版權作品、應用自主產出的創造性內容等面臨版權保護爭議；生成的內容無法擺脫性別、年齡、種

30、族等方面算法歧視，哪類訓練數據多，輸出就哪類訓練數據的偏好。AI大模型的訓練和部署需要消耗大量算力，碳排放驚人，其環境影響也不容忽視。AIGC的挑戰在于它需要解決一些技術和倫理方面的問題。技術方面，AIGC需要不斷提升人工智能模型的性能和質量，保證生成內容的準確性、合理性、邏輯性、一致性等。它也需要考慮如何處理多語言、多媒體、多風格等復雜的內容生成場景，以及如何評估和優化生成內容的質量和效果。倫理方面，AIGC需要遵守相關的法律和規范，防止生成內容涉及侵權、抄襲、造假、誹謗、暴力、色情等不良信息。它也需要尊重用戶的隱私和權利，保護用戶的數據安全和知識產權。3.對現有社會規則的沖擊全球開源態勢洞

31、察第十一期09據公開的范圍和邊界，實現最大程度開放和保護。打造統一數據資源公開平臺，構建統一規范、互聯互通、安全可控的公共數據庫，實現數據跨地區、跨部門、跨層級共享效益，為AIGC的發展打造堅實的數據共享底座。工具的使用是人類進入文明時代的標志，工具的發明大大提高了生產力，節約了時間成本，AIGC作為新型的工具載體，是人類認知拓展的延伸。人類認知包括感覺、知覺、記憶、思維、想象和語言等，人腦接受外界輸入的信息，經過頭腦的加工處理，轉換成內在的心理活動，進而支配人的行為。如果AIGC具有和人類一樣的學習與進化能力，那么根據現有的技術水平，可以將人類的認知過程、風格、能力、策略進行標準化、結構化，

32、進而轉化為AI算法進行技術實現。2.人類認知通過算法實現隨著AIGC的突破，預計全球將有3億個傳統工作崗位被機器取代，招聘網站相關數據顯示，包括游戲原畫、美術設計、基礎編程、基礎編輯等崗位數量正在收縮。每一輪科技革命似乎都會引發“新技術會否引發失業”的隱憂，但人類社會總是會用“進步”的答案證明這樣的擔憂是多余的。隨著AIGC撞開新時代的大門，新一輪就業結構調整已不可避免，社會的發展是生生不息，會有新的工作崗位、商業模式不斷出現，人類最大的優勢在于順應變化且不斷進化，會不斷隨行業進行自我轉型與升級。AIGC在數字經濟發展中的戰略性、基礎性、先導性和賦能作用正在逐步顯現。隨著AIGC技術的改進和優

33、化，以及數據資源的豐富和完善，將能夠生成高質量、多樣化、個性化的內容，滿足用戶的多種需求和應用場景，滿足更強大和更智能的高期望需求，也將為社會帶來更多的創新和進步。AIGC作為人類創造性利用工具的一種表現形式，將人從繁重、重復、冗雜的腦力勞動中解放出來，從而投身于更加具有創造性的工作，也將促進社會秩序和規則的進一步優化，AIGC行業的發展將任重道遠。3.被替代行業的結構調整四、小結07案例研究在全球開源發展態勢洞察 2023年第八期|總第十期中，我們梳理了開源軟件國家情報報告捷克，其中對于Cityvizor平臺的描述引人關注：“Cityvizor是一個在線可視化平臺，捷克的18個城市和布拉格的

34、一些地區已在使用該平臺。該平臺使市政當局能夠向市民展示他們的資金是如何投資當地建設的。Cityvizor是由財政部員工開發的開源軟件應用程序，由esko Digital維護，現由Open Cities協會運營。目前，團隊正在努力擴展該應用程序，以便使各個組織的預算可視化，并優化與其他會計系統的連接?！币虼?，對開源在線平臺Cityvizor展開研究，以探究其在市政管理中提高預算數據的可訪問性和透明度背后的機理。通過提高預算透明度，有助于政府與市民之間建立信任關系。每年，在捷克政府向國家議會提交預算草案之前，政府會公開披露其公共財務信息。此舉旨在確保透明度和公眾參與度，保證公眾能夠了解到政府的財務

35、狀況。隨后，該草案將在國家議會上進行辯論和審議，最終決策是否通過。此過程確保議會的財務決策受到公眾的監督和民主的審查，促使預算分配過程合法和透明。根據經濟合作與發展組織（OECD）的相關數據，預算透明度在增加公共資金和支出的問責、廉正、包容和質量等方面起到了關鍵作用。利用在線平臺提高公共預算信息的可訪問性，為政府實施預算透明度帶來了創新。在捷克共和國，通過諸如Monitor之類的平臺，來推動預算透明度的實施。Monitor是捷克財政部于2013年推出的信息門戶。該信息門戶匯集了中央和地方政府的預算和會計數據，并提供用戶進行數據分析的功能。該工具提供關于地方和中央政府財務賬目的詳盡信息，但可獲取

36、的信息僅限于收入和支出等方面的概述。2015年，財政部開發了一個用戶友好且開源的平臺Cityvizor，旨在為市民、會計師和政府官員提供明確且易于訪問的市政預算支出信息。該平臺因其對“提升透明度和改善公共行政”的貢獻而受到贊揚，在捷克共和國的許多市鎮中得到采用。Cityvizor是一個旨在實現透明市政管理的在線開源平臺。該解決方案最初由捷克共和國財政部的財務控制方法部門于2015年開發。2016年，該平臺由專注于地方政府數字化的非政府組織Oteven Msta（開放城市）接手管理。作為致力于地方政府數字化的組織，Oteven Msta（開放城市）通過與市鎮合作，協助解決數字化問題，為市鎮節省了

37、寶貴的時間和金錢。通過Cityvizor平臺，地方政府受邀以個單張發票的形式分享其財務數據，并提供更多詳細的信息。詳盡信息如發票號碼、金額、供應商和日期等，公眾能夠更全面地了解地方政府的財務狀況。Cityvizor平臺提供了通過Web瀏覽器訪問的功能，并且與移動設備兼容。平臺上列出了各個市鎮的個人資料頁面，頁面展示了市鎮選擇使用該解決方案的相關信息，并提供市政指出的視覺概覽。訪問者可以通過點擊不同的支出類別，輕松查看每個公共資助項目的預算。此外，還可查找地方政府的服務供應商或物品供應商，以獲取更多有關支出和收入的詳細信息。自布拉格市政府成為第一個在Cityvizor平臺上發布市政個人資料的城市

38、，其他10個捷克城市也紛紛加入該平臺，以向市民提供全面的市政運營和特殊費用概覽。文/趙海玲開源技術在建立透明的市政管理中的應用：Cityvizor案例研究Cityvizor全球開源態勢洞察第十一期10注釋：預算透明度是指將政府預算和財務信息以易于公眾訪問和理解的形式公開，這一實踐涉及到關于收入來源、支出分配以及與公共資金相關的財務交易的詳細信息。全球開源態勢洞察第十一期11Cityvizor是一個根據自由的GNU AGPL v3許可證開發的開放、透明的市政管理工具。Cityvizor通過其清晰且用戶友好的界面，使用戶能夠輕松識別信息，對支出和收入進行排序，并監測多年來的公共支出情況。Cityv

39、izor提供便捷的訪問個別發票的功能，包括查看支出類型、資金來源以及特定事件的供應商列表等詳細信息。Cityvizor提供集中的市政預算信息，包括預算執行情況的實時更新，還可直接訪問官方公告板和官方合同注冊信息。Cityvizor具有以下主要特點：Cityvizor的主頁界面是基于開源JavaScript框架Vue.js構建的，市民和地方政府可以在此頁面上訪問基本信息，包括加入該平臺的市鎮列表、技術文檔和聯系表單等基本信息。Cityvizor的個人資料頁面是基于開源的Web應用程序Angular開發的，專門用于訪問Cityvizor的支出可視化工具。地方官員可以登錄到管理個人資料頁面，并按照正

40、確的輸入數據規范上傳其行政機構的會計數據（以.csv格式）。Cityvizor采用開源的數據庫管理系統PostgreSQL來存儲市政機構的數據。Cityvizor的服務器采用開源工具Node.js和Typescript進行配置和設置，負責將處理數據添加到數據庫中，并執行身份驗證、管理權限以及定期更新由地方官員提供的數據。此外，還負責提供附加信息，例如最新合同。Cityvizor基于四個主要組件構建而成：Cityvizor的主頁界面是基于開源JavaScript框架Vue.js構建的，市民和地方政府可以在此頁面上訪問基本信息，包括加入該平臺的市鎮列表、技術文檔和聯系表單等基本信息。Cityviz

41、or的個人資料頁面是基于開源的Web應用程序Angular開發的，專門用于訪問Cityvizor的支出可視化工具。地方官員可以登錄到管理個人資料頁面，并按照正確的輸入數據規范上傳其行政機構的會計數據（以.csv格式）。Cityvizor采用開源的數據庫管理系統PostgreSQL來存儲市政機構的數據。Cityvizor的服務器采用開源工具Node.js和Typescript進行配置和設置，負責將處理數據添加到數據庫中，并執行身份驗證、管理權限以及定期更新由地方官員提供的數據。此外，還負責提供附加信息，例如最新合同。Cityvizor基于四個主要組件構建而成：2015年：捷克共和國財政部開發該解

42、決方案。2016年：由于財政部資源有限，Cityvizor被Open Cities接手管理，負責平臺的維護和發展工作。2018年：Cityvizor推出演示版本，允許已經使用GINIS會計系統的市政機構試用該應用程序。2019年：布拉格市率先推出了Cityvizor平臺的首個版本，并積極促進其在其他市區的采用。這一舉措使得超過35億歐元的公共資金使用情況變得透明可見，供市民查閱。2019年至2021年期間：esko.Digital積極參與Cityvizor項目，并舉辦了一次黑客馬拉松活動，專門為Cityvizor創建新的視覺形象和設計。作為一個由數字化和技術創新專家組成的社區，esko.Dig

43、ital致力于支持公共部門和非政府組織，推動數字化和技術創新的應用。2020年：GORDIC與Operator ICT和開發者Martin Kopeek緊密合作，共同開發了與GINIS會計系統配套的ODT模型，實現了從會計系統自動轉換數據到Cityvizor的功能。這一關鍵步驟使得布拉格市政府能夠采用Cityvizor應用程序并與市區共享數據，極大地促進了應用的推廣和使用。2021年：在Open Cities與esko.Digital志愿者的合作下，推出一個界面得到大幅改進的新網站。此次更新旨在確保市民可以清晰、直觀且輕松地理解預算信息。為了滿足用戶對評估支出如何隨時間變化的需求，引入了簡單易

44、讀的圖表功能，讓用戶可以通過直觀的可視化方式來解讀來自官方公告板（edesky）和官方合同登記冊的數據。2022年：引入附屬組織預算可視化的功能。Cityvizor的關鍵里程碑：2015年，時任財政部副部長Tom Vyhnnek博士認識到公眾希望看到公共部門財政預算信息更透明的需求。此前，財政部已開發過一個平臺，用于財務數據公開分享。然而，大眾很難解讀這些信息。為了讓公眾更易于理解這些信息，Tom Vyhnnek決定開發一個具有更強大的預算可視化功能的應用程序。Tom Vyhnnek負責推動該解決方案的內部開發，并授權該項目的啟動，他得到了兩位部門內具備所需編程技能的同事的支持。Cityviz

45、or作為開源解決方案的決策根植于財政部開發團隊的堅定信念，他們希望確保公眾可以全面了解公共部門在資金使用方面的各項行為。而決定將Cityvizor作為開源解決方案開發的根源在于財政部開發團隊的信念，即為確保公眾可以了解公共部門在資金使用方面的一切行為。自2016年起，財政部與Open Cities建立合作伙伴關系，致力于確保Cityvizor的持續發展。隨后，重點轉向了平臺的改進和測試工作，并在2018年推出了演示版本，于2020年發布了首個市政資料頁面。Cityvizor平臺堅持開源的特性，與Open Cities的核心理念和使命完全契合。其目標是為地方政府提供開放式、模塊化的解決方案，以避

46、免供應商壟斷的局面。Cityvizor在布拉格市發布后，通過與會計系統GINIS的數據自動轉換，為項目的發展帶來助力。隨著用戶群體的擴大，需要更加關注解決方案的基礎設施，以確保能夠為多個市政機構提供服務。目前，有兩位專職開發人員負責維護整個平臺，同時也得到了志愿者的貢獻，參與開發的人數隨著時間的推移而擴大。Cityvizor平臺的發展過程：綜合市政機構和Operator ICT專家的反饋意見，決定引入新增功能。Open Cities在討論新功能時與各市政機構進行了廣泛的溝通和討論，以了解他們對解決方案未來發展的偏好。新功能的開發和成本由提出功能請求的一方負責。因為Open Cities的預算有

47、限，無法承擔新功能開發所需的費用。Open Cities是非政府組織，其資金來源于參與的市政機構支付的會費。這些資金被分配給各個項目，用于確保其維護和管理。然而，如果市政機構對創建新功能有強烈的動機，開發成本可以直接由會費或Cityvizor的服務費用來支付。市政機構提交的功能請求：截至2022年3月，Cityvizor平臺或其軟件分支已在捷克10個城市中得到應用，其中包括布拉格和奧斯特拉發市的多個市政區。布拉格作為首都積極支持14個市區的參與，更多市區正處于準備加入的階段。與此同時，奧斯特拉發市已經連接了11個市區，使得越來越多的地區能夠受益于該平臺的應用。市政機構是否采用Cityvizor

48、平臺取決于當地議會的批準。一旦獲得批準，市政機構將被邀請了解該平臺，并通過提供解決方案的演示環境來評估其是否符合他們的需求。截至2021年3月，使用捷克GINIS系統的市政機構可以自動將其會計系統與Cityvizor連接起來。而對于使用其他系統的地方政府來說，尚未建立自動連接機制，需要將其會計數據導出為與該解決方案兼容的格式。Cityvizor在公共行政機構內的使用：選擇采用Cityvizor的市政機構受益于一個集中的預算可視化工具，該工具真正實現了透明，并提供公眾訪問財務數據的機會。平臺通過展示歷史數據、詳細發票和合同，以及專家對公共開支的審計，有助于推動對政府支出進行政治辯論的活動。通過可

49、訪問的演示頁面，該解決方案提供了快速測試的機會。同時，對于具備獨立實施和配置軟件能力的市政機構來說，可以利用GitHub上提供的代碼進行自主的代碼復用。對于需要支持的市政機構，Open Cities將提供支持，協助導入數據，并與Operator ICT的專家一起驗證會計數據的準確性。針對希望探索平臺上可用數據的用戶，Cityvizor提供了一個API，用于以計算機可處理的格式下載數據。開源技術在透明的市政管理中的應用：優勢與挑戰采用Cityvizor的優勢：全球開源態勢洞察第十一期12據Open Cities表示，捷克市政機構在采用Cityvizor時面臨一些阻礙。由于地方政府在會計方面采用不

50、同的方法和流程，因此需要進行個別的手動調整，以確保數據具有意義并與市政機構希望公開的內容保持一致。另一個阻礙Cityvizor推廣的原因是各個市政機構數據交付的不一致性，因為不同類型的數據輸入和更新頻率可能使公眾難以跨地方政府進行數據分析。為了應對這些挑戰，Cityvizor的服務提供商建議通過立法來統一詳細的預算和會計記錄水平。最后，采用該平臺面臨的一個政治障礙是需要地方議會的批準。該過程需要與市議會合作，并在全面實施之間需要適時進行，整個過程需耗時六個月至一年半的時間。在Cityvizor完全實施流程中，每個市政機構都需要進行個人資料創建、數據測試、可視化控制，并最終發布市政機構的個人資料

51、。采用Cityvizor的挑戰：Cityvizor的部署和采用依賴于捷克共和國開源和開放數據社區的積極參與，財政部通過組織公開會議和演示會來推廣該平臺。財政部與Open Cities在項目上的合作被Vyhnnek形容為非常成功，在降低開發成本的同時保證了解決方案的質量。同時，與市政機構和Operator ICT合作的會計專家的參與也有助于確保財務數據在平臺上的正確顯示。好的實踐是政策制定者關注的重點除了通過覆蓋更多的市政機構來促進用戶增長，Cityvizor的開發人員還致力于增加與平臺自動連接的會計系統的數量。此外，市政機構還提出將特定公共部門組織（如學校、博物館、醫院）的數據導入到Cityv

52、izor中以展示其預算管理情況。2022年，Open Cities計劃繼續完善可視化功能，覆蓋奧斯特拉發和布拉格的所有市政區，并添加地區公共預算，特別是中波希米亞州和卡羅維發利地區。未來發展Cityvizor的亮點在全球開源發展態勢洞察 2023年第九期|總第十一期中，我們梳理了開源軟件國家情報報告芬蘭，其中對于Oskari平臺的描述引人關注：“Oskari是芬蘭的開源地圖平臺，于2017年開發。此次實踐強調了在公共部門中共享政府IT解決方案的重要性及優勢。此外，共享政府IT解決方案還可以提高系統的質量和可靠性，使用開源軟件意味著可以借助全球開發者社區的力量，對系統進行廣泛的合作開發、審查和改

53、進，確保系統的高質量和穩定性，減少對技術供應商的依賴，避免陷入技術束縛?！币虼?，對開源地圖平臺Oskari展開研究，以探究維持公共部門開源社區可持續性發展背后的機理。Oskari是一個用于構建Web地圖應用程序、展示和分析地理空間數據的開源框架。Oskari中采用的分布式空間數據基礎設施使得公共管理部門和其他機構能夠共享空間數據并實現協作。此外，Oskari還支持歐洲議會和歐盟理事會于2007年3月14日頒布的建立空間信息基礎設施的指令（inspire）以及OGC（開放地理空間信息聯盟）標準。歐盟空間信息基礎設施（INSPIRE）是歐洲空間信息基礎設施建設法令。目的是建立歐盟統一的空間信息基礎

54、設施，實現有關環境空間信息在統一的框架下全歐盟范圍內的共享，便于跨區域的政策決策及應用。2007年INSPIRE指令通過后，芬蘭國家土地調查局（NLS）于2009年推出Oskari，旨在建立一個地理門戶網站，存儲與該指令相關的信息和必要數據集，并展示現有工具，以支持公共部門機構實施INSPIRE指令。Oskari的創建可視為對實施INSPIRE指令的直接回應。文/趙海玲公共部門開源社區的可持續性研究：Oskari案例研究全球開源態勢洞察第十一期13全球開源態勢洞察第十一期14Oskari具有以下主要特點：Cityvizor基于兩個主要組件構建而成：Oskari的關鍵里程碑：Oskari開源軟件

55、解決方案為公共機構提供了繪制網絡地圖的解決方案，以向公民提供更優質的數字服務。約有40多個組織參與Oskari的開發，被芬蘭和國際上的多個公共和私營機構廣泛應用，用于支持各類地理空間項目。最初，Oskari被設計為一個地理門戶，旨在托管與INSPIRE指令、數據集和文檔相關的信息，以支持公共管理部門在實施該指令方面的工作。鑒于市場上現有的工具難以滿足指令的要求，芬蘭國家土地調查局（NLS）決定采用創新的開發方法（如SCRUM方法論），并結合現有的開源資源，在內部開發軟件。Oskari是采用Java和Javascript進行開發，利用GeoTools、GeoServer、OpenLayers和P

56、ost-greSQL等多種開源工具構建而成。能夠與INSPIRE數據服務或其他通過標準OGC API提供的數據源進行連接，從而提供不同類型的數據。該軟件的工具和生產服務器運行在Linux操作系統上，所有源代碼于2011年在GitHub上以MIT和EUPL許可證發布，賦予用戶自由使用和分發的權力。Oskari的架構基于兩個主要組件：前端（用戶界面）和后端（服務器端組件）。用戶界面采用單頁應用程序的架構，通過使用各種模塊，用戶可以自定義界面，以滿足其個性化需求。這些模塊可以單獨或組合使用，還可以創建額外的模塊。服務器端提供可部署的網絡組件，用于管理和啟動基于Oskari的應用程序的用戶界面，從而實

57、現更高級別的定制化。如今，來自公共部門和私營部門的40多個組織都參與了Oskari項目。其中，一些主要的貢獻者包括芬蘭交通局、坦佩雷市、芬蘭統計局、約恩蘇市、冰島國家土地調查局和摩爾多瓦國家土地調查局。使用Oskari的市政當局主要依靠該解決方案進行空間數據和城市規劃。像坦佩雷這樣的大城市，根據自身需要開發新功能，積極為Oskari的發展和可持續性作出貢獻。在Oskari推廣方面，沒有專門的機構負責，整個社區共同承擔著利益相關者的參與和推廣活動，從而幫助確保Oskari能夠觸達更廣泛、多元化的受眾群體。Oskari是一款功能強大且易于使用的基于瀏覽器的工具，專門用于訪問多種來源（如政府的應用程

58、序）的空間數據。通過提供用戶友好的向導程序，輕松創建嵌入式地圖，包括來自多個數據源的地圖圖層；通過簡單的編程技能，輕松自定義地圖用戶界面；根據地理空間統計數據創建專題地圖，并基于空間數據進行分析。2007年，INSPIRE指令開始生效。該指令旨在在歐洲建立空間數據基礎設施，以確保數據庫之間的互聯互通，促進空間數據的傳播、可獲得性、使用和重用。Oskari注釋：INSPIRE指令于2007年4月25日發布，2007年5月15日生效。為了確保各參與國空間信息基礎設施的兼容一致，INSPIRE提出了全歐洲范圍內實現空間信息共享的總體框架和統一的執行法規，包括元數據、空間數據集、空間數據服務、網絡服務

59、、數據與服務共享政策、監督與報告機制等。注釋：SCRUM是一種敏捷軟件開發中應用廣泛的用迭代增長過程進行軟件開發的方法。通過將復雜的項目分解為短期可迭代的工作周期（稱為Sprint）,在每個Sprint中實現可交付的增量，并在團隊成員之間實現高效的協作和溝通。全球開源態勢洞察第十一期15Oskari項目的開發始于2009年。當時，芬蘭國家土地調查局（NLS）開始構建一個國家地理門戶，以支持INSPIRE指令的實施。由于傳統地理門戶無法完全滿足現有的需求，芬蘭國家土地調查局（NLS）決定自行開發內部工具。初衷是建設成為公共機構提供包含信息、數據集和文檔的綜合在線地圖服務，以支持和鼓勵國家空間數據

60、基礎設施（SDI）的廣泛應用。隨著軟件的發布，其他政府機構對在其網站上添加地理門戶表現出濃厚的興趣。為滿足這一需求，2011年，Oskari開源軟件解決方案被發布。隨著軟件的不斷發展成熟，有必要為社區內的開發者定義更明確的角色和責任，并建立一套有效的治理結構。2014年，Oskari平臺的發展以開放的網絡形式組織起來，吸引來自公共和私營部門的多個組織加入其中。2016年設立了項目指導委員會，該委員會由九個核心組織組成，負責進行技術討論和決策。這些舉措的目的是更好地管理和推進Oskari項目的發展，確保其持續運作和進步。Oskari項目跨越國界，被廣泛復用。北極理事會與成員國合作推出基于Oska

61、ri平臺構建的北極空間數據基礎設施地理門戶，旨在支持和促進北極地區空間數據的共享和交流。該門戶為用戶提供了豐富的北極地區地理信息資源，并支持各方進行地理分析和決策制定。此外，2016年，冰島發布了由Oskari支持的國家地理門戶，進一步展示了Oskari在國際上的影響力和應用廣泛性。同時，Oskari在其他多個國際項目中均被廣泛使用，進一步證明了其在地理信息領域的重要性和可靠性。2017年，Oskari開始向私營企業提供軟件支持，并提供托管、服務和開發等銷售服務。自2019年起，希望獲取更多有關Oskari的專業知識的用戶可以通過私營公司提供的培訓課程來獲取。近年來，Oskari的合作網絡以穩

62、定的速度不斷壯大。從2014年的10個成員發展到如今的40多個組織，這充分的證明了Oskari在公共和私營機構中的廣泛傳播和成功發展。起初作為響應INSPIRE指令要求而建設的芬蘭地理門戶，如今已成長為用于構建多功能的Web地圖應用的全球性解決方案。根據Timo Aarnio的觀點，Oskari不僅實現了最初的目標，而且在可持續性方面超越了預期，成為一個具備可持續發展的開源項目。這種可持續性歸功于以下四個關鍵要素：可持續的資金：確保公共部門開源項目的可持續發展離不開穩定的資金來源。在Oskari項目中，最初的預算來自芬蘭農業部（國家土地調查機構的資助單位）。國家土地調查局（NLS）在多項服務中

63、持續使用Oskari，為項目提供了穩定的資金來源，以維護現有服務的正常運行。然而，隨著項目的發展，獲取資金的挑戰逐漸顯現，因為并非所有使用Oskari的組織都愿意提供財務支持。為了保持資金的穩定，核心項目指導委員會的九個組織每年向項目繳納5,000歐元的費用。這些努力有助于確保資金的穩定性，并為Oskari的可持續發展打下了堅實的基礎。公共部門采用的激勵措施：為確保Oskari等開源項目在公共部門的可持續發展，公共部門的支持至關重要。Timo Aarnio強調獲得高級官員和主管的支持，并積極參與其中的重要性。通過戰略性地利用組織內部對項目的依賴關系，確保項目的生命周期可持續，并為其長期穩定提供

64、支持。此外，這種參與還能夠促進公共部門更好地了解、支持和推動開源項目的發展，實現共贏的局面。在像Oskari這樣涉及眾多利益相關者的項目中，軟件架構的模塊化特性至關重要。它能夠促進敏捷開發，使開發人員能夠及時響應各個組織的需求。軟件越靈活，就越具備可持續性。此外，如果多個貢獻者要共同管理代碼，代碼必須以清晰易懂的方式構建，以便于修訂和審查。同時，高質量且及時更新的文檔對用戶來說非常重要，應隨時可供使用。為確保軟件開發和文檔維護的質量和一致性，必須建立適當的流程和機制。對于涉及多個組織的大型開源項目而言，有效的溝通對于維護利益相關者的參與至關重要。Oskari利用項目指導委員會提供的部分資金雇傭

65、了一位社區經理，負責處理內部和外部的溝通工作。社區經理的角色在于確保項目的順利運作，以及各利益相關方之間的流暢溝通。公共部門開源社區的可持續性：可持續與挑戰可持續：HTML全球開源態勢洞察第十一期161.Oskari項目最初源自公共機構，隨后擴展至私營部門。2014年，這種多元化帶來了挑戰，部分私營公司認為Oskari利用他們的工作和貢獻為公共管理服務開發新解決方案。為解決這一問題，Oskari進行了調整，優化其服務模式以更好地滿足公共部門需求。目前，Oskari專注于為公共機構提供實施基于Oskari的解決方案的支持，而不再專門開發定制化的代碼。2.對于Oskari項目而言，社區建設一直是一

66、項具有挑戰性的任務。Timo Aarnio觀察到，個人和組織在不同階段的參與度存在不平衡的情況。在長期項目中，管理這些多樣化的貢獻是困難的。為了克服這個難題，Timo Aarnio建議管理部門應該啟動更長期的項目，專注于確保穩定的貢獻和資金支持，而不是僅僅計劃一兩年的短期參與。這樣的長期項目更有望在可持續性方面取得成功，相對而言，短期項目則更容易陷入可持續性方面的困境。3.根據Timo Aarnio的觀點，公共部門在開發新的開源項目時必須充分認識到項目生命周期的重要性，需要向所有利益相關者明確傳達項目需要長期的承諾。通常情況下，公共部門更傾向于開展較短期項目。然而，開發開源軟件解決方案并非只關

67、注在幾年內就能完成一個完整版本，還包括對軟件的維護、持續升級和進一步開發。因此，公共機構必須展現出高度的承諾和決心，確保能夠長期、持續地獲得使用開源軟件所帶來的優勢和效益。挑戰：08法律速遞自Neo4j,Inc.v.PureThink,LLC案于2022年2月18日由美國第九巡回上訴法院以非判例形式作出上訴處理意見1以來，該案并未就此平息。2023年1月28日，PureThink等基于違約、就AGPL Com-mons Clause 條款不適用于專業服務申請確認性救濟等理由向美國加州北區地方法院對Neo4j正式提起反訴2。2023年2月10日，反訴被告Neo4j向法院提起動議要求駁回PureT

68、hink的反訴申請。截至目前，美國加州北區地方法院尚未對該駁回動議發表進一步意見。Neo4j公司注冊了NEO4J商標，開發并以GPLv3許可證發布了社區版Neo4j CE，之后使用AGPLv3+Commons Clause的許可證（法院將其稱為瑞典軟件許可證）發布了企業版Neo4j EE v3.4及v3.5 Beta?；贜eo4j公司的Commons Clause約定，非付費公眾將前述企業版用于商業轉售和從事商業支持服務將被禁止。2018年11月，原告使用商業許可證發布了Neo4j EE v3.5，不再公開源碼。被告PureThink公司作為Neo4j商業版的分銷商（基于SPA協議），其聯合

69、他人成立GFI基金會并以Neo4j EE v3.4為基礎開發了ONgDB，但刪除了瑞典軟件許可證中的Commons Clause，只以AGPL許可證進行了發布；2019年，被告推出ONgDB v3.5.1，包含了大量Neo4j EE v3.5 Beta的代碼。原告以其虛假宣傳、違反許可證等為由將PureThink起訴至美國加州北區地方法院。本案經一審上訴，最終由美國第九巡回上訴法院于2022年2月18日作出上訴處理意見，維持了初審判決3，重申了須禁止被告PureThink公司將ONgDB表述為具有相同版本的Neo4j企業發行版的免費且開源替代品（“a free and open source

70、drop-in replacement”）的廣告宣傳，以及可能導致消費者相信ONgDB是Neo4j美國公司或Neo4j瑞典公司產品，或與Neo4j美國公司或Neo4j瑞典公司產品相同的任何聲明。此前初審法院認可，上游被許可人所自行增設的Commons Clause作為“進一步限制”可被下游被許可人移除，但原版權人增設的則不能移除，故而還判令禁止被告PureThink公司宣傳Neo4j EE是僅僅以AGPL發布的；禁止被告PureThink公司宣傳Neo4j瑞典公司在Neo4j EE的許可證中添加Commons Clause違反了AGPL的規定；禁止被告PureThink公司宣傳從瑞典軟件許可證

71、中刪除Commons Clause是合法的，以及類似的聲明。開源律師 Kyle E.Mitchell曾批判，初審中以“能否拿掉Commons Clause”為準評判是否系“免費且開源”的主張，并未真正考慮到OSI意義上的開源定義4；事實上，即使PureThink不拿掉Com-mons Clause，其ONgDB也不應被視為“免費且開源”軟件，因為Neo4j層面使用AGPL+Com-mons Clause已非OSI定義的開源。反訴提起之后，軟件自由保護協會（Software Freedom Conservancy，SFC）的政策研究員Bradley M.Kuhn提交專家報告5以解決該案中AGPL

72、的解讀問題。Kuhn作為Affero Clause的倡議者與AGPLv3的起草人之一指出，初審及上訴法院判定被告不得刪除Commons Clause的結論是錯誤的，禁止被告將生成的代碼稱為FOSS也是有問題的。SFC稱這份專家報告不僅澄清了過去媒體上關于此事的混亂和不正確的信息，而且還全面總結了AGPLv3 和 GPLv3 中“further restrictions”這一條款是如何創設的。PureThink等反訴Neo4j，涉及AGPL Commons Clause條款爭議進展跟蹤：案情回顧：相關解讀：全球開源態勢洞察第十一期17全球開源態勢洞察第十一期18Neo4J v.PureThink

73、一審及上訴判決已由“源譯識”項目組翻譯，請見：https:/ EE的一個免費版本，毫無疑問，這種價格差異（免費v.付費）可能會影響客戶的購買決策。(Because Defendants mis-represented ONgDB as a free version of Neo4j EE licensed under the APGL,there is no doubt that this price differential(free versus paid)was likely to influence customers pur-chasing decisions)”顯然該法院將“fre

74、e”解讀為對價格（免費）的宣傳。對此，我們認為這與AGPLv3序言中所指出的“所謂自由軟件，強調的是自由，而與價格無關(When we speak of free software,we are referring to freedom,not price.)”，即“free”意指“自由”存在偏差。法務與知識產權部撰稿1https:/ Torvalds創建了Linux內核。如今，它發展成為全球最大的開源軟件項目之一。早在2003年，芬蘭公共部門就率先實施了鼓勵使用開源軟件替代專有軟件的政策。2019年6月，新上任的政府發布了名為一個積極參與、知識豐富的現代芬蘭一個社會、經濟和生態可持續發展的社

75、會的綱要1該綱要旨在推動芬蘭在信息管理領域取得卓越成就，并促進開源軟件解決方案在公共信息系統和政府采購中的廣泛應用。除了芬蘭政府積極支持公共管理部門從使用專有軟件過渡到使用開源軟件外，芬蘭的協會組織如芬蘭開放系統及解決方案中心（COSS）2 和Avoinkoodi3協會也在該領域發揮著重要作用。這兩個協會致力于在政府、市政、教育和私營部門開展項目。例如，各個城市和市政當局正在開發基于開源的網站和網絡服務，以造福芬蘭公民。本章將介紹制定開源軟件政策的主要政府機構，以及與各級政府合作以提高開源軟件意識的主要戰略伙伴。在芬蘭，沒有專門負責開源軟件政策的政府機構。財政部下設的信息與通信技術部門（公共I

76、CT）4負責推動公共管理部門數字化政府的總體發展，并協調相關的聯合開發項目。該部門參與了早期政策和法律文件的制定，如財政部關于國家信息系統代碼和接口開放性的工作報告建議（2003）。作為財政部的支持機構和公共管理部門的合作機構，芬蘭公共數據管理咨詢委員會（JUHTA）5 負責對公共行政信息管理提出建議，包括在公共管理部門中推廣開源軟件的使用6。該委員會由芬蘭政府每三年進行一次任命，然而自2019年2月以來，其職能未獲得續任7。戰略參與者Kuntaliitto是芬蘭的地方政府協會8，與芬蘭開放系統及解決方案中心（COSS）和Avoinkoodi.fi網站合作，共同致力于推廣開源軟件并為公民提供現

77、有的開源軟件解決方案。在Kuntaliitto的努力下，芬蘭許多市鎮正在積極采用開源軟件9。芬蘭開放系統及解決方案中心（COSS）10 是一個非營利性協會，致力于推廣開源、開放數據、開放標準和應用程序編程接口（API）的發展。COSS專注于企業解決方案、公共部門、學校以及移動和嵌入式系統。COSS是一個幫助軟件和服務需求者找到匹配的解決方案和企業合作伙伴的平臺。此外，COSS還通過組織會議，提供許可證方面的專家協助來為企業提供法律服務并促進國際合作。同時，COSS還支持關于開源軟件主題的研究，開發適用于學校的開源軟件。政策與法律框架本節總結了過去十年中與開源軟件有關的主要政策和法律法規，包括該

78、領域已知的第一個里程碑。該列表從最新的重要事件開始，按時間順序排列。全球開源態勢洞察第十一期19全球開源態勢洞察第十一期20Open source software initiatives開源軟件倡議2019年政府計劃11特別強調了開源、開放數據和開放接口的重要性，并將推廣使用開源軟件解決方案作為公共行政的優先事項，并規定公共信息系統采購中必須使用開放接口，以提高系統的互操作性和數據的可共享性。早在十年前，即2009年2月，一項專門為使用開源軟件而起草的建議被采納。公共行政部門關于使用開源軟件的建議12 旨在：2008年，芬蘭公共數據管理咨詢委員會（JUHTA）發布了一份面向公共行政部門的開源

79、采購指南13該指南探討了在采購開源軟件過程中的特殊考量。其中還包含如何處理與開源許可證、風險以及其管理相關的法律問題的信息，并重點聚焦政府機構。先前的相關政策有Linux應用機構的聯合企業（2003年）14,15 和關于國家信息系統代碼和接口開放的建議（2003年財政部工作文件）16，呼吁政府機構考慮開源軟件替代方案。KOHA圖書館系統，201917：KOHA是一個開源的圖書館系統，從2019年開始被芬蘭各地的圖書館采用，首先開始于韋斯屈萊大學（the University of Jyvskyl）。KOHA是一個由各種開源功能組成的模塊化系統，如軟件目錄Melinda18。芬蘭的其他學術圖書館

80、以及芬蘭國家圖書館的系統也正在向KOHA遷移。X-Road和NIIS，201719：X-Road是愛沙尼亞和芬蘭使用的信息系統數據交換層，是一個使信息系統之間能夠基于互聯網進行安全數據交換的技術和組織平臺。2017年，兩國成立了北歐互操作性解決方案研究所（NIIS），以便以更正式的方式深化合作，共同管理X-Road的開發20。整個X-Road的源代碼是公開的，任何人都可以使用。Oskari,201721：Oskari是芬蘭的開源地圖平臺，于2017年開發。此次實踐強調了在公共部門中共享政府IT解決方案的重要性及優勢。此外，共享政府IT解決方案還可以提高系統的質量和可靠性，使用開源軟件意味著可以

81、借助全球開發者社區的力量，對系統進行廣泛的合作開發、審查和改進，確保系統的高質量和穩定性，減少對技術供應商的依賴，避免陷入技術束縛。City of Turku,201622：圖爾庫以基于原始許可證的共享使用協議的形式提供在線開源服務。網絡服務的透明開放性使得每個人都能利用新聞動態和活動日歷功能的源代碼。該網站于2016年由圖爾庫市推出。為了滿足用戶的需求，該服務始終堅持以用戶為中心的開發理念，靈活快捷地響應和滿足用戶的需求?！癏elsinki Loves Developers”，201523：此為芬蘭的首都赫爾辛基推出的一個開發者門戶網站，自2015年起由該市的開源軟件開發團隊負責運營。此開發

82、團隊在GitHub上也很活躍。Open Kvarken,200824：在2008年至2011年期間，瑞典的于默奧市（Ume）和芬蘭的瓦薩市（Vaasa）合作開展了開放克瓦爾肯（Open Kvarken）項目。在項目期間，他們在克瓦爾肯地區測試、引入并推廣不同的開源軟件解決方案。Avoinkoodi.fi25：Avoinkoodi是由芬蘭開放系統及解決方案中心（COSS）維護的服務網站，它收集了已公開發布源代碼的開源軟件解決方案。該服務主要面向政府行政部門、開源教育服務、市政當局和城市。Open Hmeenlinna倡議（開放技術城市）26：開放海門林納（Open Hmeenlinna）倡議的所

83、有參與者都致力于使用開放技術（包括開放源代碼、開放數據和開放接口）并促進其發展。這些參與者包括海門林納市政府、教育機構（提供開放技術教育課程和學習途徑），以及各種有使用開源軟件解決方案歷史的大型公司。該倡議包括為所有參與者提供一個路線圖，供所有參與者了解如何推進開放海門林納倡議的發展和開放政府的構建。本節介紹了芬蘭主要的開源軟件相關倡議的概況。該列表從最新的倡議開始，按時間順序排列。1.降低公共部門采購中利用開源軟件的門檻，使更多的IT采購人員能夠充分利用開源軟件的優勢；2.提高公共部門IT采購人員對開源軟件的了解水平；3.就如何解決軟件采購過程中的法律和商業問題提供建議；4.推廣開源軟件采購

84、方面的良好實踐。全球開源態勢洞察第十一期21Roam.fi27:Roam.fi是芬蘭的市政當局和城市廣泛使用的無線網絡服務。這是一個高質量、易于擴展的網絡系統，采用開放的標準和身份識別機制，旨在為公共服務提供無縫網絡連接體驗。1https:/julkaisut.valtioneuvosto.fi/bitstream/handle/10024/161664/Inclusive%20and%20competent%20Finland_2019_WEB.pdf?sequence=7&isAllowed=y2https:/coss.fi/3http:/avoinkoodi.fi/4https:/vm.

85、fi/osastot5JUHTA is a permanent co-operation and negotiation body for ministries and municipal governments.The task of JUHTA is to promote the modernisation and implementation of public administration practices and services by utilising ICT.6http:/www.jhs-suositukset.fi/suomi/jhs1697https:/vm.fi/han

86、ke?tunnus=VM130:00/20158https:/www.kuntaliitto.fi/9https:/www.itewiki.fi/blog/2019/05/kuntasektori-suuntaa-kohti-avoimen-lahdekoodin-ratkaisuja/10https:/coss.fi/en/11https:/julkaisut.valtioneuvosto.fi/bitstream/handle/10024/161664/Inclusive%20and%20competent%20Finland_2019_WEB.pdf?sequence=7&isAllow

87、ed=y12http:/www.jhs-suositukset.fi/suomi/jhs16913http:/www.jhs-suositukset.fi/c/document_library/get_file?folderId=50575&name=DLFE-1208.pdf14https:/ Applied Linux Institute run by the Department of Communications and the Institution of Adult Education of Vantaa at the University of Helsinki,and the

88、Department of Schooling and Education of the City of Vantaa,(all public institutions),conducts research and development on OS applications.16http:/www.valo-cd.fi/oppaat/VM-suositus-avoimuudesta.pdf17https:/www.kiwi.fi/pages/viewpage.action?pageId=9319782418https:/www.kansalliskirjasto.fi/en/search?k

89、eyword=services%20metadata-reserve-services%20melinda19https:/www.niis.org/20https:/www.niis.org/history21https:/verkosto.oskari.org/en/front-page/22https:/www.turku.fi/uutinen/2016-09-08_turku-avaa-verkkopalvelun-lahdekoodin-yhteiseen-kayttoon-023https:/dev.hel.fi/24https:/www.openkvarken.fi/25http

90、:/avoinkoodi.fi/26www.openhameenlinna.fi27https:/www.roam.fi/CONTENTS目錄第十期01 行業發展02 前沿技術03 開源安全AMD正計劃使用開源的OpenSIL代替AGESA開放服務網格OSM（Open Service Mesh）項目已停止維護KSOC推出業內首個實時Kubernetes安全態勢管理平臺Nutanix推出Kubernetes數據管理平臺Nutanix Data Services for Kubernetes Mirantis發布輕量級Kubernetes發行版k0s v1.27Azure AKS正式推出網絡方案A

91、zure CNI Overlay 232323242424Envoy Gateway v0.4發布OpenYurt v1.3.0發布Rainbond v5.14.0發布Prometheus v2.44.0發布Contour v1.25.0發布Trivy v0.41.0發布Flagger v1.31.0發布D2iQ Kubernetes Platform v2.5發布2525252526262626DEF CON將舉辦全球最大規模AI黑客大賽微軟將用近一年時間完成對0-day Secure Boot漏洞的修復工作272704 開源熱點芬蘭南薩沃計劃建立開源能力中心Decidim參與式民主的開源平

92、臺正在被日本廣泛使用圖林根繼續支持開源替代方案2828293031323706 開源創業企業PingCAP平凱星辰07 開源報告開源軟件國家情報報告-捷克05 開源法律速覽案例分享：全國首例GPL抗辯獲得支持案開源許可與美國裸許可失權制度介紹AMD正計劃使用開源的OpenSIL代替AGESA開放服務網格OSM（Open Service Mesh）項目已停止維護在最近舉行的Open Compute Project地區峰會上，AMD披露正計劃用開源的Open-Source Silicon Initialization Library（OpenSIL）代替AMD Generic Encapsulat

93、ed Software Architecture（AGESA）固件的計劃。新固件將經歷四個階段的開發周期預計到2026年開始投入使用。OSM（Open Service Mesh）是一個輕量級、可擴展的云原生服務網格項目，旨在為運行在Kubernetes上的應用程序提供簡單、完整且獨立的服務網格解決方案，包括處理在Kuberne-tes集群上運行的微服務的流量管理、策略執行和可觀測性等任務，以簡化應用程序的部署和管理。OSM于2020年8月推出，同年加入云原生計算基金會（CNCF）。不久后，該項目成為云原生計算基金會（CNCF）沙箱級別的項目。2022年初，OSM正式發布v1.0.0版本。近日，

94、OSM維護團隊宣布OSM不再發布新的版本，團隊將轉向與Istio社區共同合作，來推進Istio的發展。此外，OSM向云原生計算基金會（CNCF）申請進行項目歸檔，目前還未真正執行。KSOC推出業內首個實時Kubernetes安全態勢管理平臺近日，KSOC推出業內首個實時Kubernetes安全態勢管理平臺。Kubernetes安全態勢管理平臺可以通過實時上下文以及當前和歷史信息準確定位攻擊活動，同時還可以根據集群的當前狀態提供可操作的補救措施。具體功能包括：實時態勢管理，發現基于事件的錯誤配置；匯總并找到Kubernetes RBAC中的過度權限；防止部署不合規的工作負載，減少潛在爆炸半徑；掃

95、描漏洞并為運行的容器生成SBOM。OpenSIL的目標不是取代UEFI，而是集成在其他主固件中，比如核心啟動、重啟、Forti-BIOS，可以與主固件靜態鏈接，繞過任何主固件協議。Google、AWS（亞馬遜）、Meta（Face-book）、AMI等行業巨頭，都是AMD Open-SIL的合作伙伴。AMD為實現OpenSIL設定了四個階段的POC（概念驗證）評估工作，第一階段已開始，兼容Zen4架構的四代霄龍（Genoa），接下來經過Zen5架構的五代霄龍（Turin），最終在2026年Zen6架構的六代霄龍上成為默認值，屆時AGESA則會退出。注釋：OpenSIL的全稱為“Open-Sou

96、rce Silicon Initialization Library”（開源硅初始化庫），作為一套開源解決方案，使用標準行業語言編寫，不但可以實現AGESA的各種傳統功能，還有輕量化、簡單、透明、安全、擴展靈活等優勢。全球開源態勢洞察第十期2301行業發展Nutanix推出Kubernetes數據管理平臺Nutanix Data Services for Kubernetes 近日，Nutanix推出Kubernetes數據管理平臺Nutanix Data Services for Kubernetes。具體功能如下：NDK為Kubernetes應用提供數據保護、恢復、遷移、克隆和復制等管理功

97、能；支持將恢復時間目標（RTO）和恢復點目標（RPO）從幾天縮短到幾分鐘；提供策略驅動的有狀態應用管理；Kubernetes和IT管理員可以通過制定規則和限制來管理基礎設施，并啟用自助式工作流程。Mirantis發布輕量級Kubernetes發行版k0s v1.27Docker和Kubernetes開發公司Mirantis發布了其輕量級開源Kubernete發行版的最新版本k0s。新版本與全新的Kubernetes 1.27版本兼容，并進行了各種其他改進和錯誤修復，版本特性更新如下：兼容Kubernetes1.27；支持容器插件，如WebAssembly（WASM）和gVisor容器沙箱；k0

98、s將用自建的鏡像來運行所有的系統組件；支持控制Helm chart的安裝順序。全球開源態勢洞察第十期24Azure AKS正式推出網絡方案Azure CNI OverlayAzure CNI Overlay可以利用覆蓋的網絡來降低IP地址的使用率，同時提供更好的性能和可擴展性。借助該功能，AKS集群可以擴展至非常大的規模，并且用戶定義的私有CIDR還可以在不同AKS集群中重復使用，從而大幅擴展了AKS中運行的容器化應用程序可用的IP空間。02前沿技術全球開源態勢洞察第十期25Envoy Gateway v0.4發布Envoy Gateway是用于管理Envoy Proxy的開源項目，可單獨使用

99、或作為Kubernetes中應用的網關。它通過了Gateway API核心一致性測試，使用Gateway API作為其唯一的配置語言來管理Envoy代理，支持GatewayClass、Gateway、HTTPRoute和TLSRoute資源。近日，Envoy Gateway v0.4發布，版本特性更新如下：升級網關API依賴，升級至Gateway API v0.6.2；支持通過Helm完成Envoy Gateway安裝；添加構建初始框架用于擴展Envoy Gateway；添加對基于IP子網的速率限制的支持；支持自定義Envoy代理引導配置、Envoy代理鏡像和服務配置注釋、資源和安全上下文設置

100、等；添加EDS支持（Endpoint Discovery Service)。近日，OpenYurt v1.3.0發布，版本特性更新如下：重構Openyurt控制平面組件；允許用戶為靜態Pod定義Pod模板和升級模型；NodePort Service支持節點池隔離。近日，Rainbond v5.14.0發布，版本特性更新如下：各語言源碼構建包版本升級；支持一鍵刪除應用及應用下相關資源；使用集群命令行創建的pod有合理的回收機制；域名配置https證書時，增加搜索功能或優先匹配與域名相同的證書；支持配置日志存儲路徑。近日，Prometheus v2.44.0發布，版本特性更新如下：將每次發送的默認

101、樣本數提高到2000；支持處理原生直方圖數據；在命令行中添加用于檢查Prometheus服務器健康狀態和可用性的功能；添加所有查詢加載的樣本總數指標。OpenYurt v1.3.0發布OpenYurt是由阿里云開源的基于原生Kuberne-tes構建的、業內首個對于Kubernetes非侵入式的邊緣計算項目，目標是擴展Kubernetes以無縫支持邊緣計算場景。它提供了完整的Kuber-netes API兼容性；支持所有 Kubernetes工作負載、服務、運營商、CNI插件和CSI插件；提供良好的節點自治能力，即使邊緣節點與云端斷網，在邊緣節點中運行的應用程序也不會受影響。OpenYurt可

102、以輕松部署在任何Kubernetes集群服務中，讓強大的云原生能力擴展到邊緣。Rainbond v5.14.0發布Prometheus v2.44.0發布Rainbond是一款以應用為中心的開源PaaS，深度整合Kubernetes的容器管理和Service Mesh微服務架構最佳實踐，滿足支撐業務高速發展所需的敏捷開發、高效運維和精益管理需求。Prometheus是一個開源的系統監控和報警系統，受啟發于Google的Brogmon監控系統（相似的Kubernetes是從Google的Brog系統演變而來），從2012年開始由前Google工程師在Sound-cloud以開源軟件的形式進行研發

103、，于2015年早期對外發布早期版本。2016年5月，繼Kubernetes之后成為第二個正式加入CNCF基金會的項目，同年6月正式發布1.0版本。2017年底發布了基于全新存儲層的2.0版本，能更好地與容器平臺、云平臺配合。全球開源態勢洞察第十期26Contour v1.25.0發布Contour是基于Kubernetes的Ingress控制器，通過將Envoy代理部署為反向代理和負載均衡器來實現其功能。Contour提供開箱即用的動態配置更新機制，同時保持了輕量級的配置文件結構。此外，Contour引入全新入口API HTTPProxy，該API通過自定義資源定義（CRD）來實現。其主要目標

104、是擴展Ingress API的功能，以提供更豐富的用戶體驗并解決原始設計中的局限性。近日，Contour v1.25.0發布，版本特性更新如下：Contour的HTTPProxy支持配置Envoy的RBAC過濾器的功能，以根據IP地址允許或拒絕請求；支持將追蹤數據導出到OpenTelemetry，以便進行更全面的分析和監控；支持對所有主機進行外部授權；HttpProxy的條件塊還增加了對精確路徑匹配條件的支持；支持內部重定向；對基于HTTPProxy資源的路由實現了HTTP查詢參數匹配功能。Flagger v1.31.0發布Flagger是基于Kubernetes的開源工具，用于實現持續交付和

105、自動化部署。它提供流量分配管理、故障檢測和回滾機制等功能，幫助開發人員和運維團隊實現高效可靠的應用程序部署和管理。Flagger于2020年7月加入云原生計算基金會（CNCF）。近日，Flagger v1.31.0發布，版本特性更新如下：支持服務網格Linkerd 2.12及更高版本；修復Flux文檔中有關安裝loadtester的錯誤；刪除OSM測試。D2iQ Kubernetes Platform v2.5發布D2iQ Kubernetes Platform（DKP）是適應生產環境的企業級自主可控Kubernetes平臺。DKP基于開源Kubernetes、云原生工作負載及整個云原生生態系

106、統，助力企業獲取數字化敏捷性。近日，D2iQ Kubernetes Platform v2.5發布，版本特性更新如下：支持將獨立的DKP Essential集群擴展到DKP企業管理集群下進行集中管理；支持通過Kube-bench檢查集群是否符合CIS Kubernetes基準；警報內容包括根本信息分析（RCA）和解決方案建議；完全支持Istio；支持ARM64機器；支持外部Load Balancer。Trivy v0.41.0發布Trivy是一款專業的容器漏洞掃描工具，旨在幫助用戶識別并解決容器鏡像中的安全漏洞。它支持多種容器鏡像格式和操作系統，并提供全面的漏洞掃描功能。Trivy能檢測操作系

107、統和軟件組件的漏洞，以及配置錯誤等安全問題。此外，Trivy還具備對容器鏡像中的文件權限和可疑配置選項等安全配置問題進行全面檢查的能力。借助Trivy，用戶能夠輕松地進行容器鏡像的安全評估和漏洞修復工作。近日，Trivy v0.41.0發布，版本特性更新如下：支持使用Vulnerability Exploitability Exchange（VEX）對檢測到的漏洞進行過濾；支持為虛擬機鏡像生成CycloneDX和SPDX等格式的SBOM（軟件物料清單）；支持嵌套JAR路徑；支持通過分析文件內容來識別dpkg和Go模塊的許可證類型；支持使用自定義的Docker socket。全球開源態勢洞察第十

108、期2703開源安全DEF CON將舉辦全球最大規模AI黑客大賽微軟將用近一年時間完成對0-day Secure Boot漏洞的修復工作計劃于8月10-13日，在拉斯維加斯舉辦的黑客大會，將邀請OpenAI、谷歌、Antrhopic、Hugging Face、微軟、英偉達與Stability AI等頂尖人工智能提供商，共同參與對生成式人工智能系統的公開安全評估。AI Village組織方將這個合作活動描述為“有史以來規模最大的人工智能模型紅隊演習”。將有數千人參與對公共人工智能模型的評估，期間使用的評估平臺由Scale AI負責開發。近日，微軟發布了一個補丁，用于修復Secure Boot繞過漏

109、洞。在2023年1月份，微軟釋出補丁修復了編號為CVE-2022-21894的漏洞，但攻擊者很快找到了繞過方法。本次釋出的補丁修復了新漏洞CVE-2023-24932。微軟稱，該漏洞可能被擁有物理訪問系統或管理員權限的攻擊者所利用。該修復措施與許多優先級較高的Windows修復措施存在顯著差異，新補丁不會默認啟用，它涉及到對Windows啟動管理器進行永久性的更改，最終將導致現有的Win-dows啟動媒介無法啟動。為避免突然導致用戶系統無法啟動，補丁將會分三個階段推出更新。直到2024年第一季度將發布第三階段的更新，該更新將默認啟用修復程序，屆時將導致舊的Windows啟動媒介將會無法使用。A

110、I Village創始人Sven Cattell表示，“只有讓更多的人了解如何開展紅隊測試和評估人工智能模型，才能解決這些模型中的各種問題?！蓖ㄟ^對人工智能模型組開展最大規模的紅隊演習，AI Village和DEF CON希望能培養出處理人工智能系統漏洞的研究者社區。事實證明，大語言模型的鎖定難度遠超想象，部分原因在于所謂“提示詞注入”技術。人工智能研究員Simon Willison詳細介紹了提示詞注入的危險，這種技術可以令語言模型偏離正軌，執行創建者想要回避的操作。在DEF CON大會期間，參與者將通過主辦方提供的筆記本電腦定時訪問多個大語言模型。并將會有一個奪旗式的積分系統，促進測試各種潛

111、在威脅。積分最高的參與者將獲得英偉達高端GPU作為獎品。AI Village公告中寫道，“我們將公布從此次競賽中得到的啟發，幫助其他想要做類似嘗試的人們。希望越來越多的人能知曉該如何使用大語言模型，了解這些模型的局限性?！弊⑨專骸凹t隊”測試，是指安全專家嘗試在組織系統中發現漏洞或缺陷，以提高整體安全性和彈性的過程。全球開源態勢洞察第十期2804開源熱點芬蘭南薩沃計劃建立開源能力中心Decidim參與式民主的開源平臺正在被日本廣泛使用作為歐盟所資助的Open MemoryLab項目的一部分，芬蘭南薩沃地區正在評估確定該地區企業在采用和使用開源軟件（OSS）方面所需的支持。Decidim是致力于參

112、與式民主的開源平臺，正在被越來越多的國家使用。2020年，它被日本Code for Japan組織引入。首先應用在日本加古川市，現已在其他幾個城市得到應用。Decidim平臺的首個日本版本主要由日本東京大學先端科學技術研究中心的Yoshimura教授和Code for Japan組織的代理主任Hal Seki負責?，F已將源代碼上傳至其創建的GitHub公開存儲庫中，使當地社區能夠利用該平臺。Code for Japan組織致力于在日本公共部門中推廣開源作為公民參與社會和民主變革的工具。作為更廣泛的Code for all網絡的一部分，Code for Japan在日本各地組織了90多個地方團體

113、，這使得解決方案能夠在全國范圍內輕松地被廣泛復用。自2020年10月，日本兵庫縣加古川市政府采用Decidim以來，該平臺已在以下項目中被廣泛使用：橫濱市參與倡議平臺內閣辦公室（日本國家政府）智慧城市指南小組（Smart City Guidebook Subcommittee）Decidim在兵庫縣的應用（Decidim applica-tion in Hyogo Prefecture）在橫濱市議員自由民主黨的選舉中采用Mirai Creative Platform如今，日本的Code for Japan正積極參與Meta-Decidim項目，在發展國際合作的基礎上，與本地開源社區開展密切合作

114、，通過案例研究和討論會不斷推進平臺在本地的發展。旨在推廣Decid-im在國際范圍內的應用，并提升其本地化能力?！拔覀兊氖滓蝿帐巧钊氲亓私庠摰貐^企業在采用和使用開源軟件方面存在的困難和需求?！眮碜苑姨m東南應用科學大學的Open MemoryLab項目經理Sami Jantunen指出。在短期內，將通過提供支持、培訓和協同學習等方式，推動在業務發展和組織戰略中充分利用開源解決方案，來滿足所確定的需求。在不斷的發展中，該項目更為長遠的目標是持續地、系統地促進開源軟件的使用，協助地區企業和公共機構適應不斷變化的數字環境。為實現這一目標，制定在芬蘭南薩沃地區米凱利市建立開源能力中心的計劃，并與相關的

115、國家和國際網絡建立合作關系?！霸谀纤_沃地區建立開源能力中心是一項具有前瞻性的、卓越的舉措，旨在填補開源軟件在采用和使用中存在的知識鴻溝，使地區企業和公共機構能夠充分發揮出開源軟件在推動創新、促進協作、控成本、創效益等方面的巨大潛力”。芬蘭開放系統和解決方案中心（COSS）的執行主任Timo Vliharju評論到。Open MemoryLab項目于2022年10月啟動，計劃持續到2023年底。該項目由芬蘭東南應用科學大學協調，并得到芬蘭開放系統和解決方案中心（COSS）以及當地企業的支持。項目資金由南薩沃經濟發展、交通和環境中心、歐洲社會基金和REACT-EU組織提供和支持。注釋：Open M

116、emoryLab將提供專業的開源咨詢、指導、培訓等，加強南薩沃地區公司組織的轉型及創新能力，支持保障公司的數字化轉型進程及業務發展。該項目旨在與企業間建立密切的互動，以探索和了解企業利用開源技術的現狀，加速開源軟件的創新。注釋：Decidim是致力于幫助公民實現參與式民主的開源平臺，通過咨詢建議、參與在線辯論、跟進提案等流程參與政府政策法規的制定過程來實現數字民主。全球開源態勢洞察第十期29圖林根繼續支持開源替代方案德國圖林根自由州與OpenTalk團隊的合作成果在Chemnitzer Linux-Tage大會上宣布并展示。在該會議中，Peer Heinlein（OpenTalk首席執行官）與

117、Christian Sttzer（圖林根自由州財政部負責人）就“圖林根自由州的IT戰略：開源與數字主權”進行聯合演講。Peer Heinlein詳細地介紹了解決方案的開發方法，深入地探討了促進公私合作的措施，以推動該解決方案的廣泛采納和應用。德國圖林根自由州已經表明了其對開源項目的支持。其一，在2019年設立開源獎（圖林根開源獎由圖林根經濟、科學和數字社會部發起，旨在提高開源解決方案的認知度），其獲獎者包括edu sharing、in.RET、IG Papiergraben。其二，在2019年該州議會通過了一項關于公共采購的規定，明確將開源定義為“源代碼公開可訪問且許可證不限制其使用、分發和修

118、改的軟件解決方案”。圖林根州公共采購法（Thringer Vergabegesetz）明確提出，在技術和經濟可行的情況下，優先選擇采用開源軟件。最近，OpenTalk在德國公共管理開源代碼倉庫OpenCoDE.de中依據EUPL（歐洲公共許可證）共享了其代碼。在此之前，他們對解決方案進行了全面重新設計，以滿足所需的機密性和安全性要求。OpenTalk首席執行官詳細地演示了更多專門為公共管理部門使用該解決方案而開發的各種功能，包括法律合規性、可擴展性等。案例分享：全國首例GPL抗辯獲得支持案i05開源法律速遞 全球開源態勢洞察第十期30基本案情：判決要點：原告未來公司認為被告云蜻蜓公司的“南京工

119、程版投標工具”軟件在功能及實現上與原告軟件構成實質性相似，被告軟件中的配置文件及代碼中特有的部分標識、客戶名稱簡稱、程序文件的GUID以及拼寫上的很多明顯錯誤等與原告軟件完全一致，故以著作權侵權為由向法院提起訴訟，要求賠償經濟損失3000萬元（后變更為2000萬元）。南京市中級人民法院經審理認為，對原告未來公司違反GPL協議的行為給予侵權法上的保護，勢必虛置GPL協議關于源代碼持續開源的相關規定，對于通過GPL協議讓源代碼持續開源傳播產生不利影響。針對原告涉案軟件的主程序部分，對原告主張兩被告構成著作權侵權的主張不予釆納，對其要求兩被告承擔相應的侵權責任的訴訟請求不予支持。1、非正當手段獲取包

120、含GPL協議軟件源代碼的行為的后果。非正當手段獲取包含GPL協議軟件源代碼的行為，一方面，雖然其獲取的源代碼中包含GPL協議，但是由于該行為未通過權利人發布的正當手段取得源代碼，且與我國著作權保護的精神相違背，不應認定其獲取了權利人軟件的GPL授權許可。另一方面，非正當手段獲取包含GPL協議軟件源代碼的行為人，由于對權利人軟件實施了復制、修改、分發等行為，其實際上以實踐行為做出了對GPL協議要約的承諾，其負有GPL協議中的所約定的相關義務。2、“傳染性”的認定。判斷GPL協議所能傳染的衍生軟件或修訂版本，區分開源代碼與自有代碼，即確定自有代碼是如何與開源代碼結合或交互是前提。其次應結合代碼的使

121、用場景，即結合代碼的功能及其在軟件中所起的作用進行判斷。最終確定被傳染的部分應當是與原開源軟件形成密切通信使得二者高度牽連融合成一體的程序，而非只要有數據交換就會構成傳染。未來公司軟件的主程序與涉案GPL開源代碼存在函數調用關系，且該開源代碼實現的壓縮功能系投標文件上傳前不可或缺的功能，故主程序為該開源代碼的衍生程序，受GPL協議約束。而預覽程序與主程序相互獨立，預覽程序文件連同不包含GPL開源代碼的DLL文件在脫離主程序后，預覽程序、主程序都能夠獨立運行，故預覽程序不是涉案GPL開源代碼的衍生作品，未被GPL開源代碼傳染。i https:/ 注：“特邀供稿”系本基金會邀請的第三方供稿，為提出

122、并闡述各方意見，特定稿件觀點不代表本基金會觀點。特邀供稿1：李維朝“未來公司訴云蜻蜓”一案被告方代理律師江蘇瑞途律師事務所合伙人南京市律協知識產權保護法律專業委員會委員合規審查專業委員會委員全球開源態勢洞察第十期31開源許可與美國裸許可失權制度介紹案件解讀：本案的意義在于：確立開源軟件使用規則，維護開源社區秩序，是對“十四五”規劃關于建設有國際影響力的開源社區的響應。本案對軟件企業的開源合規管理提出了很高的要求，在充分了解開源協議的基礎上，一方面，要合規使用開源軟件，避免不合規導致自身權利無法得到保護，另一方面，如果不想將自己開發的源代碼貢獻給社區，則要做好技術隔離措施，根據開源協議的要求，從

123、技術上將自己開發的代碼與開源軟件隔離開來。商標裸許可（naked licensing）失權制度首見于美國商標法律實踐：由于在商標許可中，商標所有人應當對商標被許可人提供的相關商標商品或服務進行質量控制，故而因商標所有人缺失對該等商品或服務質量控制而導致消費者遭受欺詐的情形即為“裸許可”，這將導致推定商標所有人放棄商標，繼而造成商標所有人失去商標權ii。在通常情況下，許可過程中的“質量控制”可以通過制定技術標準或技術手段等來實施，但在開源項目中，“質量控制”的實施是復雜的，如果沒有商標許可使用的專門規范，商標所有權人很少有機會嚴格控制根據開源許可協議所修改和分發的軟件的質量。鑒于OSI批準的許可

124、證中有部分許可證并未對明確排除任何商標使用（如只禁止背書、廣告或其他特定行為），因此可以考慮采取一些措施來規避這類風險，例如在開源許可證中添加條款，以標明商標并聲明未授予任何許可；如果不適合在開源許可證中添加條款，可另行添加商標聲明，例如OpenJDK商標聲明；也可在社區網站上發布商標使用指南，規范商標授權使用的場景和方式等。在Neo4j公司訴Pure-Think公司的開源爭議案件中，被告曾以裸許可商標失權作為其抗辯理由之一，但被法院駁回iv。3、不合規使用開源軟件的后果。對原告未來公司違反GPL協議的行為給予侵權法上的保護，勢必虛置GPL協議關于源代碼持續開源的相關規定，對于通過GPL協議讓

125、源代碼持續開源傳播產生不利影響。針對原告涉案軟件的主程序部分，本院對原告主張兩被告構成著作權侵權的主張不予釆納。ii 美國商標裸許可失權制度的發展與適用上海市黃浦區人民法院法官助理 魏夢靜iii Dare,Tiki&Anderson,Harvey(2009)Passport Without A Visa:Open Source Software Licensing and Trademarks,IFOSS L.Rev.,1(2),pp 99110iv Neo4j,Inc.v.PureThink,LLC,No.5:18-CV-07182-EJD,2021 WL 2483778,at*8(N.D.

126、Cal.May 18,2021開放原子開源基金會的開源公益項目“源譯識”公益翻譯、“心寄源”專業沙龍、“源規律”公益課程歡迎您的參與和建議詳情請見：http:/www.openatom.org/legal-IP 撰稿：劉博雅；審校：王荷舒PingCAP 平凱星辰主要創始團隊PingCAP平凱星辰成立于2015年，是一家企業級開源分布式數據庫廠商，提供包括開源分布式數據庫產品、解決方案與咨詢、技術支持與培訓認證服務，致力于為全球行業用戶提供穩定高效、安全可靠、開放兼容的新型數據服務平臺，解放企業生產力，加速企業數字化轉型升級。在幫助企業釋放增長空間的同時，也提供了一份具有高度可參考性的開源建設實

127、踐樣本。06開源創業企業劉奇創始人兼CEO知名開源項目TiDB/TiKV/Codis的作者，曾任職豌豆莢/京東，擅長分布式數據庫和分布式緩存。黃東旭聯合創始人兼CTO開源分布式緩存服務Codis的作者，資深infrastructure工程師，開源狂熱分子。崔秋聯合創始人開源愛好者。開源項目梳理項目名稱項目開源時間技術領域項目歸屬托管平臺GitHub信息開源許可證2015年開源分布式HTAP數據庫公司項目Apache 2.0GitHubGitHubGitHubGitHubGitHubApache 2.0Apache 2.0Apache 2.0/公司項目CNCFCNCF公司項目分布式HTAP數據庫

128、云原生混沌工程平臺開源軟件洞察工具分布式Key-Value數據庫2022年開源2019年開源2018年開源/TiDBTiFlashChaos MeshossinsightTiKVStar:13K；Fork:2K；Contributor:392;https:/ TiDB 生態中的開發者、用戶、Contributor、合作伙伴一起建立的分享、學習平臺。截至目前，TiDB社區有超過96K請求、20K主題、196K帖子、2100貢獻者。TiKV：TiKV是一個分布式事務型的鍵值數據庫，提供了滿足ACID約束的分布式事務接口，并且通過Raft協議保證了多副本數據一致性以及高可用。TiKV作為TiDB的存

129、儲層，為用戶寫入TiDB的數據提供了持久化以及讀寫服務，同時還存儲了TiDB的統計信息數據。TiKV于2018年8月被云原生計算基金會接受為沙盒項目。2019年5月，CNCF宣布正式將TiKV從沙箱項目晉級至孵化項目。2020年9月，CNCF宣布TiKV正式從CNCF畢業。Chaos Mesh：2019年，PingCAP在GitHub上正式開源Chaos Mesh。Chaos Mesh是一個開源的云原生混沌工程平臺，提供豐富的故障模擬類型，具有強大的故障場景編排能力，方便用戶在開發測試中以及生產環境中模擬現實世界中可能出現的各類異常，幫助用戶發現系統潛在的問題。Chaos Mesh基于Kube

130、rnetes CRD(Custom Resource Definition)構建，根據不同的故障類型定義多個CRD類型，并為不同的CRD對象實現單獨的Controller以管理不同的混沌實驗。Chaos Mesh提供完善的可視化操作，旨在降低用戶進行混沌工程的門檻。用戶可以方便地在Web UI界面上設計自己的混沌場景，以及監控混沌實驗的運行狀態。圖 ChaosMesh客戶全球開源態勢洞察第十期33全球開源態勢洞察第十期34開源商業模式圖 PingCAP客戶群通過多年的開源與商業化實踐，PingCAP探索出一條自己的的開源商業化模式：社區迭代+企業級訂閱服務+云服務。以TiDB項目為例，目前Ti

131、DB具備三種交付形式。一是向社區用戶提供社區版，用互聯網極致場景打磨產品，快速迭代產品；二是向企業用戶提供企業版訂閱，提供原廠服務；TiDB企業版軟件，為企業關鍵業務打造，具備分布式強一致性事務、在線彈性水平擴展、故障自恢復的高可用、跨數據中心多活等企業級核心特性，幫助企業最大化發揮數據價值，充分釋放企業增長空間。三是向全球企業用戶提供TiDB Cloud版本。PingCAP官網數據顯示，TiDB在全球設有9個分支機構，分布于中國、美國、新加坡、日本。服務的客戶超過20個國家，超過3000家企業用于線上生產環境。企業融資情況發展歷程（大事記）時間2022年12月2022年11月2022年9月2

132、022年6月2022年5月2022年4月2022年2月2021年12月2021年11月2021年7月2021年5月2021年4月TiDB首批通過信通院HTAP數據庫基礎能力評測以“現在決定未來”為主題的PingCAP用戶峰會在京線下成功舉辦TiDB Cloud正式商用TiFlash開源；TiDB 6.0正式發布云原生混沌工程測試平臺Chaos Mesh升級成為CNCF孵化項目TiDB 連續24個月在墨天輪國產數據庫流行度排行榜上排行第一TiDB Cloud Developer Tier發布，向開發者提供為期一年的免費試用Chaos Mesh 2.0正式GAPingCAP攜手CCF，成為VLDB

133、 Summer School獨家協辦單位PingCAP加入CNCF，成為銀牌會員；面向企業級核心場景的TiDB 5.0 GA發版THE RISE OF HTAP HTAP SUMMIT 2022 在北美加州線下成功舉辦；推出TiDB Cloud Serverless Tier BETA版與阿里云達成合作，云數據庫TiDB上線阿里云心選商城；舉行“TiDB V6暨PingCAP云戰略發布會”重大事件天使輪2015年12月9日數百萬人民幣；經緯創投、險峰K2VCA輪2016年9月4日700萬美元；經緯創投、峰瑞資本、初心資本、云啟資本C輪2018年9月5000萬美元；復星、晨興資本領投，華創資本、

134、云啟資本、經緯中國等跟投E輪2021年7月20日數億美元；紅杉中國領投、新加坡政府投資公司（GIC）跟投，一起跟投的還有部分老股東，五源資本、GGV紀源資本、貝塔斯曼亞洲基（BAI）B輪2017年6月13日1500萬美元；華創資本領投，經緯中國、云啟資本、峰瑞資本、險峰長青等跟投D輪2020年11月17日2.7億美元；紀源資本、Access TechnologyVentures、晨曦投資、時代資本、五源資本共同領投，貝塔斯曼亞洲投資基金（BAI）、Coatue、天際資本、昆侖資本、摯信資本及老股東經緯中國、云啟資本跟投全球開源態勢洞察第十期35時間2021年1月2020年12月2020年11月

135、2020年9月2020年7月2020年5月2019年12月2019年9月2019年8月2019年6月2019年5月2019年1月2018年11月2018年9月2018年8月2018年4月2017年10月2017年6月2016年12月2016年8月2015年9月2015年4月PingCAP連續兩年在CNCF全球貢獻排行榜中位列中國企業第一位，全球排名第6位TiDB通過信通院分布式數據庫性能與基礎能力兩項評測PingCAP團隊的論文TiDB:A Raft-based HTAP Database入選VLDB 2020，成為業界第一篇Real-time HTAP分布式數據庫工業實現的論文；CNCF宣布

136、TiKV正式從CNCF畢業CNCF 宣布云原生的混沌工程Chaos Mesh正式進入CNCF沙箱托管項目TiDB 4.0 GA發版云原生的混沌工程Chaos Mesh正式開源一體化數據同步平臺TiDB Data Migration 1.0 GA發版TiDB 用戶問答論壇AskTUG正式上線TiDB 3.0 GA發版；TiDB User Group正式成立CNCF宣布正式將TiKV從沙箱項目晉級至孵化項目TiDB Lightning Toolset&TiDB Data Migration正式開源Cloud TiDB公測宣布獲得復星、晨興資本領投的5000萬美元的C輪融資TiDB Operator

137、開源；CNCF接納TiKV作為CNCF Sandbox的云原生項目TiDB 2.0 GA發版TiDB 1.0 GA 發版宣布獲得華創資本領投的1500萬美元B輪融資TiDB RC1發版獲得云啟資本領投的A輪融資；第一家客戶在生產環境中使用TiDB 在GitHub上開源，一個月Star數超過2700獲得天使輪投資，PingCAP成立宣布完成2.7億美元的D輪融資重大事件全球開源態勢洞察第十期36全球開源態勢洞察第十期37開源軟件國家情報報告-捷克內容概要參與者政策制定者07開源報告直到2023年，捷克的內政部是負責發展和監督捷克開源軟件的中央機構，同時，是其通過電子政務舉措實現地區辦事處和市政當

138、局數字化工作的一部分，內政部希望以此來提高捷克公共管理績效。自2021年以來，捷克內政部與非政府組織開放城市（Otevrena Mesta）之間開展了重要合作。雙方合作的主要領域是code.gov.cz資源庫1，該資源庫使捷克共和國的公共部門之間能夠共享開源項目。在未來，該資源庫還應成為公共部門內推動開源倡議和團隊合作的契機。用戶友好方法論是公共部門取得開源成果的必要條件（例如，如何在公共機構中使用開源軟件，如何開發有特殊安全需求的開源軟件等），這也是code.gov.cz http:/code.gov.cz 資源庫的愿景。政府的“數字捷克”計劃推動了開源軟件在公共管理部門內的使用，特別是防止

139、受制于某個供應商。自2023年起，數字化議程已從內政部轉移到新成立的數字和信息管理局（DIA）。DIA于2023年4月開始運行，并獨立于其他部委。這一結構的重組還包括將原有的電子政務首席架構師部門或政府信息社會委員會（RVIS，由負責數字化的副總理擔任負責人）重新劃分給DIA。DIA被劃分為多個行動單位，它們將接管公共行政部門共享的信息系統，如基本登記、CzechPoint（捷克公證系統）和公民門戶網站；它們還將制定和執行關于數字服務、用戶友好、統一政府及設計的相關標準。培訓公職人員使用開源軟件是這些行動單位預期開展的一項工作。這個新機構還將負責創新服務，首批項目之一是移動電子錢包。在中央層面

140、，來自捷克各地公共行政部門的ICT項目需經過電子政務首席架構師的審批，首席架構師制定國家互聯性政策并負責管理“國家架構計劃”。在審批流程環節中，電子政務首席架構師會請求公共管理部門考慮在其正在開發的解決方案中使用開源軟件。如果公共行政部門決定使用開源軟件，對源代碼的任何修改都應公開，以便在整個公共部門體系中進一步共享和重復利用。購置、維護和支持成本等標準是使用開源軟件的決策進行評估的依據。在過去幾年中，捷克公共行政部門使用開源軟件解決方案的情況有所增加。通過最近對數字管理結構的重組，政府提高了在數字政策不同措施之間的協調可能性。捷克的各級行政部門中，有各種各樣的開源軟件倡議和戰略參與者，其中一

141、些最新項目旨在增強協作以提高效率。這會導致公共行政部門遵循統一的方法使用開源軟件，同時進一步推動該國的數字化發展。本章節將介紹制定開源軟件政策的主要政府機構，以及與各級政府合作以提高開源軟件意識的主要戰略伙伴。數字和信息局（DIA）是捷克負責電子身份識別、電子認證和公共行政信息系統的中央行政機構。DIA成立于2023年1月1日，從內政部接管了基本登記管理、CzechPoints（捷克公證系統）以及公民門戶網站的管理職能。該機構計劃在2023年全面運作，并引入像電子服務eDokladovka（捷克國家級的數字錢包）的新服務。該機構是根據關于數字服務的2020年第12號法案以及2022年第471號

142、修正案設立的。信息社會委員會（RVIS）是捷克政府為公共行政和電子政務領域發展數字服務提供治理、咨詢和協調的常設機構2。直至2022年8月27日，該委員會在內政部的支持下運作。此后，它由負責數字化的副總理領導。1 http:/code.gov.cz2 https:/www.vlada.cz/assets/ppov/rvpis/statur-RVIS-2022.pdf全球開源態勢洞察第十期38戰略參與者直到2023年，內政部3捷克負責內政事務和政府行政現代化相關政策的中央機構。該部門的一項主要任務是通過電子政務舉措使地區辦事處和市政當局數字化，以提高捷克公共行政部門的效率。由內政部電子政務部門負

143、責在公共部門增加使用開源解決方案的議程。Open Content（開源內容網站）13在社會關于“開放”方面扮演者具有教育性、綜合性特點的機構角色，尤其是在開放數據、教育、研究、獲取國家行政管理許可以及知識共享許可系列問題等方面。知識共享許可證是通過許可自己的作品為開源文化做出貢獻的一種可訪問的選擇。國家網絡和信息安全局（NKIB）是網絡安全的中央管理機構，網絡安全包括信息和通信系統中的機密數據保護以及密碼保護。它還負責執行伽利略計劃下全球導航衛星系統的公共監管服務。NKIB于2017年8月1日，根據第205/2017號法案設立，該法案修正了關于網絡安全和相關法案修正案的第181/2014號法案

144、。NKIB還創建了與公共部門開源軟件開發相關的安全建議清單4。該清單是code.gov.cz資源庫方法論要素之一。NKIB是開源軟件政策和捷克電子政務的戰略伙伴。國家通信和信息技術局（NAKIT）https:/nakit.cz/en/成立于2016年2月1日，是捷克共和國內政部的服務機構。該機構通過40多個地區辦事處提供信息和通信技術服務。該機構的特殊地位賦予了其廣泛的職能范圍，并賦予NAKIT建設與IT基礎設施、應用程序、網絡安全相關新服務的職責，這些服務主要面向救援、安全部隊和公共行政部門。捷克開放社會基金會5倡導通過數字化、創新和開源軟件解決方案改善公共管理部門的服務。其向致力于提高公共

145、行政部門透明度和效率的組織或個人提供資助，并與對電子政務服務中開源軟件解決方案感興趣的公民會面、組織活動，致力于提升捷克的數字參與度。捷克科學與社會中心（CCSS）7是一家獨立的非營利性組織，與捷克國內外的機構和個人相合作。CCSS的重點工作是實施新型通信和信息技術，這些技術可協助進行環境保護工作、風險管理、農業和鄉村可持續發展。CCSS提高了人們對歐盟倡議資助的開源軟件解決方案的認識，并強調了開放數據和開源軟件的重要性。Otevrena mesta（開放城市）8是由20個市鎮和地區組成的協會，通過在開源解決方案上達成合作，以節省市政資源并解決公共行政部門所面臨的共同問題。Otevrena m

146、esta重點關注一些特定事項，包括開放數據、公民在線參與、合同披露和良好實踐、開源解決方案以及在公共部門中的數字化合作9。此外，Otevrena mesta也是內政部在公共部門中開發和推廣國家代碼存儲庫code.gov.cz的戰略合作伙伴。esko Digital是一個由IT專業人士組成的社群，包括開發人員、圖形設計師和制作人，為國家和非政府組織、公民和公共管理提供無償幫助，以簡化捷克公共部門的數字化流程10。該社群擁有超過5700名志愿者，聲稱11是歐洲最大的公民科技組織。Bison12是一個非政府組織，其名稱著“構建和實施共享的開源工具”。該組織的目標如下:3 https:/www.mvc

147、r.cz/soubor/public-administration-in-the-czech-republic.aspx4 https:/www.nukib.cz/cs/infoservis/doporuceni/1827-nukib-a-ministerstvo-vnitra-vydaly-bezpecnostni-doporuceni-pro-vyvoj-otevreneho-s oftwaru/5 https:/nakit.cz/en/6 https:/osf.cz/en/7 http:/www.ccss.cz/en/zkusebni-stranka/profil-ccss/8 http

148、s:/www.otevrenamesta.cz/9 https:/www.otevrenamesta.cz/10 https:/cesko.digital/11 https:/cesko.digital/about12 https:/www.spolek-bison.cz/13 https:/www.opencontent.cz/-通過公共管理實體在公共管理環境中開發獨特的軟件解決方案，確保為公共管理表現提供最佳和高效支持。-建立一個統一的、明確的平臺，用于開發和推廣在公共行政領域的開源軟件項目，以支持公共行政的最高質量的績效，并持續優化在公共行政領域進一步發展開源軟件解決方案所需的資源。-向

149、公共行政機構提供確切的、經過驗證并已實施的軟件解決方案，包括支持、咨詢和轉讓等經驗。-在公共行政機構互相分享各自的專業知識時，需盡可能降低成本。全球開源態勢洞察第十期39政策和法律框架 開源軟件倡議2022年8月，捷克頒布關于開放數據和公共部門信息再利用的2019年第1024號歐洲指令（“OD指令”）14的實施方案。該指令的功能之一是支持信息和數據的提供，以便這些信息和數據被重復獲取，特別是通過開放數據獲取。為了支持這項法規，捷克相關部門已對現有法規進行了多樣化的修正。152022年2月1日，2021年第261號法案16生效，修改超160項法律規定，以促進和加快國家公共行政部門的數字化轉型。2

150、020年，數字服務法案（此法案主流題法為數字服務法案）2020第12號法案通過。該法案強調在整個公共部門內推動數字化和電子政務的發展。17捷克的首席數字官員Vladimir Dzurilla承認開源軟件在公共行政領域中的創新潛力。在這一法律背景下，他計劃將開源元素融入到捷克政府門戶網站的建設中，未來可以在此基礎上構建其他服務。2018年通過的“數字捷克”計劃18，在之前政策的基礎上增加了利用電子政務實現公共治理現代化的相關內容?！皵底纸菘恕钡闹饕繕耸谴_保公共部門能夠適應數字化帶來的快速變革，改善數據結構，促進數字環境中連通性的提高和信任的提升。此外，該計劃還有一個專門討論開源解決方案的章節，

151、名為利用開源解決方案打破供應商鎖定的行動計劃。2006年，為探索開源軟件在捷克公共行政領域中發展的潛力，捷克啟動開放政府倡議19。該倡議探討了公共行政部門不僅是作為開源軟件的用戶，更是作為開源軟件解決方案提出者的可能性。同時，倡議提出需要解決涉及捷克版權法、民法典和合同法的相關法律問題，以確保開源軟件許可證的有效性。早在2004年，捷克發布的信息和通信政策里就提出鼓勵在捷克的公共行政機構內部和機構之間采用開放標準，以促進互操作性20。此時，捷克政府已認識到采用開放標準是開源軟件解決方案的先決條件。因此，他們開始提供方法上的支持和獲取信息的途徑，來促進開源軟件解決方案在公共行政領域中的使用。布爾

152、諾開源宣言（2022年）21：共計四個協會聯合發布了布爾諾開源宣言（Brno Open Source Decla-ration），旨在為捷克國家開源項目辦公室（OSPO）的創建鋪平道路，該宣言包括以下內容：Dotan Software 2（2020年）22：DSW2是一個旨在通過開放數據，實現補貼申請的接收、處理和管理的工具。該項目目前正在布拉格的幾個地區和捷克的其他城市進行使用或測試。CSGOV.cz（2019年）23：該項目旨在為小型市政機構和組織提供一個簡單而靈活的網站平臺，并可根據需要進行擴展，以最低成本滿足其需求，網站開發者使用的軟件是基于Drupal的開源解決方案。此外，他們還在為

153、斯洛伐克地方政府開發該平臺。本節將總結過去十年間與開源軟件相關的主要政策和法律法規，包括該領域已知的重要里程碑。列表將從最新的里程碑開始，按照時間順序呈現。本節介紹了捷克主要的開源軟件相關倡議。該列表按時間順序排列，從最新的倡議開始。14 https:/eur-lex.europa.eu/eli/dir/2019/1024/oj 15 https:/data.gov.cz/%C4%8Dl%C3%A1nky/implementace-sm%C4%9Brnice-o-otev%C5%99en%C3%BDch-datech 16 https:/wipolex.wipo.int/en/legislat

154、ion/details/21272 17 https:/www.zakonyprolidi.cz/cs/2020-12 18 https:/ec.europa.eu/idabc/servlets/Doc6c34.pdf?id=2485519 https:/ec.europa.eu/idabc/servlets/Doc5a7c.pdf?id=24853 20 https:/cityvizor.cesko.digital/declaration21 https:/joinup.ec.europa.eu/sites/default/files/inlinefiles/Digital_Governme

155、nt_Factsheets_Czech%20Republic_2019.pdf22 https:/dsw2.otevrenamesta.cz/about#:text=Dota%C4%8Dn%C3%AD%20software%20bude%20provozov%C3%A1n%20na,dota%C4%8Dn%C3%ADho%20port%C3%A1lu%20a%20technick%C3%BDch%20parametr%C5%AF23 https:/www.csgov.cz/o-projektu-與公共和私營部門的其他參與者簽署合作備忘錄；-簽署歐盟公共服務OSPO宣言；-在特定項目上與國際開源

156、社區建立功能性合作；-開發捷克國家開源門戶網站（code.gov.cz）并與美國國防部合作；-面向公共部門和學術機構，監測和推廣捷克在開源領域的活動和案例研究；-建立捷克國家OSPO。CityVizor（2019年）24：CityVizor是一個在線可視化平臺，捷克的18個城市和布拉格的一些地區已在使用該平臺。該平臺使市政當局能夠向市民展示他們的資金是如何投資當地建設的。CityVizor是由財政部的員工開發的開源軟件應用程序，由esko Digital維護，現由Open Cities協會運營。團隊目前正在努力擴展該應用程序，以便使各個組織的預算可視化，并優化與其他會計系統的連接。紅帽軟件與捷

157、克理工大學開源實驗室25：2017年，開源軟件解決方案的領先提供商紅帽軟件在捷克理工大學布拉格校區的電氣工程學院設立了一個開源實驗室。學院學生有機會與紅帽軟件的工程團隊合作，參與基于社區的開源軟件項目和開展相關研究工作。捷克公共廣播公司26：2015年，捷克政府下屬的廣播公司esk rozhlas從使用專有內容管理系統切換至使用開源軟件解決方案Drupal來構建其網站，通過采用Drupal以降低成本。Supervizor（2015年）27：Supervizor是一款由捷克財政部的員工開發的應用程序，用于將機構和公共行政部門支出情況可視化的應用程序，旨在提高政府支出的透明度。28Superviz

158、or的源代碼已在GitHub上公開發布。SpisovaSluzbaOnline.cz29：2013年，市政府和其他公共行政機構以及數十所學校應用了Spisovka，這是一個開源的電子檔案系統。該軟件具有成本效益，防止了供應商封閉，并鼓勵重復使用軟件和進行與之相關的多次良好實踐。該項目是由捷克開源聯盟和捷克共和國內政部共同開發的。30使用這一開源解決方案的著名捷克公共機構包括布拉格國立美術館和布爾諾摩拉維亞圖書館。CzechPoint31：自2007年起，捷克政府采用了一套基于開源軟件（OSS）解決方案的捷克公證系統（CzechPoint）。捷克公證系統旨在實現公民和企業能夠訪問并獲取經過認證的

159、文件，并與公共行政部門直接進行溝通，同時公共行政部門可以利用此系統進行數據共享。這些服務在公共行政聯絡點獲取，可通過藍色捷克公證系統徽標識別。捷克公證系統采用Suse Linux操作系統和Tomcat Java應用服務器，同時借助Mrtgm Zabbix和Nagios等開源工具進行系統監測和安全保護。目前，捷克公證系統正在進行更新，更新完成后將更加開放，并更加注重防范供應商鎖定。Vysocina Tourism32：2007年，捷克的一個補貼機構Vysocina Tourism，采用開源軟件建立了一個旅游門戶網站。選擇開源軟件的主要動因在于軟件使用零成本以及其卓越的功能。該項目采用了Apach

160、e2作為網頁服務器，PHP4/5作為服務器端腳本語言，Google API用于集成Google服務，MySQL數據庫服務器用于數據存儲，Mozilla Firefox作為網頁瀏覽器，GIMP 2.6用于圖形處理，以及Open Office作為辦公軟件套件。學校中的開源33：2006年，捷克umperk市的一所小學開始采用GNU/Linux作為開源軟件（OSS）解決方案。學校決定停止購買專有操作系統和辦公應用程序的許可證，將節省下來的資金用于購買電腦，數量從20臺增加到31臺，還用于購買投影儀、中央服務器以及相關用于改善網絡的設施。目前，該校有兩個教室共120臺電腦全部運行在GNU/Linux和

161、其他開源軟件解決方案上。另外一所捷克學校，Boeny Nmcov Gymnasium，早在1994年就開始使用GNU/Linux。34Grygov35：自2006年以來，格里戈夫（Grygov）地區的行政應用程序、免費公共互聯網以及用于向1,400名居民及時更新本地問題的SMS信息系統大多采用了開源軟件（OSS）解決方案。在經費有限的條件下，從財政角度來看，使用開源軟件的潛力十分廣闊。此外，該軟件是開源的這一事實意味著它是持續更新的，這意味著用戶遇到IT問題的可能性較低。24 https:/cityvizor.cz/landing25 https:/ 26 https:/www.root.cz

162、/zpravicky/rozhlas-prevadi-weby-na-open-source/27 https:/ 28 https:/www.europeandataportal.eu/sites/default/files/use_case_czech_republic_-_supervizor.pdf 29 https:/joinup.ec.europa.eu/collection/open-source-observatory-osor/news/czech-public-administrations 30 http:/www.spisovasluzbaonline.cz/spiso

163、va-sluzba 31 https:/www.czechpoint.cz/public/verejnost/sluzby-pro-verejnost/32 http:/m.kr-vysocina.cz/assets/File.ashx?id_org=450008&id_dokumenty=403866533 https:/www.linuxexpres.cz/business/linux-a-open-source-resi-potreby-zakladni-skoly-v-sumperku34 https:/www.linuxexpres.cz/business/gymnazium-boz

164、eny-nemcove-pouziva-open-source-technologie35 https:/www.linuxexpres.cz/business/grygov-diky-open-source-vycniva-nad-okolim-obcane-profituji 全球開源態勢洞察第十期40CONTENTS目錄第九期02 行業發展03 前沿技術04 開源安全Servo項目計劃遷移到Layout 2020Reddit將向使用其API訓練模型的公司收費Stability AI開源其語言模型StableLMTetrate推出針對Amazon EKS設計的服務網格解決方案TSEEsse

165、ntial Kubernetes Gauges開源Helm完成模糊測試安全審計基于Kubernetes 1.24的第三方安全審計結果發布Cilium發布v1.14.0-snapshot.1岸田與OpenAI公司CEO就ChatGPT交換意見ChatGPT每日運營成本超70萬美元Keycloak正式成為云原生計算基金會孵化項目自由軟件基金會批評Google移除對JPEG-XL支持的決定4242青云企業云平臺v6.1版本正式發布服務網格項目Linkerd v2.13.0發布D2iQ推出專為政府部門設計的Kubernetes平臺DKP Gov備份容災工具Velero v1.11.0發布Kuasar項

166、目正式開源服務網格項目Kuma v2.2.0發布Envoy v1.26.0發布容器鏡像倉庫Harbor v2.8.0發布 容器漏洞掃描工具Trivy v0.39.0發布分布式云原生平臺Kurator v0.3.0發布阿里云服務網格ASM2023年3月產品動態43434343444444444545Google Chrome發布緊急更新修復正被利用的0day漏洞JCRE中的內存損壞：無法修復的HSM可能會吞噬您的私鑰464646474747474848484849495051525401 國際開源基金會06 開源報告OSPO的商業價值 探究組織創建、維護和發展開源辦公室（OSPO）的動機05 開

167、源法律速覽最高院發布2022年知識產權典型案例，涉及對源代碼技術秘密侵權的認定域外司法：德國地區法院判決著佐權條款的效力程度域外立法：歐盟擬制定聊天控制法案，開源操作系統可能被“誤傷”Keycloak是一種身份和訪問管理（Identity and Access Management，IAM）解決方案，為應用程序和API提供集中式身份驗證和授權。它提供了完整的、隨時可運行的IAM服務，可以在單個輕量級容器鏡像中輕松部署和擴展。Keycloak可以用于單點登錄，用于Kubernetes部署的基礎架構和面向最終用戶的應用程序，并通過令牌來確保服務之間的API調用。Keycloak由Bill Burk

168、e和Stian Thorgersen于2014年創建。該項目已經在生產環境中被組織機構使用超過八年，其中包括Accenture、CERN、Cisco、Ohio超級計算中心、日立、Okta、Quest等許多組織。該項目的興趣增長非常迅速，在2022年11月訪問keycloak.org的月訪問量超過150,000人次，其GitHub倉庫的star數目最近超過15,000。4月11日，CNCF技術監督委員會一致投票決定Keycloak正式成為云原生計算基金會（CNCF）孵化項目。Google自二月份從Chrome中移除對JPEG-XL圖像格式的支持，轉而使用自己的專利格式AVIF。Google工程師

169、給出的理由是整個生態系統沒有足夠的興趣來繼續實驗JPEG-XL，相比現有的格式，新格式沒有帶來足夠的增量收益，通過移除相關代碼可以減輕維護負擔并專注于改進現有格式。自由軟件基金會（FSF）發表文章，公開批評Google。因為Chrome/Chrom ium占據了近九成市場份額，Google Chrome是Web標準事實上的仲裁者。它停止支持JPEG-XL的決定突出其對Web平臺的控制。對整個Web生態系統而言，Google擁有壓倒性的力量，而普通用戶則是微不足道的，FSF呼吁用戶團結起來支持自由的瀏覽器。全球開源態勢洞察第九期42Keycloak正式成為云原生計算基金會孵化項目自由軟件基金會批

170、評Google移除對JPEG-XL支持的決定01國際開源基金會Servo項目計劃遷移到Layout 2020Reddit將向使用其API訓練模型的公司收費Servo是一款開源的高性能瀏覽器引擎，為應用程序和嵌入式使用而設計，用Rust編程語言編寫，為瀏覽器內部帶來了閃電般的性能和內存安全性。2012年，Mozilla啟動Servo項目，致力于創建一個新的開源瀏覽器引擎，該引擎可以利用多核硬件來提高速度、穩定性和響應能力。于2020年11月17日，托管到Linux基金會。2023年4月13日，官方博客表示計劃遷移到Layout 2020引擎。目前，Servo項目有兩個獨立的布局引擎Layout

171、2013和Layout 2020，開發時間分別始于2013年和2020年，Layout 2020旨在修復Layout 2013的多個不足之處，開發者表示他們認為Layout 2020是Servo未來發展的最佳布局引擎。Stability AI開源其語言模型StableLM2023年4月20日，Stability AI宣布開源其正在開發中的語言模型StableLM。目前，該模型的Alpha版有30億和70億參數兩個版本，后續將發布150億和650億參數的版本。Stability AI表示開發者可將其模型用于商業使用或研究目的，但須遵守CC BY-SA-4.0許可證的條款。同時，Stability

172、 AI還發布了一套經過教學微調的研究模型，這些微調模型僅供研究使用，并在非商業CC BY-NC-SA 4.0許可證下發布，符合斯坦福大學的Alpaca許可2023年4月18日，Reddit宣布將向使用其API訓練模型的公司收費。OpenAI 的ChatGPT和Google的Bard都將Reddit作為其訓練語料的來源。Reddit稱自己為社交新聞聚合器。數據調查，Reddit每月有超過4.3億活躍用戶，頁面瀏覽量超300億，平均訪問持續大約10分鐘，用戶每次訪問超過7個頁面，Reddit聯合創始人兼CEO Steve Huff-man稱該平臺的語料庫非常有價值。近日，Reddit修改了其API

173、訪問政策，它的API對開發機器人程序等工具的獨立開發者，以及學術和非盈利項目的研究員仍然是免費的，但對通過API使用其語料庫訓練AI則將要開始收費，具體金額將在未來幾周公布。同時，免費API的訪問也將限制速率。Tetrate推出針對Amazon EKS設計的服務網格解決方案TSETSE是一款針對Amazon EKS的服務連接、安全和彈性自動化解決方案，基于Istio和Envoy等開源服務網格組件構建，并針對Amazon EKS對TSE進行了簡化安裝、配置和操作的優化。TSE提供了Istio和Envoy之上的服務網格自動化。處理在Amazon EKS上安裝和配置開源組件，與AWS服務集成，并為平

174、臺運營商提供管理控制臺，以快速配置服務網格以實現安全、彈性和可觀察性。02行業發展全球開源態勢洞察第九期43基于Kubernetes 1.24的第三方安全審計結果發布Cilium發布v1.14.0-snapshot.1Essential Kubernetes Gauges開源Essential Kubernetes Gauges（EKG）提供了一組標準化的預制SLO，用于測量Kuber-netes集群的可靠性?？梢詫⑦@些SLO視為一個檢查引擎指示燈，當你的EKS集群行為異常時，它可以提示你，并記錄集群何時按預期運行，何時不按預期運行。SLO允許你為集群可靠性設置可調整的目標，EKG包括衡量集群

175、多個方面的SLO：控制平面運行狀況；集群運行狀況；工作負荷運行狀況；資源效率。已提議將成本效益計量作為未來的改進措施，并正在考慮之中。Helm完成模糊測試安全審計Helm被描述為Kubernetes包管理器。有助于簡化查找、共享和使用為 Kubernetes構建的軟件。Helm最初是Helm Classic，即2015年開始的Deis項目，并在首屆KubeCon上推出。在2016年1月，該項目與一個名為Kubernetes Deployment Man-ager的GCS工具合并，并將項目移至Kuber-netes下。2018年6月，從Kubernetes子項目晉升為正式的CNCF項目。2020

176、年4月，作為CNCF項目畢業。本次審計共編寫38個模糊器，測試范圍覆蓋chart處理、版本存儲和倉庫等關鍵部分。共計發現9個漏洞（至今已修復8個），其中包括，4個空指針引用問題，4個內存不足問題，1個棧溢出問題。2018年，云原生計算基金會（CNCF）開始為其項目進行第三方安全審計，目的是改善開源生態系統的整體安全實踐。從那時起，Argo、Backstage、CoreDNS、CRI-O、Envoy、etcd、Flux、KubeEdge、Linkerd、Pro-metheus、SPIFFE/SPIRE和其他CNCF項目都經過了安全審計。近日，基于Kubernetes 1.24的第三方安全審計結果

177、發布，本次審計發現以下問題：在限制用戶或網絡權限方面存在問題，可能導致管理員混淆特定組件的可用權限；在組件間身份驗證方面存在問題，惡意用戶能夠獲取集群管理員權限；在日志和審計方面存在問題，攻擊者可以在控制集群后利用這些缺陷來進行潛在活動；在用戶輸入過濾方面存在問題，允許通過修改etcd數據存儲的請求來繞過身份驗證。Cilium是一個開源軟件，用于透明地提供和保護使用Kubernetes、Docker和Mesos等Linux容器管理平臺部署的應用程序服務之間的網絡和API連接。本次發布的snapshot.1版本是Cilium 1.14.0版本的早期預覽版本，具有以下主要特性：改進的VPN功能：C

178、ilium VPN功能得到了改進，現在支持更靈活的VPN 配置和更好的性能；支持Docker容器網絡：Cilium支持Docker容器網絡，允許用戶以更輕松的方式構建和管理Docker容器網絡；改進的CLI工具：Cilium CLI工具得到了改進，現在支持更好的命令行交互和更好的錯誤處理。同時，Cilium還實現了一些其他改進，包括更好的網絡診斷、改進的日志記錄和增強的安全性。全球開源態勢洞察第九期44全球開源態勢洞察第九期45岸田與OpenAI公司CEO就ChatGPT交換意見據共同社報道，日本首相岸田文雄10日在官邸會 見 了 開 發 人 工 智 能（A I）聊 天 軟 件“ChatGPT

179、”的美國新興企業OpenAI首席執行官（CEO）阿爾特曼。ChatGPT因為能像人一樣流暢對話而引發熱議。阿爾特曼向媒體透露，岸田聽取了有關ChatGPT優缺點的介紹，對其很感興趣。ChatGPT的用戶正在急劇增加，由于擔憂個人隱私等受到侵犯，各國紛紛出臺限制措施。阿爾特曼還就如何應對ChatGPT的風險向岸田表達了自己的想法。他還對媒體表示，考慮在日本開設辦事處。官房長官松野博一在記者會上就ChatGPT表示：“如果能消除處理機密信息及信息泄露的擔憂，為了減輕國家公務員的業務負擔，將就加以利用的可能性進行探討?！盋hatGPT每日運營成本超70萬美元半導體研究公司SemiAnalysis的首

180、席分析師Dylan Patel，在接受The Information采訪時表示，估計基于GPT-3的AI聊天機器人ChatGPT的每日運營成本超過70萬美元，OpenAI的最新模型GPT-4的運營成本會更高。訓練ChatGPT之類的大語言模型可能需要花費數千萬美元，但運營費用或推理成本將會遠遠超過訓練成本。其中，一家利用AI開發生成式文字游戲的創業公司Latitude透露，運行OpenAI的語言模型加上支付AWS的服務費用，使得該公司在2021年每月花費20萬美元。全球開源態勢洞察第九期HTML近日，青云企業云正式發布其最新版本v6.1，新版本的特性如下：新增巡檢與監控功能；新增企業空間管理功

181、能，涵蓋組織管理、用戶管理、配額管理、資源管理、流程審批等空間管理模塊；新增對第三方存儲的支持；提供VMware vSphere納管工具；QKE容器引擎支持裸金屬服務器作為集群Worker。近日，服務網格項目Linkerd正式發布v2.13.0，新版本的特性如下：引入客戶端策略，包括動態路由和熔斷器模式；支持調試基于HTTPRoute的策略；增加新的init容器network-validator，確保本地iptables規則按預期工作。全球開源態勢洞察第九期46青云企業云平臺v6.1版本正式發布服務網格項目Linkerd v2.13.0發布近日，D2iQ正式推出其專為政府部門設計的Kubern

182、etes平臺DKP Gov，DKP Gov基于D2iQ Kubernetes平臺（DKP）創建，旨在滿足政府、軍事和民用機構對創新技術的需求。DKP Gov為公共部門帶來的主要特點和好處包括：1.單集群或多集群管理、混合多云管理、多租戶架構、vSphere、政府云（GovCloud）和支持硬件裸機（Bare Metal）；2.混合云生命周期成本管理；3.對物理和邏輯隔離集群的全面支持；4.戰術邊緣武器系統支持（DDIL）；5.集中式多云、多集群隊列管理；6.持續交付（CD）；7.IL 2-6+（JWICS)、FENCES、C2S、SC2S、C1D、SIPR/NIPR；8.政府平臺上的ATO、c

183、ATO；9.FIPS 140-2認證；10.確認的美國支持（24/7/365支持，符合ITAR和數據完整性標準）；11.符合CNCF標準的純上游Kubernetes；12.生產就緒（Day-2）平臺應用程序；13.在大規模環境下啟用混合環境的微服務架構；14.統一亞馬遜網絡服務、微軟Azure、谷歌云平臺支持。D2iQ推出專為政府部門設計的Kubernetes平臺DKP Gov 03前沿技術全球開源態勢洞察第九期47備份容災工具Velero v1.11.0發布Velero是一個支持Kubernetes集群容災、數據遷移和數據保護的解決方案，通過按需或按計劃將Kubernetes集群資源和持久卷

184、備份到外部支持的存儲后端。從而實現對Kuberne-tes的備份、恢復、遷移等功能。近日，備份容災工具Velero v1.11.0正式發布，新版本特性更新如下：增加插件進度監控功能；支持篩選過濾在備份時要跳過的卷；新增集群范圍和命名空間范圍的資源篩選器；添加用于設置Velero服務器與k8s API服務器超時的連接的參數；支持備份描述命令的JSON格式輸出；使用controller-runtime重構控制器；CSI插件通過檢查restorePVs參數的設置來決定是否從快照中恢復數據。Kuasar項目正式開源Kuasar在保留傳統容器運行時功能的基礎上，通過全面Rust化以及優化管理模型和框架等

185、手段，進一步降低管理開銷、簡化調用鏈路，擴展對業界主流沙箱技術的支持。此外，通過支持多安全沙箱共節點部署，Kuasar可以充分利用節點資源，實現降本增效。服務網格項目Kuma v2.2.0發布由Kong打造的Kuma是一套強大的Service Mesh解決方案。Kuma屬于基于Envoy構建的平臺中立型控制平面。Kuma提供多種網絡功能，用以保護、路由并增強服務之間的連接性。除虛擬機之外，Kuma還支持Kubernetes。目前，Kuma項目由CNCF托管。近日，服務網格項目Kuma v2.2.0正式發布，新版本特性更新如下：支持OpenTelemetry；支持使用JSONPatch來定義Me

186、shProxy-Patch策略；支持重試指令和優先級；支持將底層Envoy版本升級到v1.25;新增策略以用于更精細地控制服務間的負載均衡；支持在Kubernetes集群中部署通用模式的全局控制平面；支持為離線令牌簽名和驗證提供公鑰。Envoy v1.26.0發布Envoy是一個高性能云原生代理，最大優點是支持配置動態生成、熱加載。為了追求性能使用C+語言開發。最開始是由Lyft公司內部使用，隨后捐贈給CNCF，并成為最早一批CNCF孵化的項目。近日，Envoy v1.26.0正式發布，更新特性如下：支持對通用代理的跟蹤；支持在http過濾器鏈的任何位置修改請求和響應頭信息；支持在動態元數據中

187、設置JWT認證失敗狀態代碼和消息；增加過濾器狀態輸入功能；支持在TLS握手和過濾器匹配之前啟用速率限制；支持上游訪問日志中的路由信息；支持動態地禁用TCP隧道；增加負載均衡器Maglev擴展和環形哈希擴展。全球開源態勢洞察第九期48容器鏡像倉庫Harbor v2.8.0發布Harbor是由VMware公司中國團隊開發的一個企業級Registry項目，可用于搭建企業內部的容器鏡像倉庫。Harbor在Docker Registry的基礎上增加了企業用戶所需的權限控制、安全漏洞掃描、日志審核和遠程復制等重要功能，還提供了圖形管理界面及面向國內用戶的中文支持，開源后便迅速在業內流行開來，成為中國云原生

188、用戶的主流容器鏡像倉庫。2018年7月，Harbor正式進入CNCF，于2020年6月順利畢業，成為了CNCF首個來自中國的開源項目。版本特性更新如下：支持OCI distribution spec v1.1.0-rc1；支持使用CloudEvents格式發送Webhook負載；支持用戶跳過任務掃描器自動更新拉取時間的選項；移除helm chart倉庫服務器ChartMuse-um。容器漏洞掃描工具Trivy v0.39.0發布近日，容器漏洞掃描工具Trivy正式發布v0.39.0，新版本的特性如下：支持依賴關系圖；下載OCI工件支持授權功能；支持在OCI referrer中發現SBOM；支持

189、k8s并行資源掃描；添加注冊表選項；增加并發處理的pipeline；增加節點容忍選項；支持公共TLS證書的Redis。分布式云原生平臺Kurator v0.3.0發布近日，分布式云原生平臺Kurator正式發布v0.3.0，新版本的特性如下：在Cluster API的基礎上添加了一個新的CRD集群，使用此功能，用戶只需聲明一個API對象即可管理kubernetes集群的生命周期；增加了對kubernetes集群升級的支持；增加了對kubernetes集群擴展和縮容的支持；增加了在本地設置高可用kubernetes集群的支持。阿里云服務網格ASM2023年3月產品動態阿里云服務網格ASM2023

190、年3月產品更新內容：網關支持對接WAF；支持配置Ingress資源；支持Knative服務的管理；網格拓撲支持OIDC方式登錄；Sidecar代理支持超賣模式；新增出口流量策略；支持配置全局默認的HTTP請求重試策略。全球開源態勢洞察第九期4904開源安全Google Chrome發布緊急更新修復正被利用的0day漏洞Google Chrome發布緊急更新修復了一個正被利用的0day漏洞。改漏洞編號為CVE-2023-2033，是Google旗下Threat Analysis Group（TAG）的安全研究員 Cl-ment Lecigne報告的，屬于V8 JavaScript引擎中的高危類型

191、混淆漏洞。類型混淆允許錯誤類型的數據訪問內存，允許對內存非法讀寫。Google稱攻擊者可通過創建HTML頁面去利用漏洞，該漏洞被歸類為高危級。JCRE中的內存損壞：無法修復的HSM可能會吞噬您的私鑰密鑰一直以來都是安全保護的核心目標。由于密鑰槽的限制，大多數加密貨幣硬件錢包使用MCU芯片（如STM32F205RE）來實現，以便能使用secure element存儲和支持更廣泛的加密貨幣種類。然而，那些對保護私鑰有更高安全要求的人來說，通常會對Java Card感興趣。因為Java Card本質上是一種具有加密算法硬件實現的智能卡，私鑰或對稱密鑰無法從中提取。用戶只能從Java Card中獲得加

192、密操作的結果。另外一點是，已經使用通信參數初始化但尚未加載應用程序（applet）的Java Card是可由用戶編程的，而且有一些以Java Card應用程序（applet）形式實現的各種功能的自由開源軟件項目。即使Java Card作為HSM（硬件安全模塊）的安全性高于常見加密貨幣硬件錢包的實現，但依然有安全風險，HardenedVault介紹了兩個典型的漏洞，這些漏洞位于更底層的JCRE（Java Card運行時環境），雖然不會導致私鑰被泄露，但會導致應用程序陷入無法恢復的錯誤。一旦出現這種問題，卡片中的私鑰就可能會丟失。作為HSM的智能卡實現比基于MCU的解決方案（幾乎所有硬件錢包都采用

193、了這種方案）更加安全，但仍存在某些安全風險，即使獲得EAL 5+認證的硬件錢包也有被攻擊的記錄。因此，在系統安全方面，我們仍需要堅持縱深防御的策略。另一方面，透明度很重要，開源是確保HSM的整個運行環境能夠得到適當審計的唯一途徑。對于 Java Card，我們希望未來能夠擁有一個免費、開源且可更新的JCRE?；蛘吣撤N功能上類似于Java Card但可以使用C語言編程的HSM，甚至可以直接使用通用計算（如可信計算、運行時保護、攻擊面縮小等）實現。全球開源態勢洞察第九期50最高院發布2022年知識產權典型案例1，涉及對源代碼技術秘密侵權的認定花兒綻放公司系“有客多”小程序源代碼技術秘密的權利人。該

194、公司主張盤興公司與其簽訂花兒綻放源代碼使用許可合同并依約獲取涉案軟件源代碼后，違反合同約定保密義務，在第三方網站公開披露該源代碼，故向廣東省深圳市中級人民法院提起訴訟，請求判令盤興公司及其唯一股東盤石公司連帶賠償經濟損失5000余萬元并消除影響。一審法院判決盤興公司、盤石公司連帶賠償500萬元?；▋壕`放公司、盤興公司、盤石公司均不服，提起上訴。最高人民法院二審認為，涉案軟件源代碼構成技術秘密，盤興公司公開披露涉案軟件源代碼的行為構成對技術秘密的侵害；花兒綻放公司單方委托鑒定機構就涉案技術秘密商業價值出具的鑒定意見中，多項數據存疑，不應予以采信；綜合考慮涉案技術秘密的研究開發成本、實施該項技術秘

195、密的收益、可得利益、可保持競爭優勢的時間等因素，一審法院酌定的損害賠償數額并無明顯不當。遂判決駁回上訴，維持原判。企業通過與源代碼權利人簽署源代碼使用許可合同獲得權利人交付的非公開源代碼后，應當依約使用，未經權利人許可公開披露該源代碼的行為，除構成違約外，還可能構成對源代碼的技術秘密的侵權，從而面臨巨額賠償。向公開網站/開源社區發布源代碼的貢獻者（不論個人或法人）應當注意其提交/公開行為是否受到有關前置保密義務限制。最高院在判斷代碼“是否為公眾知悉”時認為，代碼中涉及程序的組織結構、調用關系、執行邏輯等，應將一個源代碼文件作為一個整體對待，不應將一個完整代碼進行部分切分而判斷是否“為公眾所知悉

196、”，故基于此對被告第040號鑒定意見書中關于4個文件中的部分代碼已被公開的鑒定結論不予采信。對于被告關于軟件功能相同推論出代碼相同的主張，最高院認為軟件源代碼涉及到特定的變量名、類名及方法的定義、程序的組織結構、調用關系、執行邏輯等，還包括在特定位置對方法、語句和變量的注釋文字等，軟件源代碼也體現了軟件開發人員的代碼風格、特定字詞的獨特表達，故即使為開發相同功能的軟件，不同開發者可以設計不同的源代碼進行表達，盤興公司、盤石公司有關軟件功能相同推論出代碼相同的主張沒有事實依據，不予支持。在認定侵權責任應當如何承擔時，最高院認為原告委托評估機構所作的評估結論多項數據難以令人信服，對原告花兒綻放公司

197、主張以價值評估鑒定認定的商業價值作為賠償依據的主張不予支持。鑒定機構經評估作出的商業價值鑒定僅是確定知識產權商業價值的一種方式。在本案經審查不宜直接依據價值評估鑒定意見認定涉案技術秘密商業價值的情況下，依據本案現有證據情況，可以綜合考慮涉案技術秘密的研究開發成本、實施該項技術秘密的收益、可得利益、可保持競爭優勢的時間等因素酌情確定涉案技術秘密的商業價值，進而作為確定賠償數額的依據之一。05 開源法律速覽撰稿：張蘇兵 郭雪雯審校：王荷舒基本案情判決要點案件解讀全球開源態勢洞察第九期51域外司法：德國地區法院判決著佐權條款的效力程度德國對開源軟件/自由軟件有持續的司法實踐2。十余年前，柏林地區法院

198、曾在AVM v.Cybits一案中3判決，違反GPL將自動導致權利人喪失權利，因為GPL傳染性將迫使曾經的專有軟件被視為開源軟件4。該法院判令，AVM有義務使其集成了預安裝GPL軟件的固件受GPL約束，且AVM因其GPL不合規而無法基于著作權侵權對WLAN路由器的競爭供應商Cybits提出禁令救濟5。2021年1月，德國卡爾斯魯厄高等地區法院對GPLv2.0的著佐權條款的效力作出了判決（OLG Karlsruhe,Urteil vom 27.01.2021-6 U 60/20）6，該法院消除了這種自動性。根據該法院的判決，開發者對著佐權條款的違反可導致其使用、修改開源軟件的權利喪失，但其侵權行

199、為并不能使得第三方有權以自己的名義披露其開源軟件修改版的源代碼。案聚焦在：1）以創建主題方式對WordPress進行修改，是否構成GPLv2條款下的“衍生作品”？2）如果著佐權條款適用，第三方主體是否有權利發布該主題或者該發布是否將構成著作權侵權？針對問題一，基于GPLv2第2條款，所有“基于本程序”（based on the Program)的衍生作品均應在同樣條件下發布（即“著佐權限制”）。上訴法院并未就問題一給出結論，而是就問題二判定構成侵權，主要涉及以下原因：a.開源軟件的使用權是在不違反許可條款的條件下授予的，如違反GPL（如修改者分發時不披露修改代碼）只直接導致其不能使用源程序（德

200、國著作權法案第63c.2款的條件也指向“修改”），但其作為主題專有權的持有者并未就其修改版喪失著作權，因而有權禁止被告利用和披露；且GPL2.0僅在締約方之間具有約束力，即使在締約方故意違反GPL2.0的情況下，第三方也不能強制執行開源義務。b.對于公眾對修改后的程序的使用權的假設，至少缺乏原告或開發者的同意。上訴法院審查了WordPress原始開發者及主題開發者之間可能存在共同作者身份（德國著作權法案第8(1)款，共同創作作品且不可單獨利用其份額構成共同作者，這不排除后續貢獻/修改的權利），在這種情形下，共同作者（指原告）未經其他共同作者同意，無權單獨授予第三方（指被告）發布和利用共同作品的

201、權利。此外，GPL 許可條款中也沒有任何默示同意。因而無論如何，主題源代碼的發布都需要原告的同意。就此，上訴法院駁回了GPL軟件的修改版須自動基于GPL下許可的抗辯8。內容管理系統WordPress軟件在GPLv2.0下許可7，原告基于WordPress發布了預設計的“主題”（即Theme）并委托另一家機構設計新主題。該機構將使用主題的專有權利轉讓給了原告后，原告將主題置于MIT許可證的約束下，并通過商業許可協議在線提供付費版主題。被告威脅原告，由于該主題系WordPress的衍生作品，被告將基于GPLv2.0在GitHub上發布該主題的源代碼。為免源代碼披露，原告向初審法院申請了臨時禁令。臨

202、時禁令獲批后，雙方在卡爾斯魯厄高等地區法院進行上訴。有評論稱9，卡爾斯魯厄高等地區法院的判決極具啟發性，并可能會給軟件GPL有效性的法律評估帶來根本性變化。也有評論稱10，該判決只對GPLv2文本進行了機械解釋。因為根據該法院的說法，這種GPL傳染性發布必須是積極保證的（GPL文本中要求的“您必須導致”），而非自動導致的。這樣一來，開源的想法則很快會消亡。案件背景案情回顧案情焦點相關解讀全球開源態勢洞察第九期52域外立法：歐盟擬制定聊天控制法案，開源操作系統可能被“誤傷”自2022年5月份以來，歐盟委員會正在制定并審議一項名為Commission proposal on manda-tory

203、messaging and chat control11的法案（以下簡稱“聊天控制法案”），委員會本意是希望責成所有電子郵件、聊天和信息服務的提供者以完全自動化的方式搜索可疑信息，檢測“兒童色情”相關的內容，以通過預防更好地保護兒童。隨后該法案遭到廣泛反對，除了對該法案可能侵犯公民自由的質疑外，以瑞典VPN服務提供商Mullvad為代表的多家廠商、組織認為，擬議的法案不僅將對所有私人通信進行極權控制，而且還將禁止Linux等開源操作系統。瑞典VPN服務提供商Mullvad認為，擬議的法案不僅將對所有私人通信進行極權控制，而且還將禁止Linux等開源操作系統13，如果該法案生效，幾乎所有開源操作

204、系統都是“非法”的。理由是該法案第6條定義了軟件應用商店的義務，軟件應用商店的提供者應該：（a）在可能的情況下，與軟件應用程序提供商一起“采取合理措施”，評估通過其軟件應用程序提供的每項服務是否存在用于招攬兒童的風險；（b）采取合理措施，防止兒童用戶訪問他們已確定有重大風險用相關服務招攬兒童的軟件應用程序；（c）采取必要的年齡驗證和年齡評估措施，以可靠地識別其服務中的兒童用戶，使他們能夠采?。╞）點所述的措施。同時該法案的第2條明確了“軟件應用商店”的定義：一種專注于將軟件應用程序作為中介產品或服務的在線中介服務。對于該定義，Mullvad認為該定義幾乎涵蓋了自20世紀90年代以來的所有開源操

205、作系統，因為不論是應用分發還是安全更新開源操作系統均有涉及，并舉例當前主流的Debian就擁有超過17萬個軟件包，在這種理解下，開源操作系統也屬于“軟件應用商店”。結合該法案第6條，由于開源操作系統和軟件包的作者眾多，甚至分布在全球，因此各方很難一起“采取合理措施”，另外在代碼開源的前提下，也難以追蹤下載用戶的信息以進行分析控制。Mullvad認為一旦該法案生效，包括主流 Linux 發行版在內的幾乎所有開源操作系統都將成為“非法”的。Chrisoncrypto14，reddit15，No Bullshit Bitcoin16等外網平臺也表達了同樣的憂慮。2020年7月，歐盟委員會提出允許對聊

206、天進行控制的“臨時”立法。2021年7月，歐洲議會通過了允許聊天控制的立法，允許聊天、消息和電子郵件供應商自愿進行聊天控制，此后美國服務提供商Gmail和O部署了這種監控技術。2022年5月，歐盟委員會就聊天控制提出了第二個立法提案Commission proposal on man-datory messaging and chat control，即當前聊天控制法案，該法案強制要求所有聊天、消息和電子郵件服務提供商在沒有任何懷疑的情況下部署這種大規模監控技術。至2023年3月底，公民自由委員會（LIBE Committee）及安理會執法工作組（Councils Law Enforcemen

207、t Working Party）多次就該法案進行評估和討論，審議工作預計在2023年底前完成。12據悉，聊天控制法案中“軟件應用商店”的定義援引了歐盟數字市場法案Digital Markets Act17第2條第（14）款：“software application stores means a system software that controls the basic functions of the hardware or software and enables software applications to run on it”.同時，第2條第（10）款亦對“操作系統”進行以下定

208、義：“operating system means a type of online intermediation services,which is focused on software applications as the inter-mediated product or service”.截至發稿前，聊天控制法案尚在審議中，后續其是否將對此進行補充定義或概念厘清，還有待觀望。立法進程對開源可能產生的影響法案條款全球開源態勢洞察第九期53引用文獻：1https:/ 4https:/fsfe.org/news/2011/news-20111201-02.en.html5https:/f

209、sfe.org/news/2011/news-20111201-02.en.html6https:/www.junit.de/2020/wp-content/uploads/OLG-Karlsruhe-Urteil-2.pdf7https:/developer.wordpress.org/themes/getting-started/wordpress-licensing-the-gpl/8https:/cms- 9https:/ Chat Control Law Will Ban Open Source OS Linux and End Privacy15https:/ 全球開源態勢洞察第九

210、期54OSPO的商業價值探究組織創建、維護和發展開源辦公室（OSPO）的動機前言06開源報告為什么從商業角度來看，創建、維護和發展開源辦公室（OSPO）具有價值？這是在TODO Group最新報告中討論的問題。該研究報告探討了OSPO的不同價值主張，并提供建議和見解來幫助利益相關者、監管機構和組織內的其他員工來理解、衡量其價值。該報告匯集了來自歐洲、亞洲和北美的OSPO及開源領袖在各行各業的觀點，包括兩所公立大學。涵蓋了幾個關鍵領域，包括建立OSPO的動機、OSPO面臨的主要挑戰、OSPO的不同角色以及OSPO的可永續性及項目健康的重要性等。開源軟件持續地改變著各行業創建和應用軟件的方式。在許

211、多領域，由大量甚至完全由開源軟件組件構建的系統正逐步替代專有和封閉的軟件技術棧，這些系統通過開放的API進行通信。通過開放協作和共同開發，開源軟件已經成為推動創新、促進技術普及和公開傳播知識的基本途徑。盡管開源軟件的顯著優勢無可爭議，但對于組織而言，能在實踐中充分利用這些優勢并不簡單。隨著企業組織內部對于開源軟件的應用不斷擴大和完善，許多組織意識到通過建立一種有條理的方法來管理開源軟件的發展是非常有必要的。起初，這種需求主要來自于許可證合規方面，但涉及范圍很快超越了單純的合規問題，最終發展到業務戰略層面。本報告匯編了來自各種公司和大學的開源辦公室（OSPO）中開源倡導者的調查結果。為我們提供了

212、一個廣泛洞察的視角，以了解組建OSPO背后的動機，以及OSPO為其所在組織帶來的具體商業價值。調查結果發現，與開源軟件類似，OSPO具有各種不同的形態及規模。然而，盡管OSPO的具體實施路徑各不相同，但調查顯示，在各個組織中，OSPO的關鍵商業價值都匯聚于相同的基本目標：為組織建立使用開源軟件的工作框架，確保開源軟件能夠充分利用并與組織的業務目標保持緊密一致。因此，OSPO的職責包括規范流程、在組織內培養開源文化，以及制定和執行長期的開源戰略。該報告的撰寫者立足于開源軟件的核心原則開放協作和知識共享，旨在提供有幫助的信息。報告的目標受眾包括組織中正在組建OSPO的開源擁護者，以及現有OSPO的

213、開源領導者，幫助他們明確定義，衡量和傳達OSPO的商業價值。Georg Kunz愛立信 開源經理翻譯：趙海玲 梁婷婷 王銘典審校：趙海玲全球開源態勢洞察第九期55隨著開源軟件在技術領域的廣泛應用，更多的組織認識到與開源項目及其開源社區合作的優勢。為充分發揮開源的戰略價值，直接投資參與項目社區不再是錦上添花的選擇，而是一個必要條件。曾經，OSPO主要出現在大型技術公司，如今，OSPO已在眾多行業中蓬勃發展，成為組織啟動、規范和發展開源的核心。在過去的五年，我們見證了OSPO在汽車、娛樂、金融服務、制造業以及學術界和政府部門等領域的蓬勃發展。設立OSPO并分配專門的資源來制定和執行公司的開源戰略，

214、為所有參與者能產出最佳成果提供了一個框架。這使得組織對其業務所依賴的軟件系統有了更加清晰的認識，核心軟件項目的維護者能夠更直接地與他們的用戶組織建立聯系。同時，外部尋求合作的伙伴能夠找到一個友好且容易理解的切入點與企業展開商談。在這份報告中，您將了解來自不同行業的OSPO領導者的經驗，他們分享企業使用開源、貢獻開源和參與開源社區的戰略及其過程。您還會發現，每個OSPO的目標、成功的衡量標準和參與方法，會根據創建OSPO的動機、組織在開源實踐方面的成熟程度以及OSPO的內部倡導者如何制定其發展戰略而有所差異。盡管OSPO承擔著許多相似的職責，但沒有哪兩個OSPO是完全一樣的。在我們積累的30多年

215、的開源經驗中，我們發現OSPO共有的特點是，它們重視促進協作和共同創造，無論是與內部不同的軟件團隊合作，還是與上游社區的競爭對手合作。OSPO是少數具有明確的雙向倡導任務的團隊，既在組織內部，確立參與開源項目的規范，倡導開源最佳實踐；也在組織外部，保證公司在特定社區的舉措既實現商業目標，又推動所有參與者的技術發展。正是因為OSPO的任務具有靈活性和雙向性，這些團隊可以成為企業技術戰略的關鍵支撐。OSPO有充分的自由去探索和支持業務創新，確定參與流程，以便更好地滿足各方參與者的目標，包括從工程人才、業務高管到開源項目社區本身。OSPO成為各利益相關者之間的橋梁和聯系紐帶，巧妙地確保所有方面的利益

216、都被考慮，并協商所有協作和共創的參與者以爭取到最佳成果。這種面向內部和外部的雙向服務使命是OSPO真正的魅力所在。在這樣的職責下，成功的OSPO將扮演其組織在更廣泛世界中的外交官，負責向社區表達業務需求，同時將社區的需求反饋給業務組織。OSPO作為行業最佳實踐的守護者、協作與共創中心，在推動公司在不斷變化的市場環境中產生變革等方面具有獨特的作用。本報告將分享來自各行業資深OSPO領導者的意見，針對OSPO的挑戰和機遇提供關鍵的見解，對于長期從事開源領域工作或剛剛開始開源之旅的讀者都具有參考價值。無論是您的組織已經建立了長期成熟的開源戰略，還是只有一名專注于開源軟件許可證合規方面的員工，我們希望

217、您能從本研究中發現OSPO對企業的商業價值。在本報告中，您將了解到各行業開源領袖的研究發現，我們希望您能從中受到啟發并在您的開源之旅中找到方向。同時，我們也歡迎您加入OSPO社區，為開源實踐做出貢獻，共同推動行業發展。Kimberly Craven 紅帽開源辦公室高級主管，首席技術官Leslie Hawthorn 紅帽開源辦公室高級經理全球開源態勢洞察第九期56簡介一個精心設計的OSPO是一個組織開源運營和結構的中心。我們為什么需要了解OSPO如何助力企業實現目標？無論是倡導創建新的OSPO、維護OSPO，還是發展OSPO，最終都必須將OSPO與業務目標聯系起來。無論是在營利性企業還是在非營利

218、性大學中，任何無法對組織有意義、有結果的舉措都不太可能在一開始就獲得批準，如果它們不能為自己的存在提供商業意義，也就無法生存下去?！白鳛橐粋€整體，開源辦公室（OSPO）需要具備靈活性，應始終準備好應對接下來的變化”，來自VMware的開源營銷和戰略總監Suzanne Ambiel說到?！八麄冃枰m應業務，因為他們既服務于企業，也服務于社區。隨著業務的變化和演進，OSPO也需要作出相應的調整，確保OSPO與業務戰略緊密聯系是非常重要的?！北M管OSPO通常（但并非總是）隸屬于首席技術官（CTO）以及許多軟件工程師，但公司如何開源絕不僅限于工程部門。正如這份報告中，我們在采訪OSPO領導者所發現的，

219、多數組織中的OSPO倡導者是企業高管，他們看到了開源帶來的機遇，以及在某些情況下，他們認為公司需要從戰略層面應對的潛在威脅。在進行這項研究時，我們希望能更好地了解開源對公司的戰略意義，以及OSPO如何幫助組織積極面對開源帶來的機遇和挑戰。索尼高級聯盟經理Hiro Fukuchi舉了一個例子：OSPO組織了一場與外部專家的虛擬大會，許多來自日本和美國的高管都參加了這場活動。這項研究的挑戰在于，各組織創建的OSPO確實存在一些共同點，但是每個OSPO是獨特的，它們最初成立的背景故事以及它們促進組織實現目標的方式也是獨一無二的。因此，雖然我們確實可以對為什么OSPO重要，誰傾向于支持它們以及OSPO

220、的商業價值如何發展等問題做出一些概括性的總結，但實際上并沒有兩個組織是完全相同的?！皫滋烨?，我閱讀了Linux基金會發布的一份關于不同開源辦公室（OSPO）結構的報告，”來自F5的開源高級總監Christine Abernathy說到?！拔野l現它們并非千篇一律?！遍_源辦公室（OSPO）結構各具特色，它們所設定的目標以及成立過程中的各種故事充滿了多樣性。我們為什么要關心OSPO如何對企業產生貢獻？個例中存在的共性全球開源態勢洞察第九期57方法論為了編寫這份報告，我們采訪了來自歐洲、亞洲和北美的12位OSPO領導者，他們分布在各行各業，包括兩所公立大學。所有接受采訪的OSPO領導都在TODO Gr

221、oup中積極參與。以下是我們開始時提出的問題：OSPO成立時團隊成員有多少人？現在有多少人？OSPO團隊成員的大致薪資范圍是多少？OSPO團隊成員的背景是什么（例如，工程、法律、市場營銷）？您從事的行業是什么？OSPO在組織中的定位（例如，工程、法律、市場營銷）？誰是OSPO的最初倡導者？倡導者是如何在內部倡導OSPO的？他們認為OSPO的價值是什么？剛開始建立OSPO時，為其設定了哪些成果或關鍵績效指標（KPI）？隨著時間的推移，您對OSPO價值的理解以及您期望從OSPO中獲得的具體成果是如何變化的？在未來五年內，您預計OSPO將獲得預期的商業價值，還是其價值會發生變化？您收集了哪些指標來追

222、蹤這些成果所取得的進展？這些指標隨著時間的推移如何變化？您的OSPO現在致力于實現哪些KPI？您如何評估OSPO的成功？組織概況及其與開源的關系技術公司一個組織與開源的關系以及它從OSPO中獲得的價值，似乎依賴于它所屬的公司類型。那些屬于技術公司的組織在開源方面所面臨的機遇和挑戰與那些銷售家具的公司組織不同。顯而易見，那些技術公司更容易看到開源與其業務之間最直接的關系，而OSPO在管理這種關系方面起著至關重要的作用。Ambiel提到，VMware的一位OSPO倡導者是當時的首席執行官Pat Gelsinger?！罢撬罅χС植⒈硎?，我們需要建立一個OSPO，我們需要采取戰略性地行動?！奔夹g公

223、司需要以戰略方式對待開源問題，這是組建OSPO的核心原因。盡管常有高管的參與，但將OSPO描述為純粹的自上而下的倡議，或是管理層強迫不情愿的工程師團隊推動的倡議是錯誤的。通常，公司內部的開源愛好者會在高管推動開源戰略方法的同時，要求與開源建立更加正式的關系。顯然，創建OSPO是下一步行動，以滿足雙方利益相關者的需求。在與我們交談過的所有公司中，開源都不是新鮮事物。多年來，它們一直在內部使用開源，過去還將內部項目開源。它們越來越意識到，開源開發者是如何成為他們產品采納曲線的一部分。因此，在開源生態系統中擁有良好的聲譽是多么重要。Abernathy表示：“F5的業務在從硬件廠商轉型軟件服務?！薄昂?/p>

224、多做購買決策的人喜歡試用后購買。這些人可能是傾向于開源的軟件開發人員，甚至是希望查看公開源代碼以檢查漏洞的公司和政府?！彼?，在F5的案例中，開源不僅對公司的產品制造方式變得重要，還對市場營銷工作產生影響。OSPO確保F5能夠戰略性地利用開源，并在涉及到開源的情況下做出明智決策。曾在Facebook（現稱Meta）開源辦公室工作的Abernathy簡述了像Facebook公司和像F5這類公司之間存在的開源差異?！霸贔acebook，開源很重要，”她說?！暗皇菑氖杖敕矫鎭砜?，他們并沒有打造一款開源產品所以容易以一種更直接且有意義的方式開始思考開源的投資回報率?！盕5創建OSPO的一個主要觸發因

225、素是在2019年收購開源公司Nginx。這次收購意味著Nginx團隊加入F5，并成為推動成立OSPO的另一個聲音，這也提高了開源戰略的重要性。對于像Aiven這樣的公司，其核心業務與一個或多個開源項目緊密相關，一個正式的、戰略性的開源方法也許更為關鍵，但是如果沒有OSPO，他們仍然缺乏這種方法。來自Aiven的開源工程總監Josep Prat表示，即使考慮到開源的戰略重要性，在產品功能發布需求與回饋開源需求之間總是存在矛盾。當工程師除了其他職責外還需要為開源做出貢獻時，開源貢獻總是會處于次要地位。全球開源態勢洞察第九期58由于這種矛盾，Aiven的高管團隊在早期就決定成立一個專門的OSPO，其

226、唯一的職責就是向開源做出貢獻并管理與開源社區的關系。絕非僅僅是開源公司或是初創公司才會覺得開源具有巨大的戰略重要性。華為在美國的研發部門Futurewei的開源戰略負責人Chris Xie表示，該公司意識到開源帶來的威脅和機會已有二十余年，而OSPO是該公司應對這些威脅和機會的方式之一。在純技術公司之后，有些技術前沿公司希望模仿他們在純技術公司中看到的情況，特別是在軟件開發方面。這些公司的收入來自于硬件或軟件之外的其他業務，他們不認為構建硬件或軟件是他們的業務核心。然而，技術對他們的業務運營至關重要，他們希望被視為一家技術公司，以吸引頂級人才并創造新的收入來源。在這些公司中出現的一個模式是，O

227、SPO以及向開源做出貢獻、發布開源項目，都是為了改變公司形象，同時提高公司更快地交付高質量軟件的能力?！癝potify從一開始就一直在使用和創建開源項目，但并沒有以戰略的方式對待它，也沒有考慮它是如何為公司創造價值的，”Spotify的OSPO負責人Per Ploug說?！皩τ谖覀儊碚f至關重要的是，將開源工作提升到與內部工作相同的水平，這樣我們才能考慮為什么要做這些工作以及它們如何帶來價值，從而確保我們的工程師將時間投入到有影響力的項目中?！痹赟potify的案例中，這種新方法最明顯的應用是Backstage，這是該公司在2020年向CNCF捐贈的成功開源項目的基礎上，投入建設的商業產品的大膽

228、嘗試。Spotify打算使他們在Backstage的投資更具有自我持續性，并確保他們長期參與開源社區。目前，他們有超過40人在Backstage項目上工作。我們為Backstage項目制定了雄心勃勃的計劃，其中包括一項既能為這些計劃籌集資金，又能為所有人帶來更好終端產品的商業策略，目標是將開源從成本中心轉變為利潤中心?！癢ayfair是一家科技公司，需要許多技術專家在眾多領域進行持續性的工作來支持我們的運營和發展，”Wayfair的全球OSPO負責人Natali Vlatko說到?！霸谂c我們前首席技術官的交談中，我強調，對我們來說，真正實現這種心態的最簡單方法是開發技術產品。做到這一點的萬全之

229、策是構建開源項目并投資回饋開源生態系統?！彪m然這些公司確實以變得更像科技公司為目標，但這只是達到目的的手段。在某些情況下，目標是明確的，通常是能夠聘請到最優秀的人才以及提高內部工程工作的質量。然而，即使這些公司在開始時就認為開源很重要，但卻無法準確地闡述開源為什么或者如何能夠促進工程或商業目標。成立OSPO有助于他們明確開源如何使公司受益，并確定如何從開源中獲得更多價值?！八麄冊浻袔讉€開源項目，但都沒有取得任何成果，”Indeed的開源總監Duane OBrien談到在他加入公司之前的情況?！皼]有人認為這些項目是巨大的成功，我認為他們并沒有對成功有一個明確的認識?！彼f。對于大學來說，開源的

230、價值以及與之相關的開源辦公室（OSPO）來負責監督大學中開源項目與研究人員之間關系，與營利性公司有所不同。他們通常將開源視為進一步推動大學使命的途徑但直到最近，這一機會在很大程度上都被忽略了?！八麄儾]有真正參與開源項目的歷史記錄，”加州大學圣克魯茲分校開源軟件研究中心主任Carlos Maltzahn說到。事實上，雖然已經有一些成功的開源項目起源于大學，但在多數情況下，這只是少數學生或研究人員的個人項目，因為多數大學對將研究成果轉化為高影響力的開源項目幾乎沒有支持與貢獻，這是他希望改變的事情。他認為創建OSPO是支持創造開源項目學生和研究人員的途徑，幫助更多項目跨越從研究項目到更廣泛生態系統

231、中使用的鴻溝。開源在擴大知識獲取的更大使命中發揮著重要作用，位于西班牙馬德里的胡安卡洛斯國王大學的教授兼開放知識工作負責人Jesus Gonzalez-Barahona說到：“在整個歐洲，尤其是在西班牙，大學正在重新發現這樣的一個觀念，即我們需要為社會創造知識?！遍_源軟件以及研究的開放獲取，是實現這一使命的途徑。終端用戶公司大學全球開源態勢洞察第九期59OSPO能為企業做什么？當我們思考OSPO所提供的價值時，有兩個不同的階段。第一個階段是最初創建OSPO的原因，第二個階段是OSPO在發展成熟時所看到的價值。在本章節中，我們將討論各組織創建OSPO的初衷，并在后面的章節中討論OSPO所提供的價

232、值是如何演變的。創建OSPO有多種原因，就像隨著OSPO的成熟，維護和發展OSPO也有多種原因一樣。雖然創建和維護OSPO可能存在教育和社會原因，但本報告主要側重于關注創建OSPO背后的商業原因，因為我們的研究主要集中在營利性組織上。企業組織創建OSPO的最根本原因是，他們意識到公司的工程師正在使用開源軟件，但他們并不知道是否遵守了項目中開源許可證的規定?！伴_源是不可避免的?！盌B Systel（德國鐵路公司的數字合作伙伴）的開源管理負責人Cornelius Schumacher說到。鑒于這一現實，DB Systel需要進行有組織的、統一的管理，以確保公司遵守項目中的開源許可證的規定，并管理潛

233、在的安全問題。Cornelius Schumacher認為：“風險管理并不是創建OSPO的唯一原因，但肯定是該決策的重要組成部分?！庇捎谛碌拈_源項目每天都在被下載和使用，特別是在大型組織中，與其說OSPO的作用是進行合規性審計，不如說是將技術和流程落實到位，確保開發者了解哪些許可證是可接受的，哪些是不可接受的，這樣在必要時就更容易進行合規性審計。解決相關的合規性問題，通常還需要將臨時使用開源項目的方式轉為更加標準化的過程。Ploug說：“現在，開源項目之間有太多的依賴關系?！眲摻∣SPO的部分原因就是為了簡化這些依賴關系，避免存在多個實現相同功能的項目。這將使得開源管理的許多方面變得更容易，從

234、許可證合規性審計到安全性，再到對公司核心流程起重要作用的開源項目進行戰略投資。除了圍繞工程師是如何構建開源使用的標準化流程外，還需要構建關于工程師是如何貢獻開源項目甚至創建自己項目的標準流程。在許多組織中，以前這些決策是由個別工程師和他們的經理作出的，結果常常導致各種方法混合在一起，對什么是可接受的方法缺乏確定性。通常，開源辦公室（OSPO）的初始任務之一就是制定關于使用和貢獻開源的政策，并在整個工程組織中進行傳播，其目標是消除工程師在使用和貢獻開源方面的困惑。提高組織在開源生態系統中的聲譽是許多公司創建開源辦公室（OSPO）的重要動機。在VMware任職的Ambiel說：“我們的目標不僅是更

235、具戰略性和目的性，還要提升我們在開源社區的聲譽被視為并被接受為開源生態系統中一個負責任的、積極的貢獻者?！边@一點尤為重要，如果一家公司在之前沒有任何參與項目社區的經歷，突然需要一個新功能或是修復一個錯誤，那么這個請求就不太可能被社區優先考慮。而如果公司堅持投資社區參與，當他們有需要時，社區更有可能將其優先考慮。在Aiven任職的Prat說：“我們需要聘請具備代碼提交權限的專業人士?！边@里所說的提交權限是指Aiven所依賴項目中的提交權限。獲得這種權限的唯一途徑是持續投資于該項目，這就是為什么Aiven成立了一個開源辦公室（OSPO），以確保公司及其雇傭的個人在社區中保持活躍。開源辦公室（OSP

236、O）也是一種分享開源知識的方式，要想參與關于如何戰略性地使用開源的討論，公司可能需要建立一個OSPO。Fukuchi表示，這種知識共享是索尼從其OSPO中獲得的巨大價值的重要組成部分。提高一個組織的聲譽，歸根結底是要能夠與行業中的其他人進行富有成效的合作，以及參與關鍵項目方向的討論。來自Wayfair的Vlatko說到：“提高我們的聲譽使我們能夠參與到科技界更大的市場對話中，在那里我們可以影響對我們重要的產品及解決方案?！眲摻∣SPO的原因1.進行合規性審計2.構建開源標準化流程3.提高組織聲譽4.擴大開放知識獲取范圍全球開源態勢洞察第九期60對于大學來說，OSPO是一種增強研究影響力、使其更

237、容易為更廣泛的社區所接受或使用的方式，也是一種改善學生獲取知識的方式。加州大學圣克魯茲分校的Maltzahn說：“學生是只閱讀論文，還是看了論文后去相關的公共git存儲庫并獲取那里的所有信息以重現實驗，這是一個巨大的區別。已有研究表明，“如果你讓學生參與到重現實驗結果的工作中來，這比僅僅閱讀論文會有更好的學習效果?！边@對學生的留存非常重要。許多學生過早地放棄了計算機科學，因為他們對使用脆弱的實驗系統造成的陡峭學習曲線感到非常沮喪。將開源的實用性融入到學生的學習過程中，減少他們的挫敗感，既有助于他們對計算機科學的學習，又有助于他們未來在軟件開發方面取得成功。5.提高開發速度沒有人會從創建操作系統

238、開始構建產品這樣什么東西都建不出來。愛立信開源經理Georg Kunz表示：“我們的產品中有很多部分幾乎完全由開源軟件組成，這在愛立信悠久的歷史中是一次根本性變化?！遍_源辦公室（OSPO）不僅能為公司如何使用開源項目制定秩序，而且還可以為使用哪些項目提供指導。7.降低風險開源存在不同的風險，而正式的開源辦公室（OSPO）可以幫助降低這些風險。正式設立OSPO機構的一個原因是，有一些工程師正在承擔類似OSPO的職責，但沒有相應的頭銜或結構，這就是愛立信發生的情況。Kunz說：“我們基本上有一個單人OSPO，他負責一切事務，主要關注合規問題，就像許多OSPO一開始做的那樣。但顯然，這種情況是不可持

239、續的，他不應該被繁重的工作壓倒?！眲摻∣SPO可以使經常以臨時方式來解決事情的步驟正式化，減少對關鍵人物的依賴，降低一位關鍵人物的離職可能會使公司面臨的法律問題、安全事故或被排除在開源對話之外的風險。8.提高安全性確保公司盡可能地保持安全，特別是厘清進入內部和外部應用程序的軟件材料清單，是關于OSPO如何提供價值的一個反復出現的主題。然而，這些例子是在戰略層面，而非嚴格的執行層面。Indeed的OBrien表示：“如果不與社區中正在合作開發的內容保持一致，我們就無法開發自己的安全框架，并把它應用到每一個領域?！睈哿⑿诺腒unz在談到軟件供應鏈安全時表示：“從設計上講，這是一個分布式問題，最優秀

240、的工6.改善人才獲取渠道開源有兩種方式可以改善人才的獲取，最明顯的方式是讓組織雇傭到更高水平的工程師，要么提高他們在開源界的聲譽，要么通過創建自己的開源項目并從活躍在這些項目社區的人員庫中招聘。來自Indeed公司的OBrien說：“我的老板和執行擔保人想了解我們與開源社區的關系是否健康，因為我們需要從中招聘人才?！薄拔覀兠媾R的最大挑戰之一，就像其他IT公司一樣，是找到人來完成所有的軟件工作?！監SPO及隨之而來的開源戰略方法推動改善人才獲取的另一種方式是，創建解決組織問題的開源項目，特別是解決組織中普遍存在的問題，而這些問題的解決并不能帶來任何競爭優勢。來自DB Systel的Schumac

241、her說：“像其他IT公司一樣，我們面臨的最大挑戰之一是找到人來做所有的軟件工作?！比绻灸軌騽摻ㄒ粋€開源項目，并與業內其他公司合作，就可以在無需雇傭更多人員的情況下利用技術人才。根據Schumacher的說法，鼓勵工程師使用開源并為開源做出貢獻，也是讓他們感到滿意并降低離職可能性的一種方式。同樣的，鼓勵更多的工程師創建開源項目并在開放環境中做更多的工作，也是提高現有員工技能的一種方式。Wayfair的Vlatko表示：“如果我們向外界展示我們的代碼，向外界展示我們的技術實力，那么就需要盡量表現出最好的一面?！彼f，隨著Wayfair鼓勵員工更多地在開放環境中工作，他們發現代碼質量以及對最佳

242、實踐的遵循都有所提高。全球開源態勢洞察第九期61程師也不能解決這個問題，你也不能通過內部流程來解決這個問題?！边@需要與整個行業和開源生態系統中的其他人合作。OSPO為組織提供了一種實現安全流程的方法，盡管OSPO并不最終負責實施安全流程，但他們確實分享了最佳實踐，并促進開源社區、行業參與者、基金會和其他利益相關者之間的協作，以提高安全水平。安全性也是各組織希望參與，并成為具有戰略意義的項目中備受尊重的社區成員的原因之一。這使得他們參與幕后對話，不僅能了解到正在開發的任何新功能，還可以第一時間了解到任何潛在的安全問題。這樣既可以幫助他們采取積極措施解決這些安全問題，也可以防止潛在的安全漏洞或數據

243、泄露。同時，也有助于建立與客戶和社區的信任，展示對安全和負責任數據處理實踐的承諾。9.可持續性有時開源項目會被廢棄，如果你依賴于它們，那就可能會出問題。來自Spotify的Ploug說：“如果我們對挪威的單一維護者有很強的依賴性，那么應該采取一些措施來確保他們保持參與度，或是讓我們的開發人員花時間投入到這些項目上，或是提供一些資金支持?！痹O立開源辦公室（OSPO）可以幫助識別風險，否則單一維護者的情況可能會不為人知，OSPO也可找到降低風險的最佳方法。這個問題正是促使OBrien在Indeed創立開源軟件（FOSS）基金會的原因，該基金是Indeed為其所依賴的項目維護者提供財政支持的一種方式

244、。其目標是支持那些容易出現疲勞倦怠的維護者，以此來降低該項目最終被放棄的風險。誰在OSPO中？克服內部障礙：文化和教育雖然我們通常將開源視為個人工程師的基層努力，但是采訪結果表明，來自于高管層面上對OSPO的支持是一種壓倒性趨勢。在VMware和Futurewei這樣的大型科技公司中，OSPO的支持者是CEO。來自Futurewei的Xie表示：“CEO意識到，開源不僅僅是技術問題，更是商業問題。因此，他們將開源辦公室搬到了首席戰略辦公室，也就是我們現在的位置?！奔词乖诟鶎拥捻椖恐?，高層的參與也很常見。來自Wayfair的Vlatko說：“我自己帶著這個想法去找了我們的前CTO，他非常支持，

245、說“好，去做吧”，但也非?，F實地表示，他不是專家不能指導我。我說“沒關系，我是專家?！憋@而易見，在許多公司中，與開源建立戰略關系已經成為一個高層次的業務關注點，而不僅僅是一群工程師應該解決的技術問題。一旦OSPO制定了關于使用和貢獻開源項目的政策，下一步通常是在內部推廣這些政策。這是至關重要的，尤其是考慮到許多OSPO只有少數幾個人，而組織內可能有數千甚至數萬名工程師。OSPO承擔的內部溝通作用可以追溯到最初創建OSPO的原因之一：來自軟件工程師的大量關于如何處理開源問題的咨詢。許多開源辦公室（OSPO）在著手解決更具戰略性的問題之前，首要任務就是清理開源領域的混亂現象。很多OSPO領導者將這

246、一步稱為整頓開源現狀，要從多年來零散無序地使用和貢獻開源中恢復過來。來自Spotify的Ploug表示：“過去十年，我們發布了許多項目，但卻沒有長遠的規劃或明確的歸屬?！蹦壳?，OSPO正逐一審查公司創建的所有項目，搞清楚它們的歸屬，并確保項目歸屬于團隊而非個人。確定關閉哪些項目需要一個過程，前提是確認內部沒有使用。開源項目辦公室（OSPO）在組織內管理和推廣開源活動方面起著重要作用。他們在初始階段處理的一些工作是有限的，比如關于哪些許可證可不可以使用的問題。通常，OSPO可以與法律團隊合作，弄清楚哪些許可證是可以接受的。一旦做出決定，就不需要再重新審視，而是需要向整個組織傳達在哪些場景下可以接

247、受哪些許可證。但是，當組織已經整理好內部項目，為如何使用和貢獻開源項目制定了框架，并充分解決了合規性問題之后，他們接下來會做什么呢？OSPO的發展過程全球開源態勢洞察第九期62與開源的戰略關系顧問當我們談論為開源軟件做貢獻時，在開始的時候，我們面臨的問題是，我們可以這樣做嗎？”來自DB Systel的Schumacher說。人們并不知道在使用開源，特別是回饋開源方面有什么規定。如果開源辦公室（OSPO）的首要目標之一是弄清楚這些規定是什么，那么次要目標就是確保信息在整個組織內傳播。來自Wayfair的Vlatko說，在GitHub上建立組織結構并確定可以使用的許可證類型后，通過開展教育活動，以

248、確保這些信息在整個組織內廣為人知。但除了預先回答工程師們關于與開源交互的問題之外，人們對開源的看法有了更大的轉變?！皢栴}的重點從是否使用開源轉變為如何戰略性地使用開源?！盨chumacher說?！霸诮涍^一段時間后，我現在看到的是，我們正更多地關注如何利用開源進行戰略合作，例如與外部公司合作?！北M管開源無處不在，但并非所有組織都擁有他們想要的開源文化，對開源的看法也并非普遍積極。從個人貢獻者到經理和高管，在他們職業生涯的某個階段都有過使用開源軟件或參與開源社區的糟糕經歷，說服這些人接受開源是OSPO所面臨挑戰的一部分?！拔覀兿Ｍ幕季S轉變，發展開源社區?！痹贔5的Abernathy說。這將是幫

249、助該公司在開源生態系統中發揮更大作用的主要動力。從真正意義上說，OSPO力圖改善開源在組織內的聲譽，就像提高組織在開源生態系統中的聲譽一樣重要。毋庸置疑，開源戰略的重要性因公司類型不同而異。對于像Futurewei這樣的公司來說，它所銷售的“黑盒子”解決方案的開源替代品，是對公司創收能力的根本威脅?！叭绾螐纳虡I角度而不是技術角度處理這個問題？”Xie說。在類似的情況下，來自VMware的Ambiel表示：“說到底，VMware是做什么的？我們銷售軟件。因此，我們的開源投資需要與我們的商業愿景保持一致?！監SPO的存在就是為了確保這種情況的發生。在Spotify，有一個頗有野心的計劃，要把公司最

250、成功的兩個開源項目分拆成獨立的業務部門，它將在項目的基礎上推出商業產品，把項目從成本中心變成利潤中心。OSPO在Spotify的部分作用是幫助識別和啟動有可能成為新業務部門的新項目，并支持它們以增加成功的可能性。開源辦公室（OSPO）在制定戰略方針方面發揮著至關重要的作用。有時，采取戰略方法意味著需要后退一步，花時間思考一些棘手的問題：哪些特定項目適合哪種參與模式，或者組織應該在每個項目中參與的程度。還有一個問題是：在何時應該為現有項目做出貢獻，而何時又應該創建一個新項目。在進行這些戰略層面對話的OSPO將能夠為工程師提供指導，這樣工程師在嘗試解決問題時就不必考慮不同開源參與模式的商業影響。引

251、導者開源辦公室（OSPO）在F5公司中擔任著至關重要的角色，負責在工程團隊和有關開源的商業利益之間進行溝通協調。Abernathy提到，“我們如何確保工程師們能夠持續投入時間在開源項目上，并能從商業角度證明這是有意義的？這正是OSPO在F5的職責之一，即傳達開源項目對企業所帶來的商業價值。這些戰略問題在OSPO創建之初并不總是被放在首位，特別是那些不那么專注于技術的公司，開源并沒有對收入構成直接威脅。但即使是這些公司最終也會意識到，合理利用開源不僅僅是為了降低許可證的合規風險。Schumacher說：“現在我們也在研究更多的案例，從戰略角度來看，利用開源對我們自己的項目或是與其他各方合作的項目

252、具有意義?！睂τ诮M織來說，當它們適應商業、競爭環境和更大技術生態系統的變化時，連續性是一個持續的挑戰。根據Linux基金會的白皮書關于OSPO的深入研究，OSPO需要建立一個清晰、簡單的報告程序，并確保與所有利益相關者的溝通渠道保持暢通。這對于維持OSPO的內部支持，確保組織繼續遵循其商定的開源戰略，并能夠在開源項目和優先事項上具備可持續性的工作能力至關重要。OSPO的不同角色全球開源態勢洞察第九期63衡量OSPO的成功衡量OSPO的成功“當我面試這個職位時，我問我們將如何衡量成功，”Prat說?！八麄冋f我們還不知道”。這種不確定的模式在采訪中經常出現一位行政主管支持OSPO，認為開源很重要，

253、公司需要采取實際的、戰術性的步驟來確保合規性和安全性，同時也要弄清楚如何在這個過程中戰略性地參與。在許多情況下，他們并不真正知道這長什么樣子，OSPO最初的任務之一就是弄清楚成功是什么樣子，以及如何衡量他們自己的進步。受訪者談到使用一些指標來衡量對開源的參與，但最終放棄了。例如，Pull請求（prs）的種類太多，無法提供有意義的信息PR可能是一個錯別字的修復，也可能是一個重要的功能。衡量在開源上的工作時間似乎也不合適，因為它不能衡量影響。決定該衡量什么是相當具有風險和戰略意義的，這也是OSPO領導者本身承擔了弄清這一點的任務。人類的本性是對我們知道正在評估的東西進行優化，受訪者談到了選擇指標的

254、重要性，恰當的指標將鼓勵整個組織的工程師成為更好的開源參與者。通常，隨著OSPO的成熟，最初應用的指標會發生變化。例如，在Indeed，最初的重點在于增加貢獻者以及衡量在每一季度有多少人為開源做出貢獻。然而，過了一段時間，他們開始關注增加所謂的“持續貢獻者”，這些人對同一個項目，即對Indeed具有戰略意義的項目進行反復貢獻。這是因為對維護者來說，從一個人那里得到5份貢獻比從5個人那里得到5份貢獻更容易，而且更大的目標是讓維護者的工作更容易。通常，很難用數字來量化OSPO表現的情況?！拔覀€人衡量成功的標準是繼續提升VMware在開源方面的聲譽和領導地位?！盇mbiel說?！拔以谶@方面的成功指標

255、是相當定性的?！彼劦搅烁兄芯?、聲音份額，以及社區系統地分享VMware的故事或貢獻的時間。單獨地看，這些指標可能是模糊的，但它們“加在一起形成了一個整體，表明我們正在取得進展?！蹦敲?，一旦OSPO有時間考慮哪些指標能鼓勵有益的行為并與OSPO真正的目標相一致，他們最終會衡量什么？持續貢獻者：組織中對同一項目進行定期、反復貢獻的人數（假設這些項目對組織具有戰略意義）。成功發布項目：組織發布項目的外部參與和影響。OBrien舉了一個例子：Indeed發布的一個項目被CNCF Sanbox視為極大成功的衡量標準。來自UC Santa Cruz的Maltzahn提到，不僅要衡量所發布的項目，還要衡

256、量這些項目在吸引校外更廣泛的追隨者方面的成功程度，以及這些項目在沒有大學持續參與的情況下是否能夠長期生存。開源的內部聲譽：人們是否知道OSPO的存在？他們是否知道OSPO圍繞著如何使用開源、貢獻現有項目，或創建新項目而建立的參數？許多公司追蹤這些內部意識指標，因為他們的很大一部分作用是負責內部溝通。組織在開源社區中的聲譽：對于許多公司來說，建立OSPO是為了提高組織在更大開源生態系統中的聲譽，他們通常會追蹤聲譽和意識指標，如社交媒體的提及，提到公司參與開源的求職者數量，或在開源相關會議上發言的員工數量。有些公司會對第三方的開發者進行調查，并提出與聲譽有關的問題。減少開發者的響應時間：除了追蹤內

257、部團隊對政策的了解程度外，OSPO還經常追蹤他們為這些開發者帶來了多少響應。例如，如果一個人需要批準一個貢獻請求，需要多長時間？追蹤項目的健康狀況：追蹤組織所依賴的“健康”項目的百分比。判斷一個項目的健康狀況，通常需要追蹤活躍貢獻者的數量，提交的頻率，維護者的數量，以及其他指標，包括有來自許多不同組織的用戶和貢獻者。外部合作：OSPO正在與多少個伙伴積極合作？這可以采取參與合資企業或贊助項目的形式，特別是在大學之間?；蛘叻e極加入開源基金會和行業團體。其他積極的外部合作的例子包括作為發言人、代表或贊助商參與會議，以及參與研究開發過程，正如本報告中的許多受訪者所展示的那樣。還有一些聯合項目，以確定

258、追蹤的最佳指標：TODO小組和CHAOSS創建了OSPO指標工作組，以幫助開發更好的指標，供OSPO衡量自己的成功。全球開源態勢洞察第九期64許多OSPO領導者強調，談論量化指標不僅是困難的，而且可能導致誤導性的結論。許多OSPO只是沒有可衡量的目標。來自Ericsson的Kunz說：“我們對團隊的期望目標是相對較高的?！薄拔矣X得我們應該遠離數字?！眮碜訴Mware的Ambiel說?！皵底植⒉荒苷f明問題，并且在開源領域可能會產生誤導?！盇mbiel說，關注數字的部分危險在于，OSPO的最終目標是推動公司成為開源生態系統中更好的參與者，而成為一個好的成員是永無止境的?！皼]有一個指標你可以說，好吧

259、，我完成了，檢查一下?！彼f：“你可以一直接近，你將一直努力做到更好。在時間跨度方面也可能存在問題。來自Aiven的Prat說：“每個公司都試圖用三個月的時間跨度來衡量事情?！钡情_源維護者并不關心你是否需要達到接受貢獻的季度目標；他們不會圍繞季度目標或財政年度來安排開源項目。還有一種感覺是，OSPO在不斷地發展，因此，要追蹤的正確關鍵績效指標也在不斷地發展?！拔覀儸F在正在尋找那個有效的關鍵績效指標，因為我們的活動在變化，現狀已經改變，所以我們需要調整關鍵績效指標?！盕ukuchi說。關鍵績效指標檢索在一點上，所有受訪者都有絕對的共識：OPSO在未來將繼續發展。特別是，OPSO越是成熟，它就越

260、能進行戰略思考，并幫助整個組織制定更具戰略性、深思熟慮的開源方法。他們不期望更多的關注會在法律和合規層面上這是一個大多數受訪者認為更像是多項選擇的最低限度，而且他們已經搞定了。一些受訪者談到，希望OSPO在影響他們公司未來采用哪些技術和項目方面發揮更大的作用。還有人希望OSPO能夠深入依賴關系鏈，更好地了解他們所依賴的項目（即使它在下面兩三個級別），追蹤這些項目的健康狀況（并在必要時作出貢獻）。還有人談到了建立自動化平臺來處理一些目前手動操作的任務，比如批準對項目的貢獻請求。Kunz說：“OSPO需要制定一個戰略，把它建立起來，然后讓開發者加入進來，做正確的事情?！盞unz和其他許多人認為，O

261、SPO應該致力于愿景和戰略，并確保他們與整個公司合適的人員達成合作，將愿景變為現實。歸根結底，OSPO的部分職責就是與開源和它所提供的商業價值進行對話。這是開源布道的一部分，這也是許多OSPO使命的一部分。Schumacher說：“我認為其中一個重要的部分是真正讓人們理解其商業價值?！边@并不容易，因為開源并不總能將商業領袖所考慮的事情完全轉化，但是這很重要。企業領導者通常知道開源是重要的，但他們需要OSPO來幫助他們理解為什么，然后利用這些信息從開源中獲得更多的價值。關鍵績效指標檢索結語編寫委員會主編：劉京娟編寫小組：趙海玲、郭雪雯、王林、劉博雅設計：馬坷、劉雅朦版 權 聲 明全球開源發展態勢

262、洞察旨在傳遞和分享開源行業最新動態，我們僅對已公開資料進行收集、整理與翻譯，供您閱讀、參考及交流使用。開放原子開源基金會享有所刊登原創內容的著作權，第三方引述資料不代表基金會觀點。您可“按原樣”轉載本刊內容，并應注明來源。開放原子開源基金會兼具科技、公益、慈善屬性，以“繁榮開源事業、共享開源價值”為愿景，遵循“以開發者為本的開源項目孵化平臺、科技公益性服務機構”的定位，以“打造科技創新共同體、孵化明星開源項目、構筑技術競爭優勢、培育新興產業生態、助力新一代信息技術和產業發展”為目標，致力于提升我國對全球的開源貢獻。在開源繁榮發展的背景下，開放原子開源基金會推出全球開源態勢發展洞察，現已發行五期。為推動更多的社會大眾能認識開源、了解開源、參與開源，現誠邀各位開源專家、開源大使、開源愛好者等開源人輸出關于開源的權威、專業、前沿的觀點及內容，為促進全球的開源發展貢獻出一份力量！掃碼參與開源發展態勢討論開源發展專題投稿地址：北京市北京經濟技術開發區 科谷一街8號院8號樓22層網址：WWW.openatom.org資金/項目捐贈：sponsorshipopenatom.org